Tomas hjälper företag bygga säkra applikationer

Tidigare i år introducerade Sentor det nya tjänsteområdet AppSec, där fokus ligger på att stötta organisationer i sin mjukvaruutveckling. Här stiftar vi bekantskap med Tomas Mannerstedt som leder satsningen.

Mycket av dagens mjukvaruutveckling handlar om att snabbt få ut nya produkter på marknaden och kontinuerligt utveckla dessa utifrån marknadens behov. Om dessa produkter och tjänster samtidigt ska vara säkra och leva upp till olika krav och regelverk behöver säkerhet implementeras och utvärderas genom hela utvecklingsprocessen. 

Så beskriver Tomas Mannerstedt behovet som ligger till grund för utvecklingen av Sentors nya tjänsteområde AppSec. Tidigare i år axlade han rollen som ansvarig för avdelningen, och har sedan dess byggt upp verksamheten tillsammans med ett växande konsultteam. 

Tidigt intresse för teknik

Tomas har lång erfarenhet av mjukvaruutveckling och teknisk säkerhet i en rad olika organisationer. Intresset för teknik väcktes redan i tidig ålder, och har sedan dess följt honom genom livet.

–  Jag började med datorer och programmering genom att skriva QBasic i tidiga tonåren. Intresset följde med mig genom hela skolgången, så valet att fortsätta plugga datateknik/programmering på högskola kom naturligt. Efter KTH fick jag jobb som systemutvecklare på Ericsson, där jag även hade sommarjobbat som webbutvecklare under både grund- och högskoletiden. Det var även som sommarjobbare jag hittade min första säkerhetsbrist, en command injection, år 1996. Där och då väcktes ett parallellt intresse för säkerhet jämte systemutveckling.

Efter tiden på Ericsson började Tomas arbeta med systemutveckling på FRA, Försvarets radioanstalt. Att arbeta med systemutvecklingsmiljöer med höga säkerhetskrav gav Tomas blodad tand, vilket senare ledde honom vidare till rollen som säkerhetschef på företaget NEPA som är verksamma inom consumer science. När han väl kände att det var dags att göra något annat var det säkerhetsspåret som lockade mest.

– Jag ville vara på ett ställe där säkerhet är huvudsysslan. Då dök den här möjligheten på Sentor upp, i en roll som tillät mig att arbeta kombinerat med säkerhet och systemutveckling. Dessutom i en organisation med väldigt stor samlad kompetens och drivna kollegor.

Anpassat efter dagens mjukvaruutveckling

Så vad är egentligen AppSec, och varför är ett sådant arbete nödvändigt? För att kunna svara på det krävs först en tillbakablick till hur säkerhetsarbete tidigare har bedrivits, menar Tomas. 

– Traditionellt säkerhetsarbete innebär oftast att penetrationstester och andra säkerhetsgranskningar genomförs först när produkten är redo att lanseras. Men idag, när mjukvara kontinuerligt levereras och utvecklas dagligen, blir den modellen potentiellt både ineffektiv och i slutändan dyr. Brister som dyker upp i slutskedet av processen kan vara svåra, eller till och med omöjliga, att åtgärda och kostar mer ju senare de upptäcks.

För att minska risken för svårfixade brister behöver olika säkerhetsinsatser i stället introduceras redan från start och sedan ske kontinuerligt genom hela utvecklingsprocessen – från idé till lansering och därefter regelbundet, förklarar Tomas. 

– Det är vad AppSec handlar om; ett systematiskt arbetssätt för att integrera säkerhet genom hela systemutvecklingslivscykeln, från strategi och design till arkitektur, implementation och säkerhetstestning. Resultatet blir att arbetet bidrar till att skapa något som är säkert över tid, till skillnad från ett enskilt test som bara säger något om hur säkerheten ser ut just idag.

Hjälp från idé till lansering

Alla företag som utvecklar mjukvara, stora som små, bör fundera på hur de kan säkerställa att säkerhet är en del av leveransen, menar Tomas. I branscher och organisationer där kraven på säkerhet är särskilt höga är vikten av ett sådant arbete ännu större. 

Ett aktivt AppSec-program kräver dock resurser och tid. Det är här Tomas och hans team kommer in i bilden.

– För att lyckas med sin AppSec krävs insatser i alla led, från strategi och utbildning till implementation och incidentförberedelser. Det är dessa förmågor vi hjälper organisationen att bygga upp. Dels genom att göra en nulägesanalys för att få en utgångspunkt, och därefter på ett riskbaserat sätt adressera de största utmaningarna ur ett AppSec-perspektiv. Målet att se till att produkten först och främst blir säker, och sedan fortsätter vara det genom att utbilda organisationen hur den på ett säkert sätt kan fortsätta förvalta applikationen över tid.

Vill du veta mer om hur vi på Sentor arbetar med AppSec? Läs mer här!

Är du nyfiken på att börja arbeta inom området? Vi behöver vi bli fler!