Förra veckan deltog vi på Nordic Software Security Summit i Stockholm, en konferens med fokus på hur vi bygger resilienta digitala produkter i en tid av ökade regulatoriska krav och en allt mer komplex hotbild. Mitt i detta pratade vi om något väldigt konkret, hur man faktiskt gör säkerhetsarbetet mer användbart i praktiken.
Ux designer och säkerhetsexpert
Årets tema, Resilience under pressure, genomsyrade många av samtalen. Med Cyber Resilience Act (CRA) på väg att träda i kraft står många organisationer inför samma utmaning, hur bygger vi inte bara säkra system, utan system som faktiskt är hållbara över tid?
För att lyckas med detta så handlar det inte bara om att uppfylla krav, utan om att skapa arbetssätt som fungerar i vardagen.
I vår presentation lyfte vi hur små designbeslut kan göra stor skillnad i hur säkerhetsarbete tas emot och används. Ett verktyg eller en metod som upplevs som krånglig riskerar att bli en punktinsats medan ett verktyg som är tydligt, tillgängligt och engagerande har större chans att bli en del av det dagliga arbetet.
Vi presenterade vårt arbete kring hur man kan designa ett mer användbart stöd för OWASP SAMM, där nuvarande arbetssätt ofta bygger på Excel och manuella processer som inte alltid skalar. Resultatet blev en webbaserad plattform, Salsa, som är uppbyggd utifrån användarens behov och användarcentriska designprinciper, med inslag av gamification för att öka engagemang.
Genom Salsa har vi kunnat förenkla och göra arbetet kring OWASP SAMM mer tillgängligt. Detta belyser något större, hur viktigt det är att göra säkerhet konkret och användbart i praktiken, inte bara något som beskrivs i ramverk, modeller och lagkrav.
Med nya krav som CRA och en allt mer pressad hotbild var budskapet från NSSS tydligt, det räcker inte att planera för säkerhet utan säkerhetsarbetet behöver komma igång nu.
Det är också där vi på Decerno kommer in. Vi stöttar våra kunder i hela deras säkerhetsresa, genom exempelvis:
Gemensamt för allt detta är att vi försöker göra säkerhet begripligt, relevant och möjligt att arbeta med kontinuerligt.
För mig blev NSSS en tydlig påminnelse om att säkerhet inte bara är en teknisk fråga, det är en mänsklig. Vill vi bygga resilienta system behöver vi rätt modeller, rätt kompetens, men också rätt förutsättningar för människor att lyckas. Och ibland börjar det med något så enkelt som att göra ett verktyg lite mer användbart.
När du bokar ett möte med oss kan du förvänta dig:
