Hvis idéen er god, kan det meste lade sig gøre

Lead Systemts Engineer Michael Ustrup er en sand enhjørning indenfor softwaresikkerhed, og hans ekspertise og entreprenørskab har kastet fremragende projekter af sig. Kronjuvelen er kurset ”Building Security In”, hvor Systematics udviklere og arkitekter lærer at bygge sikkerhed ind allerede inden første linje kode er skrevet.

I store dele af IT-branchen hersker der stadig en ”penetrate and patch”-tilgang, hvor man først arbejder med softwaresikkerhed, når produktet er færdigudviklet. Det leder ofte til, at man symptombehandler fremfor at fjerne problemets rod, mener Michael Ustrup, Lead Systems Engineer med speciale i softwaresikkerhed.

”Selv firmaer, der er fremme i skoene, designer stadig softwareløsninger uden at forholde sig til sikkerhed før til allersidst. For dem er sikkerhed en skudsikker boks, man bygger rundt om det færdige produkt. Det er dog langt mere holdbart at have sikkerhedsaspektet med fra start, så det flettes ind i alle faser i udviklingslivscyklen,” forklarer Michael Ustrup.

Michael fik idéen at udvikle et kursus, hvor Systematics softwareudviklere og -arkitekter undervises i processer, der indeholder sikkerhed i alle led af produktets udvikling - fra første linje kode til implementering hos kunden.

”Ledelsen tog godt imod min idé. De så behovet for den løsning, jeg præsenterede. Når det gælder softwaresikkerhed, er det temmelig vigtigt, at alle er med på vognen; folk skal have viden og værktøjer til at kunne løfte opgaven, og det kræver, at man investerer i sine medarbejdere. På den baggrund fik jeg grønt lys til at gå i gang med projektet,” fortæller Michael begejstret.

Kurset går under navnet ”Building Security In” og findes i to versioner målrettet hhv. arkitekter og udviklere. Michael har allerede haft godt 150 kolleger gennem kurserne, og flere står i kø for at deltage. Derfor er han i fuld gang med at coache andre til også at kunne undervise og give den værdifulde viden videre.

Kollegerne har givet positiv feedback på kurserne – alligevel leder Michael efter forbedringsforslag i bunken af roser, så han kan perfektionere og forbedre dem yderligere. For ham er kurserne et vigtigt element i hans og kollegernes udvikling og en oplagt mulighed for dem, som har særlig interesse for sikkerhedsdomænet, kan avancere indenfor området.

Rig mulighed for at dygtiggøre sig

For dem, som ikke kan få nok af trusselsmodellering og defensiv kodning, er det muligt at tage skridtet videre og blive en del af ”Systematic Security Red Team”, som Michael har stiftet. Det består af en udvalgt håndfuld passionerede specialister, som kolleger kan anmode om hjælp fra. Teamet tager den sorte hat på og forsøger at bryde ind i kollegernes systemer for at tjekke, om sikkerhedsnettet kan holde stand. Hvis ikke, så hjælper de med at finde løsninger på problemet. Det højner sikkerhedsniveauet yderligere på Systematics produkter, og Michael er således glad for, at han fik mulighed for at realisere konceptet.

”Systematic er et godt sted at udfolde sine interesser og evner. Hvis man har drivkraften, kan det meste lade sig gøre,” siger han.

Efter at have udviklet sikkerhedsprojekterne sideløbende med sine normale opgaver har Michael nået en milepæl: Nu er 50% af hans arbejdstid officielt øremærket til Building Security In. Han allokerer desuden arbejdstid til at tage en master i IT-sikkerhed som overbygning til hans master i datalogi.

”Det er nok ikke alle, der er så heldige at kunne ændre deres jobindhold så markant, men Systematic kunne se fidusen med mine idéer, så derfor gav de mig tiden til at realisere dem. Hvis andre kom med en anden god idé, tror jeg, at de ville opleve samme imødekommenhed,” siger han opmuntrende.

Han opfordrer derfor folk til at turde tænke stort:

”Der er masser af muligheder for at dygtiggøre sig indenfor det felt, man brænder for. Hvis der er brug for det, kan man også sparke noget helt nyt i gang - det er jeg et levende eksempel på.”