DevSecOps – att utveckla säkert. Torbjörn Andersson (#170)

Play

Devops handlar om att föra samman systemutveckling och drift i iterativa loopar för att arbeta mer agilt. Lägg sedan till att det alltid finns hot mot systemet, som behöver hanteras, och vi får devsecops: Development Security Operations, ett sätt att integrera säkerhet i utvecklingsprocessen. Okej, det var många buzzwords i en mening… I detta avsnitt avdramatiserar vår säkerhetsexpert Torbjörn säkerhetsarbetet. Förr hade man ett säkerhetsteam; nu ska alla utvecklare ha säkerhetshatten på för att utveckla och leverera kontinuerligt på ett säkert sätt.

”Man ska alltid ha en säkerhetshatt på sig!”

Om avsnittet:

Målgrupp: ledning, it-folk, studenter, management, utvecklare, projektledare

Lär dig: digitala verktyg, digitalisering, devsecops, hotmodulering, it-säkerhet, systemutveckling

Vad behöver vi tänka på? Man brukar prata om people, process and technology. Det första är det viktigaste för att komma igång – ett ändrat mindset: Det finns hot. Hur gör vi våra system säkrare? För att lyckas i det arbetet behövs en säkerhetskultur i hela utvecklingsorganisationen – vilket innebär både att det utses säkerhetsansvariga, identifieras intresserade (champions) och att alla tillsammans lyfter säkerhetsfrågan.

Att hitta säkerhetsbrister med hjälp av hotmodulering har blivit standard. Men det är lika viktigt att snabbt fånga upp incidenter som inträffar i operations och fångas upp i monitoreringen, t ex hos kunden vid den vanliga driften. Vad händer med dev-sec-ops när releaserna sker i molnet? Torbjörn reder ut det också!

OK, nu kör vi! In med sec i devops… Hur då? 

  1. Kartlägg vilka faser som ingår i den egna produktutvecklingen
  2. Förstå vilka säkerhetskrav som ställs på det som produceras
  3. Utbilda organisationen och skapa medvetenhet kring säkerhet i devops
  4. Ta hjälp av de verktyg som finns på marknaden för att snabba upp processen

Torbjörn Andersson, Jonas Jaani (22:18)

Play

Länkar / mer information:

What is DevSecOps? – IBM

DevSecOps – Redhat

DevSecOps-verktyg – Microsoft


Alla avsnitt av digitaliseringens podcast Effekten:

https://www.effekten.se/avsnitt

Vi finns där du hittar dina övriga poddar:

https://www.effekten.se/prenumerera/

Apple Podcasts:

https://itunes.apple.com/se/podcast/effekten-digitalisering-kunskap/id1171229363

Google Podcasts:

https://www.google.com/podcasts?feed=aHR0cHM6Ly93d3cuZWZmZWt0ZW4uc2UvZmVlZC9wb2RjYXN0Lw==

Acast:

https://www.acast.com/effekten

Spotify:

https://open.spotify.com/show/5Z49zvPOisoSwhwojtUoCm

Riskhantering. Torbjörn Andersson (#166)

Play

I vår serie med flera avsnitt gällande säkerhet. Risk och riskhantering i ett samtal med Torbjörn Andersson, Senior Consultant inom IBM:s nordiska gruppering för området SSRC – Security Strategy Risk and Compliance.

Riskhantering är en process för att identifiera, analysera och kontrollera hot mot en organisations mål.

Om avsnittet:

Målgrupp: ledning, it-folk, företag, ledare, projektledare, management,

Lär dig: Säkerhet, risk, digitalisering, arbetssätt

Riskhantering är ett proaktivt tillvägagångssätt som bedömer riskens potentiella inverkan och avgör sannolikheten för att det händer. Det innebär identifiering av risker, bedömning av dem med avseende på sannolikhet och inverkan, genomför riskminskande åtgärder, utvecklar beredskapsplaner för när händelser inträffar som inte var förväntade och övervakning av framstegen mot att uppnå önskade resultat .

Nyckeln till god riskhantering är att förstå vilka risker som är viktigast för din organisation.

I avsnittet tar vi tex upp hur förlust av data kan påverka oss. Metoden FAIR följer den kvantitativa mätningen. Dock är det inte tillräckligt längre. Kvalitativ statistik och värde i pengar tillkommer numera när ämnet säkerhet finns högre upp i hierakin i våra organisationer.

Få några nycklar till hur du kan behandla risk på bästa sätt i just din organisation.

Torbjörn Andersson, Jonas Jaani (20:03)

Play


Alla avsnitt av digitaliseringens podcast Effekten:

https://www.effekten.se/avsnitt

Vi finns där du hittar dina övriga poddar:

https://www.effekten.se/prenumerera/

Apple Podcasts:

https://itunes.apple.com/se/podcast/effekten-digitalisering-kunskap/id1171229363

Google Podcasts:

https://www.google.com/podcasts?feed=aHR0cHM6Ly93d3cuZWZmZWt0ZW4uc2UvZmVlZC9wb2RjYXN0Lw==

Acast:

https://www.acast.com/effekten

Spotify:

https://open.spotify.com/show/5Z49zvPOisoSwhwojtUoCm

Säkerhet: Vad du behöver veta. Torbjörn Anderson (#164)

Play

Säkerhet har blivit ett stort diskussionsämne. Nyhetsflödet fylls hela tiden på med nyheter om säkerhet och det kan vara viktigt att hålla dig uppdaterad om hur du skyddar din organisation. Detta poddavsnitt ger dig några grundläggande riktlinjer för säkerhet.

Ett samtal med Torbjörn Andersson, Senior Consultant inom IBM:s nordiska gruppering för området SSRC – Security Strategy Risk and Compliance.

Om avsnittet:

Målgrupp: it, ledare, projektledare, management, verksamhet

Lär dig: informationssäkerhet, säkerhet, riskbedömning, IT-säkerhet

Att prioritera säkerhet och skapa en riskanalys kan vara en start. Vi pratar om övervägandena du bör ta hänsyn till när det gäller detta ämne.

Digitalisering och molntjänster/cloud förbättrar ständigt processer och kan då medföra ökande säkerhetsrisker. Det finns även en växande efterfrågan på säkerhetsexperter som ska hänga med i den senaste utvecklingen.

Torbjörn tar upp exemplet DevOpsSec. Där Sec hänvisar till säkerhet i utveckling och drift av programvara, med ett ökat fokus på att automatisera uppgifter genom distribution av pipelines.

Säkerhetsområdet är en ständigt växande och ständigt föränderlig. Säkerheten får nu ta plats i verksamheter så ett stort ansvar finns i att vara medvetna om alla möjliga faror och risker.

Detta är en checklista för att börja tänka bättre på säkerhet:

1 Riskbedömning

Det finns många aspekter av riskbedömning som kan göras för att säkerställa säkerheten. Detta inkluderar dataanalys, bestämning av sannolikheter och identifiering av möjliga åtgärder.

2 Förankra säkerhet i organisationen

Se till att identifierade risker och dess värde har förankring i verksamheten. Då kommer man underlätta säkerhetsarbetet.

3 Mät säkerhet

Att mäta dina säkerhetsframsteg gör att du kan visa internt, både för ledningen och medarbetare, att säkerhet är en process och man blir stegvis bättre.

Vad är din ideala säkerhetsnivå?

Torbjörn Andersson, Jonas Jaani (22:05)

Play

Länkar / mer information:

DevOps/DevOpsSec

IBM Governance, risk and compliance services

Torbjörn Andersson på LinkedIn

Videoversion av avsnittet:

https://youtu.be/PRkXeYJWbFo

Alla avsnitt av digitaliseringens podcast Effekten:

https://www.effekten.se/avsnitt

Apple Podcasts: https://itunes.apple.com/se/podcast/effekten-digitalisering-kunskap/id1171229363

Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly93d3cuZWZmZWt0ZW4uc2UvZmVlZC9wb2RjYXN0Lw==

Spotify:

https://open.spotify.com/show/5Z49zvPOisoSwhwojtUoCm

Ansiktet som säkerhet. Vilken figur är du?

Vi måste göra något åt säkerheten. Att närmare sig det unika vi har i kroppen. Att framtidens säkerhet handlar om biometri är vi överens om. För att ta oss framåt långsamt så att alla hänger med… vi börjar vi med ansiktet.

Stora investeringar finns just nu tex i projekt på Heathrow. Google gör även olika ”mellanstopp” för att få oss att acceptera ansiktet som identifierare. Testa gärna deras app ”Google Arts & Culture” (finns både till IOS och Android). Vilken historisk figur liknar du?

Källa:

”Google Art Project är en onlineplattform som ger allmänheten tillgång till högupplösta bilder av konstverk huserade i projektets partnermuseum. Projektet lanserades av Google den 1 februari 2011, till en början i samarbete med 17 internationella museum, bland annat Tategallerierna i London, Metropolitan Museum of Art i New York, och Uffizierna i Florens.[1]https://sv.m.wikipedia.org/wiki/Google_Art_Project

”Flygplats lägger halv miljard på ansiktsigenkänning

Heathrow i London storsatsar på ansiktsigenkänning. Sommaren 2019 ska det användas som identifieringsmetod inne på flygplatsen.” https://computersweden.idg.se/2.2683/1.709340/heathrow-ansiktsigenkanning

Cybersecurity med Jonas Lejon (avsnitt 79)

Play

En svensk tiger – behövs det för dagens cybersecurity / cybersäkerhet? Det ser ljusare ut! Medvetenheten hos användarna ökar och skyddsfunktionerna från hårdvaru- och operativsystem stärks i ett högt tempo – så fort en attack blivit känd. Systemen blir alltså bättre, men social engineering; när någon kontaktar dig och luras är fortfarande vanligt. Mänsklig kommunikation utnyttjas som svag länk i en annars stark kedja. En ny svag länk är också Internet of Things, alla våra nya uppkopplade prylar. Jonas Lejon, IT-säkerhetsexpert med tjugo års erfarenhet från bl a FRA/Försvarsmakten, guidar oss genom cyberhoten.

VD-bedrägerier rapporteras regelbundet; fejkade kända/pålitliga personer skickar filer som används för phising, alltså att stjäla kontouppgifter. De slår ofta brett först, många företag eller medarbetare – sedan dyker de djupare när någon blottat sig.

Som företagare eller privatperson ska man fråga sig vad som är skyddsvärt – och hur vet vi om någon har varit där, inte för att ta information ifrån dig, utan för att kopiera den? Spårbarhet och loggar är viktiga komponenter när intrång skett. Cybersäkerhetsexperter kan se hur mycket kraft som gått åt för intrånget och på så sätt uppskatta vem som står bakom.

Vilka datorer och prylar har vi, är de skyddade? Kan vi spåra vad som händer medan det pågår? Görs inloggningar från udda platser? Vem har administratörsaccess? Har vi tvåvägsautentisering? Hur skulle en angripare göra? Ställ de här frågorna till dig själv och till medarbetarna. Skapa medvetande inom it-säkerhet! Informera och genomför även tester i organisationen.

Play

Jonas LejonJonas Jaani (23:36)

PRENUMERERA – podcast Effekten
iPhoneAndroide-post

Follow our prioritized set of actions to protect your organization and data from known cyber attack vectors.

Kryptera.se – om kryptering och kvalificerad IT-säkerhet 

Kontaktuppgifter: Jonas Lejon