Kundecase
Helsedirektoratet utvikler og forvalter flere løsninger på forskjellige plattformer, og hadde behov for en strukturert og målbar metodikk for å ivareta sikkerhet og personvern i utviklingsløpet.
I tillegg ønsket de å etablere sikkerhetsprinsipper som skulle gjelde for alle generelle IT-løsninger, samt klare retningslinjer for implementering av sikkerhetskontrollere.
twoday etablerte sammen med Helsedirektoratet en sikker utviklingsmetodikk bygget på OWASP, Microsoft SDL, NIST og Datatilsynets Guide for Innebygd Personvern. Dette var ikke en erstatter, men et supplement til Helsedirektoratets eksisterende utviklingsmetodikk, og som også skulle bidra til enklere overgang til DevSecOps i forhold til teamsammensetting, ansvarsområder og nye oppgaver.
Arbeidet ble realisert stegvis og hadde sterkt fokus på automatisering. twoday har hele tiden arbeidet med å levere ut ifra Helsedirektoratets tilgjengelige ressurser, krav, behov, og risiko. Vi startet med å kartlegge hvor mye av valgte baseline krav til sikkerhet vi kunne automatisere i bygg- og deploy pipelines. Deretter etablerte vi manuelle oppgaver i forskjellige faser av utviklingsmetodikken for å adressere rest-krav fra baseline.
twoday har bidratt til å starte opp Helsedirektoratets Security Champion program gjennom kurs innen sikker utvikling og flere foredrag innen sikkerhet på pipelines, metodikk og sikkerhetstesting. Programmet drives av ansatte som jobber med sikkerhet på flere områder internt i Helsedirektoratet, sammen med Security-Champions i flere utviklerteams.
Programmet har som mål å bidra til en kulturendring i virksomheten når det kommer til bevissthet rundt sikkerhet og skal drives som et åpent community bygget ut i fra prinsipper om deling og transparentet.
Helsedirektoratet hadde behov for rådgivning innenfor teknisk systemarkitektur på flere løsninger for å garantere at de ivaretar sikkerhet på en forsvarlig måte, og enda viktigere, ivaretar personvernet. Dette innebar utveksling av sensitiv informasjon på tvers av tillitssoner, sikring av meldingssystemer og kontekstbytting.
twoday leverte workshop på IAM (Identity and Access Management) / tilgangsstyring hvor man gjorde dypdykk ned i forskjellige Autentisering og Autorisasjonsprotokoller.