Security Champions in Action: An Exploration into Their Tasks and Activities in Norwegian Organisations

Abstract

Samtidig som smidig utviklingsmetodikk blir mer og mer brukt, så blir det å sømløst integrere sikkerhet i en slik prosess en stadig mer vanlig utfordring. Korte og hyppige iterasjoner i smidig utvikling fører ofte til at sikkerhet blir oversett. En løsning er å bruke sikkerhelter (Security Champions) som promoterer sikkerhet gjennom hele utviklingsløpet og bidrar til å fremme en sikkerhetskultur i teamet sitt. Imidlertid er det lite forskning på hva disse sikkerheltene bør gjøre for å være effektive i sin rolle. For å adressere dette, undersøker denne oppgaven oppgaver og aktiviteter hos som gjennomføres blant sikkerhelter i norske organisasjoner.

For å gjøre dette, ble det først gjennomført en litteraturgjennomgang, for å forstå eksisterende forskning på håndtering av sikkerhetsoppgaver i smidige utviklingsteam. Denne hovedstudien benyttet deretter en todelt undersøkelse, bestående av en spørreundersøkelse og semistrukturerte intervjuer.

Resultatene viser at sikkerhelter gjør mye forskjellig i sin rolle. Noen oppgaver går igjen blant mange, mens noen blir sjeldent tatt i bruk. Videre så kan noen mønstre sees, som at visse oppgaver blir oppfattet som effektive men likevel sjeldent brukt av sikkerhelter. Mangel på tid og ressurser fremstår som mulige årsaker til dette, basert på undersøkelsen.

Oppgaven konkluderer med at det ikke er noe enkelt svar på hva en sikkerhelt bør gjøre. For å hjelpe sikkerhelter og organisasjoner med å komme frem til passende alternativer, foreslås det fem grupper av oppgaver, og det presenteres utfordringer, og mulige løsninger for hver enkelt av disse. Til tross for studiens begrensede utvalgsstørrelse og omfang, tilfører oppgaven viktig kunnskap til feltet, og kan brukes som et grunnlag for fremtidig forskning.

As agile methodologies gain traction in software development, integrating security is an increasingly common challenge. The high pace of agile development often leads to security being overlooked. One solution is implementing security champions that advocate for security throughout the development process and help foster a security culture in their team. However, there is little research on what security champions should do to be effective. To address this gap, this thesis examines the tasks and activities of security champions in Norwegian organizations.

To do this, an initial systematic literature review was conducted, in order to understand existing research on security task management in agile development teams. A two-phase mixed-methods survey approach, including questionnaires and semi-structured interviews, was then used for this main study.

The findings reveal the diverse tasks security champions in different environments engage in: some more common, some rare. Some patterns can be seen, such as certain tasks being perceived as successful, while still being rarely engaged in. Time constraints and resource shortages were identified as potential barriers.

The thesis concludes that there is no single answer to what a security champion should do. To help champions and organizations understand what is right for them, five broader groups of tasks are suggested, showing challenges and possible solutions associated with each one. Despite the study's limited sample size and scope, it provides insights into the function of security champions, serving as a foundation for future research.