Security Champions statt böse Bullen

Das gesamte Arbeitsleben läuft über Software. Security ist daher von größter Wichtigkeit. Nicht nur, um das eigene Unternehmen direkt zu schützen, sondern auch, damit das Vertrauen der KundInnen gewahrt wird. Dies hängt maßgeblich davon ab, ob es zu Sicherheitsvorfällen kommt und wie gegebenenfalls damit umgegangen wird.

Bei der sec4dev, der größten österreichischen Security-Konferenz für SoftwareentwicklerInnen, kann man deshalb erfahren, wie Unternehmen ihre MitarbeiterInnen zu Security Champions ausbilden können, um Informationssicherheit nachhaltig in Ihrer Unternehmenskultur zu verankern.

Böse Bullen

Software-Sicherheit erst im Nachhinein zu bedenken oder ausschließlich Drittanbieter zu beauftragen, ein bereits implementiertes Tool oder Programm zu testen, ist nicht ausreichend und verursacht hohe Kosten. Nicht externe „bösen Bullen“ sollten sich um die Sicherheitsbedürfnisse des Unternehmens kümmern, sondern Mitglieder aus den eigenen Software-Teams.

Die entsprechenden Personen verfügen über technisches Know-how und das Mindset, Security zu einem „first-class citizen“ in Ihrem Software-Ökosystem zu machen. Hier kommen Security Champions ins Spiel.

Was sind Security Champion?

„Security Champions sind der beste Weg, um Sicherheit nachhaltig in die Unternehmenskultur zu verankern“, sagt Thomas Konrad, Senior Security Expert bei SBA Research. Das österreichische Security-Forschungs-Institut ist der Veranstalter der sec4dev.

Das Konzept des Security Champions ist relativ neu: Angehende Security Champions sind typischerweise Software-EntwicklerInnen, die Security-Verantwortung übernehmen möchten. Als solche werden sie zu Schlüsselpersonen im Unternehmen, die Kollegen und Vorgesetzte in Bezug auf Sicherheitsaspekte beraten, herausfordern und coachen.

Frauen für IT begeistern

Der Security-Bereich leidet unter einem massiven Fachkräftemangel, der in den nächsten Jahren weiter steigen wird. Wenn Unternehmen motivierte MitarbeiterInnen als Security Champions ausbilden und fördern, gewinnen sie vertrauenswürdige, interne Partner für alle technischen und organisatorischen Sicherheitsfragen.

Dabei zeigen Daten der (ISC)²-Workforce-Studie aus 2020, dass es hier einen beachtlichen Pool an nicht genutztem Potential gibt: Frauen sind im Software- und Informationssicherheitsbereich nach wie vor unterrepräsentiert (im Schnitt nur 25 Prozent). „Wir brauchen neue Ansätze, um Mädchen und Frauen für IT zu begeistern. Das Klischee des ITlers oder Hackers im Keller stimmt schon lange nicht mehr“, sagt Joe Pichlmayr, Obmann der CSA Cyber Security Austria.

Die idealen Security Champions bringen nicht nur technisches Fachwissen und großes Interesse für Sicherheitsthemen mit; sie haben auch die Kompetenzen, Anforderungen mehrerer Stakeholder zu berücksichtigen, eine Security-Champion-Community im Unternehmen aufzubauen sowie Anschluss an die breitere Software-und Security-Community zu finden (z.B. Secure Coding Meetup, sec4dev oder OWASP Vienna Chapter).

Virtuelle Konferenz

Die sec4dev ist die ideale Plattform für angehende und bereits aktive Security Champions. Die sec4dev Conference & Bootcamp 2021 bietet sowohl technische Deep-Dive-Sessions als auch Vorträge, um einen ersten Einblick in das Thema zu bekommen. Die OrganisatorInnen freuen sich über alle, die an Software-Sicherheit interessiert sind.

Die Veranstaltung findet rein virtuell statt, vom 22. bis 25. Februar. Keynote-Speaker ist Tanya Janca, auch bekannt als SheHacksPurple. Sie arbeitet seit über 20 Jahren in der IT-Branche, ist Buchautorin und hat eine Lern-Community für das Erstellen sicherer Software gegründet. Für ihre Tätigkeit hat sie bereits mehrere Auszeichnungen erhalten.

 

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.