Scrum-Teams
Wie man IT-Sicherheit auch in agilen Projekten verankert
Vier Empfehlungen
Security-Spezialisten on Demand: Agile Projekte/Teams benötigen wegen der nicht planbaren Unwägbarkeiten im Security-Bereich flexiblen und unbürokratischen Zugriff auf Security-Know-how. Agil organisierte Security-Teams, die andere Teams/Projekte bei der Umsetzung sicherer Lösungen unterstützen, können hier eine Lösungsvariante sein.
Skalierbarkeit: Security-Teams müssen bei Bedarf kurzfristig über Rahmenverträge mit Externen skalieren können.
Vernetzung: Jede Organisationseinheit muss für sich sicherstellen, dass ihre Projekte/Teams angemessen vernetzt sind und z.B. ihre Interessen in übergreifenden Communities oder Gremien vertreten. Wichtig ist in dem Zusammenhang, dass der notwendige Freiraum und eventuelle finanzielle Mittel bereitgestellt werden. Eine "Software Security Group" mit Vertretern aus allen Business-Einheiten wäre ein Ansatz, um Best Pratices zu etablieren. Basierend auf dem Austausch können KPIs definiert und Aktivitäten verbindlich vereinbart werden.
Verbindliche Vorgaben: Die Gesamtorganisation sollte verbindliche Vorgaben in Betracht ziehen, um bestimmte Maßnahmen als verpflichtend einzustufen. Welche das sind, hängt von den Bedürfnissen der Organisation und den Compliance-Regeln ab, denen sie unterliegt.
Fazit
Security und agiles Vorgehen schließen sich nicht aus. Der Anwenderverband Cross-Business-Architecture Lab e.V., in dem 12 große Unternehmen und Organisationen aus dem deutschsprachigen Raum in Sachen EAM und digitale Transformation zusammenarbeiten, empfiehlt daher, dass Organisationen eine Governance-Struktur aufbauen, welche auch mit agilen Vorgehensweisen kompatibel ist und diese befähigt.
Des Weiteren sollten zentrale security-relevante Services bereitgestellt werden, und agilen Projekten/Teams der Zugriff auf diese Services (Wissen und Leistungen) so einfach wie möglich gemacht werden. Abschließend müssen agile Teams selbst für die Belange der Sicherheit sensibilisiert werden und diese in ihre tägliche Arbeit integrieren.
Wenn alle Komponenten zusammenspielen, findet sich eine Symbiose zwischen Agilität und Security, welche nachhaltig das Sicherheitsniveau in den Produkten, Leistungen und "Köpfen" steigert.
EAM-Konferenz des CBA Lab in Berlin |
Vom 26. bis 27. September 2018 richtet das Cross-Business-Architecture Lab in Kooperation mit Inside Business die EAM-Konferenz (Enterprise Architecture Management) mit dem Titel "EAM - Richtungsgeber für die Digitale Transformation" in Berlin aus. CIOs und IT-Architekten von Unternehmen wie BSH Hausgeräte, Wacker Chemie und Lufthansa Cargo berichten dort über ihre Projekte. Mehr Informationen und Anmeldung finden Sie hier. |
Gleichermaßen zu diesem Artikel beigetragen haben die EAM-Spezialisten und Mitglieder der Arbeitsgruppe Security im CBA Lab: Stefan Brüning, Matthias Gruber, Roland Paprotta, Martin Pettau, Annika Schewior, Luis Servín und Burkhard Trinder.