Towards an Effective Security Champions Program

Abstract

I løpet av de siste tiårene har ondsinnede dataangrep blitt en betydelig bekymring i programvareindustrien. Bransjen sliter med å lage sikker programvare grunnet mangel på sikkerhetseksperter og utviklere som oppfatter sikkerhet som noe mystisk. En security champion er en utvikler som har tatt på seg rollen som forkjemper for sikkerhet i teamet sitt og kan være en effektiv strategi for å gjøre utviklingsteam mer sikkerhetsbevisste. Likevel er det foreløpig svært lite forskning på temaet. Denne masteroppgaven tar sikte på å undersøke security champions og ser på hvordan selskaper etablerer security champions programmer, utfordringene de møter, og hva som er en effektiv tilnærming.

Et systematisk litteratursøk ble utført som en del av en forstudie til dette prosjektet, og funnene derfra ble brukt til å lage et forslag til hvordan et security champions program kan etableres og vedlikeholdes i et selskap. Tilnærmingen fra forstudiet ble videre undersøkt i dette prosjektet, ved å utføre en casestudie med et spørreskjema og intervjuer som datagenereringsmetoder.

Studien bidrar til forskning ved å være en av de første studiene som videre undersøker security champions programmer. Funnene er viktige for industrien fordi de tilbyr bedriftene en troverdig strategi for å etablere et security champions program ved hjelp av et akademisk rammeverk. Forskningen gir bedriftene innsikt i tankene og meningene til security champions, slik at de bedre kan identifisere områdene som krever fokus og hva security champions trenger. Hovedbidraget fra denne studien er et sett med validerte steg for hvordan man etablerer og vedlikeholder et security champions program.

Over the past few decades, malicious attacks have become a major concern for the software industry. The software industry struggles to create secure software due to a lack of security experts and developers who perceive security as something \say{mysterious.} A security champion is a developer who has taken on the role of advocating for security in their team and could be an effective way of creating more security awareness in the development teams. However, there is currently little research on the subject. This master's thesis aims to investigate security champions and look into how companies are establishing security champions programs, the challenges, and what is an effective approach.

A systematic literature review was performed as a part of a pre-study for this thesis, and the findings were used to create a suggested approach to how a security champions program can be established and maintained in a company. The approach is further investigated in this study, using a case study with a questionnaire and interviews as data generation methods to verify whether the approach found in the pre-study is, in fact, effective.

The study contributes to research by being one of the first studies to investigate security champions programs further. The findings are important for the industry because they offer companies a credible strategy for establishing a security champion program by providing an academic framework. The research provides companies with insight into the thoughts and opinions of security champions, allowing them to better identify the areas that require focus and the needs of the security champions. The main contribution of the research is a set of validated steps on how to establish and maintain a security champion program.