Sikkerhetsarbeid kan fort kjennes stort og rotete, særlig når det har fått henge etter en stund. Denne artikkelen ser på hvordan produktleder kan bidra når teamet trenger oversikt og en måte å jobbe med sikkerhet på som faktisk varer.
Dette er tredje og siste del i en artikkelserie om sikkerhet for produktledere. Gjerne les del 1 og del 2 før du fortsetter.
I de to første artiklene har jeg skrevet om hvorfor sikkerhet er vanskelig å prioritere, og hvorfor det henger tett sammen med produktkvalitet og hvordan team jobber. Dersom man har tenkt på sikkerhet fra starten av, trenger det ikke å kjennes så ubehagelig ut.
Men for mange team er realiteten annerledes. Man mangler oversikt, har gamle avhengigheter, drukner i varsler eller mangler dem helt, og har lite tid eller få tydelige rutiner for sikkerhetsarbeidet. Da er ikke det viktigste spørsmålet hvordan den perfekte prosessen ser ut. Det viktigste er hvordan man faktisk kommer i gang.
Det kan være nyttig å skille mellom tre typer sikkerhetsarbeid: det som bør skje løpende, det som må håndteres raskt og det som krever et mer samlet tak innimellom.
Det som bør skje løpende
Den viktigste delen av sikkerhetsarbeidet skjer ofte gjennom det daglige utviklingsarbeidet. Ikke som egne, store sikkerhetsinitiativer, men som små forbedringer når teamet likevel er inne i et område av løsningen. Når man først jobber i en del av en kodebase, kan man også kikke seg litt rundt etter utdaterte avhengigheter, ting som kan strammes opp i eller ryddes bort. Små forbedringer gjort jevnlig reduserer risiko over tid, og er ofte mye enklere å få til enn store oppryddingsprosjekter senere. Dette handler i stor grad om håndverk og kultur. Teamet må ha en felles forståelse av at man etterlater koden litt bedre enn man fant den.
«Når vi uansett er borti noe kode, tar vi en titt rundt oss og ser om vi kan gjøre ting litt bedre enn de var»– Hans Kristian Henriksen, sikkerhetsutvikler og oppdragsleder i Bekk
Samtidig krever det tillit. Produktleder trenger ikke styre hvilke småting utviklerne rydder i underveis, men teamet bør ha en felles forståelse av hvor grensen går. Når fikser man noe med én gang? Når lager man en egen oppgave? Og når er arbeidet så stort at det må prioriteres opp mot andre ting? Dette skjer ikke av seg selv. Hvis små forbedringer skal bli en del av hverdagen, må teamet være enige om at dette faktisk er en del av jobben.
Det som må håndteres raskt
Noe sikkerhetsarbeid kan ikke vente på en passende anledning i utviklingsløpet. Det gjelder for eksempel alvorlige sårbarheter, varsler som faktisk treffer produktet, eller svakheter som kan få store konsekvenser hvis de blir liggende. Da må teamet vite hva som skal skje. Hva havner i backloggen, og hva må tas med én gang? Når skal teamet slippe det de holder på med? Hvem følger med på varsler? Hvem vurderer om et funn faktisk gjelder oss? Hvis dette er uklart, blir sikkerhet fort noe som håndteres tilfeldig, eller ikke i det hele tatt. Målet er ikke å lage tunge prosesser, men å gjøre det lett å gjøre rett.
For å få til det holder det ikke bare å følge med på nye funn. Teamet må også ha nok oversikt over egne tjenester til å forstå hva som faktisk skjer. God monitorering og riktige alarmer gjør det lettere å oppdage når noe skurrer, og å skille mellom støy og reelle problemer. Det er vanskelig å håndtere ting raskt hvis man ikke ser dem eller forstår hvor de treffer.
Det som krever et mer samlet tak
Selv med gode vaner vil det bygge seg opp ting som ikke blir tatt underveis. Noe blir utsatt. Noe er for stort til å tas som en liten forbedring. Noe er uklart, og noe har ligget så lenge at man ikke helt vet hvor man skal begynne. Kanskje har det blitt så rotete at teamet har mistet oversikten. Da trenger man noen konkrete grep for å få hodet over vann.
1. Ukas vaktmester
La ansvaret gå på rundgang. Én person kan ha sikkerhetshatten på i en periode, med litt ekstra rom til å følge med på varsler, avhengigheter og ting som bør tas tak i. Det betyr ikke at bare denne personen jobber med sikkerhet, eller at ansvaret flyttes bort fra resten av teamet. Poenget er bare at noen har et ekstra blikk på det akkurat nå.
Rollen må likevel ha faktisk tid og mandat. Hvis vaktmesteren bare får ansvar, men ikke rom, blir det fort enda en ting som legger dårlig samvittighet på én person.
2. Felles sesjoner i teamet
Noen team har god erfaring med å sette av tid til å jobbe med sårbarheter og annet sikkerhetsarbeid sammen. Det kan være fast tid hver uke, eller en felles økt når det trengs. Fordelen er ikke bare at man får ryddet. Det bygger også kompetanse i teamet og gjør sikkerhetsarbeid mindre ensomt. Finn gjerne på et gøy navn og kjøp inn snacks.
3. Praktiske workshops
Når oversikten er dårlig eller man er usikker på hvor risikoen faktisk ligger, kan en praktisk workshop være nyttig. Det trenger ikke være en stor og formell øvelse. En enkel risiko- og sårbarhetsanalyse eller en dataflyt-gjennomgang kan være nok til å få fram hva teamet faktisk bør prioritere. Slike økter fungerer ofte best når de er konkrete og tett koblet på det teamet faktisk bygger og forvalter.
Les mer om risiko- og sårbarhetsanalyser som folk faktisk vil være med på.
4. Smerte-risiko vurderinger
Når det finnes mye å rydde i, kan det være vanskelig å vite hvor man skal begynne. Smerte-risiko-vurderinger kan hjelpe teamet med å prioritere, samtidig som diskusjonen blir forståelig for flere enn bare utviklerne. I stedet for å diskutere “teknisk gjeld” veldig abstrakt, kan man vurdere ting langs to akser:
- Risiko for produktet
- Smerte for teamet
Det gjør det lettere å få fram både hva som har høy sikkerhetsrisiko, og hva som faktisk sinker teamet i hverdagen, og gjør videre utvikling tregere og mer frustrerende.
Les mer om smerte-risiko vurderinger.
Ikke gjør alt på en gang
Når sikkerheten må børstes skikkelig støv av, er det lett å kjenne på at alt burde vært ryddet opp med én gang. Det er sjelden realistisk. Noen ganger trengs det et par dedikerte økter bare for å få oversikt: hva har vi, hva vet vi, hva haster og hva kan vente? Målet bør ikke være å få full kontroll umiddelbart, men å komme langt nok til at teamet klarer å jobbe jevnere med sikkerhet i hverdagen. Det handler om å lage vaner som gjør at risikoen gradvis blir mindre, at teamet vet hva de skal gjøre når noe haster og at man tar et samlet tak når det faktisk trengs.
For produktleder betyr det ofte å hjelpe teamet med tre ting:
- å skape rom til å få oversikt
- å skille mellom det som haster og det som bør planlegges
- å gjøre sikkerhet til en del av vanlig produktarbeid, ikke noe som bare kommer opp når det brenner
