I enhver organisasjon som utvikler programvare må det finnes noen som har ansvaret for programvaresikkerheten. I BSIMM-studien fant de at ALLE virksomhetene som ble undersøkt hadde en programvaresikkerhetsgruppe (software security group – SSG) – den kan være så liten som en person, men den må være der.
Hvis noe skal bli gjort, må noen ha ansvaret. Hvis alle har ansvaret, betyr det i praksis at ingen har ansvaret, og sannsynligheten for at noe blir gjort er minimal. Man trenger derfor en SSG, og hvis den utgjør mer enn en person, trenger den også en leder. Hvis man tildeler noen et ansvar, er det viktig å følge opp med tilhørende myndighet, og det kan derfor være fornuftig å plassere lederen av SSG tilstrekkelig høyt oppe i virksomhetens ledelseshierarki – dette vil også kunne sikre forankring hos toppledelsen, noe som er en forutsetning for at SSG skal lykkes med sin oppgave.
Tall fra BSIMM-studien indikerer at en fornuftig størrelse på SSG er rundt 1% av utviklerteamet, noe som tilsier 1 fulltids SSG-ansatt per 100 utviklere. Gary McGraw mener at det er enklere å lære en utvikler sikkerhet enn å lære en sikkerhetsperson om utvikling, men det er uansett viktig at SSG snakker “utviklingsavdelingens språk”, og ikke oppfattes om en utenforstående klamp om foten.
SSG skal ha det overordnede ansvaret for programvaresikkerheten, og det er derfor viktig at den har verktøyene og myndigheten til å gjøre jobben. SSG må yte bistand til utviklingsavdelingen i forbindelse med testing, kodegjennomgang og analyse, men må også bidra med veiledning og opplæring av utviklerne. Mange av oppgavene til SSG beskrives detaljert i de forskjellige BSIMM-aktivitetene.
Les mer om SSG fra Gary McGraw her:
http://www.informit.com/articles/article.aspx?p=1434903
Illustrasjon ved CC BY-SA 2.0
–