Veiliger innoveren met devsecops 1/2

Dave van Stein

Nieuwe tijden vragen om een nieuwe benadering

Datalekken, nieuw ontdekte kwetsbaarheden en aanvallen zijn tegenwoordig dagelijks in het nieuws. De Autoriteit Persoonsgegevens kan boetes uitdelen als privacygevoelige informatie niet afdoende wordt beschermd of is gelekt. Voor organisaties is het daarom noodzakelijk permanent maatregelen te treffen die data en applicaties beschermt, ook bij innovaties. Dit vraagt om een andere manier van innoveren.

Van reactief naar proactief

Het aantal aanvallen en hackpogingen blijft toenemen, de media zit er bovenop en de consequenties kunnen verstrekkend zijn. Waar een kleine misser tot voor kort afgehandeld kon worden met een goede incident response, kan deze tegenwoordig resulteren in een forse boete. Het is dus niet langer een kwestie van reputatieschade. Een succesvolle aanval kan het voortbestaan van een bedrijf in gevaar brengen. Dat vraagt om een andere benadering van security. Een benadering vanuit het strategische beleid van een organisatie. In veel organisaties zijn de security specialisten ondergebracht in een eigen afdeling die weinig interactie heeft met andere onderdelen van de organisatie. Ze komen in actie als bij een beleidswijziging een business impact analyse moet worden gemaakt en voeren periodiek risk assessments en penetratietesten uit. In de dagelijkse praktijk vindt echter maar weinig afstemming plaats met de business- , ontwikkel- en operationele afdelingen. Ze zijn in alle opzichten reactief wat op gespannen voet staat met de eisen die de wet, denk aan de AVG, en toezichthouders zoals de AP stellen.

Iedereen loopt een groter risico

Ieder bedrijf is interessant voor cybercriminelen. Over die stelling is tegenwoordig geen discussie meer mogelijk. Daarom moet ieder bedrijf kunnen aantonen dat data veilig is. Indien dat niet het geval is dan kunnen toezichthouders, zoals de AP overgaan tot sancties. Deze sancties worden ook gepubliceerd wat een bijkomend negatief effect zal hebben op imago en klantbeleving. Naast de AP sancties hebben gereguleerde sectoren zoals banken en telecom operators nog te maken met de mogelijkheid door de sector toezichthouder te worden bestraft. DNB, AFM en AT zijn daar voorbeelden van. Zij kunnen boetes opleggen en zelfs de “licence to operate” intrekken. Er is geen sector of instelling die zich aan de wet kan onttrekken. Zelfs de overheid niet, zoals in de recente zaak tussen de belastingdienst en de AP bleek waar het draaide om het verplichte gebruik van BSN nummers door ZZPers.

Devsecops als oplossing

Traditioneel is security gelinkt aan technische vraagstukken, zoals netwerk beveiliging, encryptie, authenticatie, autorisatie, enzovoort. In een wereld die wordt gedomineerd door webapplicaties, mobiele platformen, Internet of Things, Big data en allerlei sociale interacties liggen de vraagstukken op een heel ander niveau. De eerste vraag die een organisatie moet stellen, is of die interactie bijdraagt aan een business case of alleen maar aan het risico. Die vraag kan alleen beantwoord worden door de business. Zonder dit antwoord kan vanuit de techniek alleen maar geprobeerd alles zo goed mogelijk dicht te timmeren. De echte risico’s worden daarmee echter niet afgevangen. Vaak moet ook veel inspanning worden geleverd voor een onvolledig resultaat. Dit kan en moet beter en de oplossing daarvoor is security moet veel meer vanuit de business te beoordelen. Overigens moet daar ook de legal bij betrokken worden. Dat is te vaak een discipline die niet direct betrokken is bij het opstellen van business besluiten.

Voor innovatie levert het betrekken van meer specialisten bij het proces een uitdaging op. Het mag namelijk niet meer tijd mag kosten of het werk  omslachtiger maken.

Die oplossing is simpeler dan veel organisaties verwachten. Door ontwikkelingen, zoals Agile en DevOps, gaan de business en IT namelijk al veel nauwer samenwerken. De logische vervolgstap is de security kennis in bestaande agile teams te integreren met devsecops. Zo kan de security vanaf het allereerste ontwerp van een wijziging worden meegenomen. Security is niet meer iets dat er op het laatst bovenop wordt geplakt, maar integraal onderdeel van het ontwerp van een systeem. Daardoor wordt software inherent veiliger, zonder dat het een extra belasting legt op de ontwikkelorganisatie.

Multidisciplinaire teams

Multidisciplinaire samenwerking is een voorwaarde in de stap naar devsecops. Security specialisten moeten de business meenemen in hun wereld en hen scholen in de basisproblematieken, zodat zij verstandiger beslissingen nemen. Ook moeten security specialisten ontwikkelaars stimuleren om de security risico’s van hun ontwikkelomgeving te leren kennen. Juridische specialisten moeten de agile teams informeren over veranderingen in wet- en regelgeving, zonder meteen zelf allerlei maatregelen te bedenken. Deze experts moeten dus primair als sparringpartner fungeren en niet als politieagent. De devsecops teams dienen vervolgens zelf na te denken hoe zij applicaties kunnen ontwikkelen compliant zijn met die wet- en regelgeving.

Op deze manier acteren zorgt ervoor dat bij iedereen in de organisatie basiskennis security en legal aanwezig is. Dat is een voorwaarde om de security en legal issues bespreekbaar en transparant te maken. Waar dit het geval is en met devsecops teams wordt gewerkt geeft het mensen de mogelijkheid van elkaar te leren en de vraagstukken beter te begrijpen. Dat leidt aantoonbaar tot betere oplossingen met breed draagvlak in de organisatie.

In het tweede deel van dit artikel wordt een concrete klantcase van Xebia bij KPN beschreven waar de principes van devsecops met succes zijn toegepast,

Over Dave van Stein

Dave van Stein is security and privacy consultant and DevOps enthusiast at Xebia. Acting as trainer, mentor, coach, and technical consultant he helps clients achieving a higher maturity level by integrating security and privacy controls into the Agile and DevOps way of working.

Laatste artikelen