Dieses Gesamtbild muss die Bedürfnisse der Governance und der Gesamtorganisation, aber auch der agilen Projekte/Teams berücksichtigen. Dabei dürfen die Governance-Einheiten nicht als Elfenbeinturm verstanden werden. Es muss möglich sein, dass Projekte und Teams Einfluss auf ihre Arbeit haben - zum Beispiel durch vorübergehende Mitarbeit von Team-Mitgliedern in den Governance-Einheiten.

Übergreifende Kennzahlen werden definieren

Um einheitliche Vorgehensweisen und Standards zu etablieren, müssen übergreifende Kennzahlen und Dokumentationsvorgaben bestehen, um Transparenz und damit Steuerungsmöglichkeiten zu schaffen. Im agilen Kontext kann dies beispielsweise durch die Definition von Anforderungen geschehen, welche in Akzeptanzkriterien oder Elemente einer DoD (Definition of Done) überführt werden.

Eine andere Vorgehensweise könnte sein, dass ein Sprint-Inkrement nur Komponenten verwenden darf, die keine bekannte Schwachstelle mit einem CVSS-Wert >3 haben. CVSS steht dabei für das "Common Vulnerability Scoring System" und ist ein Industriestandard zur Bewertung des Schweregrades von möglichen sowie tatsächlichen Sicherheitslücken in IT-Systemen.

Schulungen dauerhaft etablieren

Da Security in agilen Umgebungen sowohl eine Aufgabe der Teams als auch der Governance-Funktion ist, müssen die Beteiligten breit geschult werden. Dabei sollte das Schulungsprogramm die agilen Strukturen berücksichtigen. Die Inhalte solcher Programme sind weitgehend unternehmensspezifisch und sollten mit den geplanten Vorhaben gekoppelt sein und aus deren Anforderungen abgeleitet werden.

Empfohlen werden eine kurze Basisschulung, auf die Schwerpunkte der Mitarbeiter zugeschnittene vertiefende Schulungen und eine weitere Spezialisierung von ausgewählten Mitarbeitern zu Security-Experten innerhalb der agilen Projekte/Teams. Neben der Etablierung eines Schulungscurriculums ist es unabdingbar, Security-Experten aufzubauen und in der Organisation zu halten. Wichtig dafür ist, dass die qualitative Weiterbildung der Mitarbeiter an den Karrierepfad gebunden werden kann, um zusätzliche Anreize zu schaffen.