Behovet

Helsedirektoratet utvikler og forvalter flere løsninger på forskjellige plattformer og hadde behov for å en strukturert og målbar metodikk for å ivareta sikkerhet og personvern i utviklingsløpet. I tillegg ønsket de å etablere sikkerhetsprinsipper som skulle gjelde for alle generelle IT løsninger, og klare retningslinjer for implementering av sikkerhetskontrollere. 

Sikker utviklingsmetodikk

Visma Consulting etablerte sammen med Helsedirektoratet en sikker utviklingsmetodikk bygget på OWASP, Microsoft SDL, NIST og Datatilsynets Guide for Innebygd Personvern. Dette var ikke en erstatter men et supplement til Helsedirektoratets eksisterende utviklingsmetodikk, og som også skulle bidra til enklere overgang til DevSecOps i forhold til teamsammensetting, ansvarsområder og nye oppgaver.

Arbeidet ble realisert stegvis og hadde sterkt fokus på automatisering. Visma Consulting har hele tiden arbeidet med å levere ut ifra Helsedirektoratets tilgjengelige ressurser, krav, behov, og risiko. Vi startet med å kartlegge hvor mye av valgte baseline krav til sikkerhet vi kunne automatisere i bygg- og deploy pipelines. Deretter etablerte vi manuelle oppgaver i forskjellige faser av utviklingsmetodikken for å adressere rest-krav fra baseline. Et veldig viktig premiss for arbeidet var at det skulle være målbart, slik at vi hele tiden kunne vite sikkerhets appetitt og risiko, og skulle vite hvor det var forbedringspotensial.  


_DSC3410 copy.jpg

_DSC1716 copy.jpg

Kurs og Community

Visma Consulting har levert kurs innen sikker utvikling og flere foredrag innen sikkerhet på pipelines, metodikk og sikkerhetstesting. Disse leveransene var for å bidra til å starte opp Helsedirektoratets Security Champion program. Programmet drives av ansatte som jobber med sikkerhet på flere områder internt i Helsedirektoratet, sammen med Security-Champions i flere utvikler teams. Programmet har som mål å bidra til en kulturendring i virksomheten når det kommer til bevissthet rundt sikkerhet og skal drives som et åpent community bygget ut i fra prinsipper om deling og transparentet. 

 

Sikkerhetsrådgivning

Helsedirektoratet hadde behov for rådgivning innenfor teknisk systemarkitektur på flere løsninger for å garantere at de ivaretar sikkerhet på en forsvarlig måte, og enda viktigere, ivaretar personvernet. Dette innebar utveksling av sensitiv informasjon på tvers av tillitssoner, sikring av meldingssystemer, og kontekstbytting. 

Visma Consulting leverte workshop på IAM (Identity and Access Management) / tilgangsstyring hvor man gjorde dypdykk ned i forskjellige Autentisering og Autorisasjonsprotokoller.

_DSC3307 copy (2).jpg

Oppnådde resultater

  • Kartlagt og bestemt overordnede og førende sikkerhetsprinsipper som ligger til grunn ved utvikling, forvaltning, innkjøp og bruk av IT løsninger både on-prem og i sky.
  • Etablert sikkerhets baselines for utvikling og forvaltning
  • Utviklet retningslinjer for smidige bygg- og deploy pipeliner med automatiserte sikkerhetskontrollere som adresserer sikkerhetskrav og beste-praksis funnet i OWASP ASVS, NIST SP800-53, Normen og GDPR.
  • Var med å starte opp og drive Security-Champion program med faste møter, rolledefinisjoner, kartlegging av ansvar og lage oppgaveoversikt. 
  • Utviklet mal for modenhetsmåling på sikkerhet i applikasjonsutvikling. 
  • Holdt kurs i sikker koding
  • Holdt kurs i penetrasjonstesting hvor vi demonstrerte angrep på Azure DevOps pipelines.
  • Utviklet guide for implementering av sikkerhet i moderne REST APIer.
  • Levert implementasjonsplan for zero-trust. 
  • Drevet rådgivning innen kryptografi og sikkerhetsarkitektur 

Vil du vite mer?

Ikke nøl med å ta kontakt med oss.

Nicolai 400.png

Nicolai Svendsen

Sales Director, Visma Consulting