ScrumUhkamallinnuksen tarpeen arviointi voidaan sisällyttää tehtävien Definition of Ready -kriteereihin, jos niitä käytetään esiehtona työn aloittamiselle. Tietoturvatyötehtävät sisällytetään Scrum-työjaksoihin (sprint) aivan kuin ne olisivat toiminnallisten vaatimusten toteutusta. Esimerkiksi uhkamallinnuksen ja tutkivan tietoturvatestauksen tarve tuodaan esille tehtävänä tai tehtävään sidottuna hyväksyntäkriteerinä. Yleisiä kaikkiin kehitystehtäviin liittyviä Definition of Done -kriteereitä ei käytetä tietoturvatyön ohjaamiseen, koska tällöin niille ei erikseen varata aikaa. Ohjelmistokehittäjät saavat toki omatoimisesti tehdä tietoturvaan liittyviä Definition of Done -kriteerejä oman laadunvalvontansa tueksi. Jos tietoturvatyö luodaan tehtävälistalle erillisenä tehtävänä, se merkitään yleensä riippuvuudeksi toiminnallisuuden toteutuksen valmistumiselle. Tämä tehdään tyypillisessä tiketöintijärjestelmässä linkittämällä tehtävät toisiinsa. Koska Scrum-työjakson suunnitteluvaiheessa (sprint planning) on yleensä sitouduttava tiettyyn työmäärään, esimerkiksi uhkamallinnustyö kannattaa yleensä tehdä aiemmassa työjaksossa kuin missä varsinainen toiminnallisuus toteutetaan. Uhkamallinnus saattaa muuttaa työmääräarvioita voimakkaastikin.
|