Viele Sicherheitsteams kämpfen mit der Priorisierung der Aufgaben: Sie reagieren meist nur auf eingehende Anfragen und werden ständig in viele verschiedene Richtungen gezogen. Es gibt keine Messbarkeit im Hinblick auf Verbesserungen des Sicherheitsniveaus.

OKRs sind ein großartiges Werkzeug für die Zielformulierung in Teams im Allgemeinen, insbesondere im Sicherheitsbereich. In den letzten 1,5 Jahren haben wir unsere gesamte Arbeit an Offensity – sowohl Betrieb wie auch Entwicklung – durch OKRs gesteuert. Dieser Artikel versucht, einige Erkenntnisse zu vermitteln und zu erklären, warum OKRs für Ihr Team gut funktionieren könnten.

Was sind OKRs?

OKRs stehen für „objectives” (Ziele) und „key results" (messbare Ergebnisse). Das Ziel definiert, WAS wir erreichen wollen. Eines unserer Ziele war zum Beispiel in der Vergangenheit:

Verbessere die Sicherheit der Webanwendung unter https://reporting.offensity.com/.

Damit ist das Ziel definiert, das wir erreichen wollen. „Was heisst >verbessern<?”, fragt der Chef. Nun, dafür haben wir „Key result” definiert: Konkrete Aufgaben, die sich messen lassen. Somit WIE wir unsere Ziele erreichen wollen:

  • Sicherheitsupdates der Server-Software werden automatisch einmal pro Tag installiert.
  • Caching wird in personalisierten Website-Bereichen wird verhindert.
  • Auf https://www.ssllabs.com/ wird die Bewertung „A+” für die SSL-Einstellungen der Webanwendung erreicht.
  • Auf https://securityheaders.com/ wird die Bewertung „A” für die SSL-Einstellungen der Webanwendung erreicht.
  • Die Webanwendung wird durch das Offensity-Framework auf Sicherheit geprüft, und Probleme mit mittlerem oder höherem Risiko werden innerhalb von drei Arbeitstagen gelöst.

Diese Liste macht allen im Team sehr klar, was wir auf unserer Roadmap haben und worauf wir uns konzentrieren müssen.

Im nächsten Monat behielten wir das Ziel bei und änderten nur die wichtigsten Ergebnisse:

Verbessere die Sicherheit der Webanwendung unter https://reporting.offensity.com/.

  • Zwei-Faktor-Authentifizierung wird eingeführt und für das Team verpflichtend.
  • Für die Webanwendung wird ein manueller Penetrationstest von fünf Manntagen durchgeführt.
  • Statische Quellcode-Analyse wird für die Webanwendung ausgeführt.
  • Ergebnisse von Penetrationstests und Quellcodeanalysen mit mittlerem und höherem Risiko werden innerhalb von drei Arbeitstagen behoben.
  • Innerhalb von vier Wochen wird ein erneuter Test für die behobenen Probleme durchgeführt.

Durch diesen Prozess verbesserten wir kontinuierlich unsere Sicherheit und hatten ein gemeinsames Bild davon, was in den nächsten Wochen erreicht werden muss.

Hier ist ein weiteres Beispiel für eines unserer ehemaligen OKRs unseres Teams:
Erhöhe Kundenzufriedenheit, verbessere die Qualität, die Benutzerfreundlichkeit und die User Experience.

  • Alle Kunden-Scanprofile werden mit Nessus gescannt. Wichtige Erkenntnisse, die von Offensity nicht erkannt wurden, werden implementiert.
  • Alle Kunden-Websites werden mit dem Vulnerability Scanner von Burp gescannt. Wichtige Erkenntnisse, die von Offensity nicht erkannt wurden, werden implementiert.
  • Den Kunden wird auf reporting.offensity.com eine Zusammenfassung der Ergebnisse bereitgestellt. Sie erhalten einen Überblick über
    • Gesamtrisiko-Score
    • Anzahl der offenen Aufgaben pro Kategorie („kritisch” bis „keine Bewertung”)
    • Zeitleiste mit der höchsten Risikoeinstufung der letzten Wochen (oder Monate)
  • Monatliche Zusammenfassungen mit Kennzahlen werden automatisch an die Kunden verschickt

Durch den Einsatz von OKRs konnten wir Schlüsselbereiche des Produkts auf sehr strukturierte Weise verbessern:

  • Wir haben Ressourcen für die interne und externe Server-Infrastruktur bereitgestellt.
  • Wir haben Prozesse wie Änderungsmanagement, Backups und Entwicklungsrichtlinien eingeführt und verbessert.
  • Wir haben mit der Automatisierung unserer Infrastruktur und Prozesse begonnen.
  • Wir führten Richtlinien zur Datenaufbewahrung ein.

Was sich in unserem Team bewährt hat?

Drei bis fünf Ziele mit bis zu 10 Key results für jedes Ziel haben für uns am Besten funktioniert. Derzeit aktualisieren wir unsere OKRs vierteljährlich (- wobei wir mit monatlichen OKR-Zyklen begonnen haben).

Bei der Aktualisierung unserer OKRs versuchen wir, diesen einfachen Prinzipien zu folgen:

  • Jedes Ziel muss einen tatsächlichen und spürbaren Unterschied für unser Team oder das Unternehmen machen.
  • Jedes Key Result muss zum Ziel beitragen.
  • Key Results sind messbar. Immer.
  • Zeitrahmen können unterschiedlich sein, z.B. ein Ziel für ein Quartal und ein anderes für ein ganzes Jahr oder länger.
  • Sie können das Ziel beibehalten und die Key Results von OKR-Zyklus zu OKR-Zyklus ändern.
  • Ändern, hinzufügen oder entfernen von OKRs, wann immer nötig, auch während der Zyklen.
  • Dokumentieren von Abhängigkeiten zu anderen Teams oder Kollegen.
  • OKRs sind offen und transparent.
  • OKRs sind nicht direkt mit Boni und Sonderzahlungen verbunden.

Meine letzte Empfehlung: Klein anfangen und verbessern des OKR-Prozesses dort, wo Bedarf besteht.

Im Allgemeinen sollte die Defintion von OKRs für Entwicklungsteams überschaubar sein und ein tolles Werkzeug für bessere Planung und Durchführung.

Weitere Informationen über OKRs

Für weitere Informationen über OKRs empfehle ich die folgenden Ressourcen: