Operative Projektunterstützung

Projektinterne Zuständigkeiten für IT-Sicherheit sind essentiell um gestiegenen Anforderungen und Aufgaben in diesem Bereich gerecht zu werden. Die trifft natürlich besonders für Projekte zu, die sicherheitskritische Anwendungen entwickeln und vor allem dann, wenn diese agil arbeiten, wodurch laufend neue Anforderungen hinsichtlich ihrer Sicherheit zu bewerten und entsprechende Maßnahmen zu definieren sind.

Je nach Aufgabenumfang wird eine solche Rolle gewöhnlich Security Champion, aber auch Project Security Officer oder Security Architekt genannt.
Bespiele für Tätigkeiten in diesem Bereich:

  • Identifikation erforderlicher Sicherheitsmaßnahmen und Erstellung entsprechender Tickets.
  • Erstellung der Sicherheitsarchitektur.
  • Interner Ansprechpartner für Sicherheitsfragen aus Entwicklungsteams.
  • Externer Ansprechpartner für Sicherheitsfragen für das Projekt (z.B. für die IT-Sicherheitsfunktion).
  • Planung und Begleiten von Pentests und Bewerten der Ergebnisse.
  • Nachgehen und Nachhalten von umzusetzenden Maßnahmen.
  • Durchführung interner Trainings und Awareness-Maßnahmen.
  • Integration automatisierter Tooltests in die Build Pipeline.
  • Erstellung und Pflege von Sicherheitsdokumentationen (z.B. Sicherheitskonzepten).
  • Durchführung von Bedrohungsanalysen (Threat Modelling).

 
Grade das erforderliche Know-how erschwert die Besetzung solcher Rollen in der Praxis jedoch sehr. Wir können Sie hier auf unterschiedliche Weise unterstützen:

  • Bereitstellung qualifizierter Projektressourcen
  • Ausbildung und Coaching eigener Mitarbeiter
  • Aufbau und Betreuung interner Security-Communities