Vijf Vragen aan: Dave van Stein

Dave van Stein

Op ISP Today stonden eerder deze week twee artikelen van Dave van Stein. Het onderwerp waar hij over schreef, devsecops, zal voor een deel van de lezers onbekend zijn geweest. Om de artikelen nog beter te kunnen plaatsen hebben we Dave nog de volgende vijf vragen gesteld:

In de twee artikelen laat je zien dat devsecops leidt tot betere security bij innovaties. De case die je beschrijft is KPN. Is deze werkwijze alleen geschikt voor grote organisaties?

Nee, deze aanpak is bruikbaar voor elke organisatie die zelf software ontwikkeld. Voor grote organisaties is het grote voordeel van deze aanpak dat historisch gegroeide langzame processen weer terug worden gebracht naar de essentie en weer de verantwoordelijk wordt van de development teams. Voor kleinere organisatie heeft het als voordeel dat de, vaak beperkte, security en privacy resources ontlast worden en dus effectiever kunnen worden ingezet.

Devsecops zorgt voor meer en betere security, dat is een duidelijk voordeel. Leidt deze manier van innoveren ook tot aantoonbaar lagere kosten?

Kostenbesparing met deze aanpak wordt over een aantal assen bereikt. Om te beginnen zijn teams vanaf het eerste idee (bijvoorbeeld de epic in agile omgevingen) al bezig met de risico’s en mitigaties. Dit zorgt er voor dat al vroeg kan worden gestuurd op veilige oplossingen wat herbouw of discussies aan het eind van een traject verminderd. Daarnaast leiden ‘secure by design’ oplossingen aantoonbaar voor minder kritische incidenten in productie. Verder zorgt het vroegtijdig kijken naar risico’s voor oplossingen die compliant zijn met regelgeving zoals de AVG of sector specifieke regulaties wat het risico op boetes of sancties verminderd. Als laatste zorgt de betere inzet van resources tot een hogere efficiëntie.

Wat is jouw concrete rol bij dit soort trajecten?

Ik word meestal ingehuurd als bruggenbouwer of katalysator. Bij een klant probeer ik zo snel mogelijk de processen met de meeste impact op teams (vanuit een tijd of doorlooptijd perspectief) in kaart te brengen. De volgende stap is met alle stakeholders tegelijkertijd te kijken hoe die processen kunnen worden gewijzigd zodat de impact op teams drastisch afneemt en de efficiëntie wordt verhoogd. Daarna besteed ik veel tijd aan awareness en afstemming. Zo breng ik development teams bij dat het makkelijk is naar risico’s te kijken. Stafafdelingen als security en privacy leer ik kritisch te kijken naar hun processen met als doel deze zo goed mogelijk te laten aansluiten op het development process. Ook help ik om van een control based tollgate model over te stappen naar een ‘monitoren op afwijkingen’ model, zodat alle ontwikkelingen die volgens de afgesproken regels werken, zo min mogelijk  worden belast met tijdsintensieve controles. Automatisering van diverse processen is daarbij een veelgebruikt en effectief middel.

Devsecops is redelijk nieuw, over welke kennis en vaardigheden beschik jij om daarbij je rol te kunnen vervullen?

Ik ben begonnen in de IT als tester en heb daarbij geleerd dat denken in business risico’s belangrijker is dan kijken naar bugs. Toen ik mijn eerste stappen op het gebied van security zette, viel me vooral op dat de business poot security vaak autonoom werkt, onafhankelijk van de business en development. Mijn ervaring met hoe software ontwikkeling werkt, gecombineerd met mijn begrip van business risico’s en inhoudelijk kennis van security en privacy zorgen er voor dat ik simpel aansluiting vind met alle stakeholders in een organisatie en processen snel terug kan brengen tot de essentie die de business value levert.

Is er veel vraag naar deze manier van werken?

De laatste 2 jaar heeft het begrip devsecops een vlucht genomen en momenteel is het volgens sommigen zelfs een hype. Dat laat onverlet dat de achterliggende filosofie die gestart is met Agile hout snijdt en zal blijven gelden. Kijk kritisch naar je processen, doe alleen dingen die toegevoegde waarde hebben en maak zo effectief mogelijk gebruikt van je resources. Het aansluiten van security, privacy, compliance en risk afdelingen zie ik als een niet te stoppen volgende stap in deze evolutie.

De ideeën achter devsecops zijn dan ook niet nieuw; het is gewoon de volgende bottleneck die we aan het versimpelen zijn. De term devsecops is misschien een hype, de manier van werken is de enige manier om in de toekomst slagvast en wendbaar te blijven als organisatie. En ja natuurlijk is er sprake van een toenemende vraag vanuit bedrijven, overheden en andere organisaties naar ondersteuning op dit vlak. Xebia is ook voor het team waar ik deel van uitmaak nog op zoek naar nieuwe collega’s.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.