Årets sikkerhetsstjerne: - Vi er bare en liten gjeng utviklere som brenner ekstra for sikkerhet og sikkerhetskultur

Vinneren av Årets sikkerhetsstjerne er NAVs Security Champions.

Vårt første forsøk på Security Champions i NAV feilet, som vi skrev om i starten av året. Etter det har vi lært enda mer, og innsett igjen og igjen at det ikke finnes noen fasit på hvordan bygge god sikkerhetskultur, forteller Julian Ravn Thrap-Meyer. 📸: Benedicte Emilie Brækken
Vårt første forsøk på Security Champions i NAV feilet, som vi skrev om i starten av året. Etter det har vi lært enda mer, og innsett igjen og igjen at det ikke finnes noen fasit på hvordan bygge god sikkerhetskultur, forteller Julian Ravn Thrap-Meyer. 📸: Benedicte Emilie Brækken Vis mer

- Tusen takk for nominasjonen, tusen takk til alle som stemte på oss, og ikke minst tusen takk til alle som har bidratt med å gjøre sikkerhets-Norge litt mindre fragmentert, og mye mer hyggelig og gøy, sier Julian Ravn Thrap-Meyer, seniorutvikler i NAV og ildsjel i NAVs Security Champions, til kode24.

Før jul publiserte kode24 våre nominerte til årets kode24-priser og gjennom jula har dere stemt på deres favoritter.

Etter nesten 488 stemmer er vinnerne av våre åtte kategorier klare. I dag presenterer vinneren av Årets sikkerhetsstjerne, NAVs Security Chamions. De kapret 32.8 prosent av stemmene i sin kategori.

Vil dele æren med flere

Dette skriver nominasjonskomiteen:

"Security Champions er et opplegg som er i ferd med å spre seg blant norske IT-selskaper, og det starta hos utviklerne i NAV. "Det skal være moro og givende å være security champion, og vi kommer til å jobbe aktivt med å holde oppe interessen" skrev NAV på kode24, og senere starta de et nasjonalt Security Champions-fellesskap som har fått til nettopp det, med blant annet NRK med på laget."

- Det store spørsmålet! Hvordan føles det å vinne årets sikkerhetsstjerne?

- Det er selvfølgelig kjempegøy, og en stor ære! Men æren bør deles med flere. Da vi først begynte å dele offentlig om vårt arbeid med sikkerhetskultur, var målet å finne flere organisasjoner å prate og lære sammen med. Og det gjorde vi! sier Thrap-Meyer.

Han sier at NAV Security Champions det siste året har møtt mange "utrolig hyggelige folk", som deler deres ønske om å hjelpe hverandre.

- Inkludert andre nominerte i denne kategorien, Astri fra Oljefondet, og Olav og Karim fra O3 Cyber-podcasten. Vi endte opp med å oppdage et nettverk av fantastiske folk som ønsker å bidra til åpenhet rundt sikkerhetskultur i Norge, og vi hadde nok ikke vært der vi er i dag uten dette flotte fellesskapet, sier Thrap-Meyer.

Åpenhet og deling gir suksess

- Hva ligger bak suksessen?

- Vårt første forsøk på Security Champions i NAV feilet, som vi skrev om i starten av året. Etter det har vi lært enda mer, og innsett igjen og igjen at det ikke finnes noen fasit på hvordan bygge god sikkerhetskultur. Det som fungerer hos oss, fungerer ikke nødvendigvis hos andre, og motsatt, sier Thrap-Meyer.

Samtidig mener han at åpenheten og delingen på tvers av organisasjoner har hjulpet dem med å bringe frem gode gode idéer, og luke vekk mindre gode idéer.

- Og det vil jeg si har betydd mye for arbeidet vårt i NAV, sier Thrap-Meyer.

Han trekker også fram frivillighet som en viktig faktor.

- I likhet med filosofien bak nais-plattformen vår, så ønsker vi ikke pålegge noen av våre rundt 80 autonome og tverrfaglige produktteam å ha en Security Champion, bruke spesifikke sikkerhetsverktøy, eller følge konkrete sikkerhetsrutiner. Vi vil heller at det skal være så enkelt og logisk at teamene selv velger det vi mener er en “Golden Path”, sier Thrap-Meyer.

«Vi er bare en liten gjeng utviklere som brenner ekstra for sikkerhet og sikkerhetskultur, og som får satt av tid til å jobbe med dette ved siden av å være i vanlige team.»

Unngår å miste bakkekontakt

Thrap-Meyer legger til at frivilligheten gjør at “Security Champion-redaksjonen” får en mye vanskeligere jobb med å få teamene til å ta de rette valgene. Men han tror at dette er sunt.

- Hvis vi ikke klarer å få teamene til å ville bruke gode løsninger - er de egentlig så gode? sier han.

Ifølge Thrap-Meyer drives også "Security Champions-redaksjonen" også utelukkende av frivillighet og styres ikke av noe dedikert sikkerhetsteam.

- Vi er bare en liten gjeng utviklere som brenner ekstra for sikkerhet og sikkerhetskultur, og som får satt av tid til å jobbe med dette ved siden av å være i vanlige team. Siden teamene selv setter agendaen, unngår vi å miste bakkekontakt. Dette er helt essensielt for å vite hvor vi burde legge fokuset vårt, sier han.

Flere idéer for 2023

- Har dere noen kule planer for 2023?

- Vi har veldig mange idéer, men få konkrete planer. I januar kommer vi til å starte året med en Security Champions Kickoff, hvor vi skal ha foredrag og annet faglig påfyll, i tillegg til å finne ut hva vi vil gjøre i 2023. Men kort fortalt ønsker vi å skape enda mer engasjement! sier Thrap-Meyer.

Han nevner jevnlige CFT-er, få til et ordentlig onboarding-opplegg for nye Security Champions, og hjelpe team finne ut hva de bør bruke tid på.

- Her har vi latt oss inspirere av andre organisasjoner som har delt sine erfaringer. Til slutt vil jeg også nevne Security Champions Norge. Siden vi startet opp i juni, har fellesskapet vokst til nesten 600 sikkerhetsinteresserte fra mange ulike organisasjoner som ønsker å dele og lære av hverandre, og det har blitt arrangert to meetups, sier Thrap-Meyer.

Han forteller at NRK arrangerte den første i september, NAV den andre i november, og Bouvet arrangerer neste meetup på nyåret en gang.

- Jeg håper å se enda flere der, men ellers er det bare å bli med på Slack!