Zoeken

DevSecOps: Het geheim van digitale groei 

Sanne Kuijpers
DevSecOps specialist

Digitalisering is een drijvende kracht achter de transformatie van organisaties. Het belooft verbeterde efficiëntie en effectiviteit in bedrijfsvoering, waardoor kansen ontstaan voor innovatie en groei. Daar staat tegenover dat deze digitalisering ook gepaard gaat met een groeiend scala aan security risico’s.  

Hoe kun je als organisatie groeien en optimaal profiteren van de kansen die digitalisering biedt zonder daarbij de cybersecurity risico’s uit het oog te verliezen?   

Sanne Kuijpers deelde tijdens een lezing op Cloud Expo 2023 het geheim achter deze digitale groei.

DevSecOps

Het geheim ligt, volgens Sanne, in het integreren van security vanaf het prille begin van ieder ontwikkelingsproces. Geen last-minute tests om te controleren of alles veilig is, maar een constante aandacht voor security tijdens het hele proces. Dit inbedden van security vanaf het begin van een ontwikkeltraject wordt ook wel aangeduid als Shift Left. Onderzoek door de Cloud Security Alliance (CSA) wijst uit dat DevSecOps voor de meeste organisaties nog een vrij nieuw concept is. Hoewel 90% van alle bedrijven aangeeft met DevSecOps op weg te zijn, zegt slechts 30% dat ze DevSecOps volledig in de praktijk implementeren. Dat betekent dat de meeste organisaties zich nog in een fase van DevSecOps-ideevorming en planning bevinden.  

Sanne illustreert het belang van de DevSecOps aanpak aan de hand van twee bekende voorbeelden waarin het misging: het GGD-datalek in januari 2021. Medewerkers van de GGD hadden toegang tot veel meer data dan noodzakelijk en konden die te eenvoudig inzien en exporteren. Dit leidde tot het downloaden en verhandelen van persoons- en medische gegevens van iedereen die zich had laten testen op corona, of onderdeel uitmaakte van een bron- en contactonderzoek

Het tweede voorbeeld betreft een datalek bij marktonderzoeker Blauw. Het marktonderzoekbureau gebruikte onveilige software van een toeleverancier. Hierdoor ontstond een datalek waarbij gegevens van klanten van 139 organisaties waaronder Vodafone, Ziggo, Arboned en de Nederlandse Spoorwegen op straat kwamen te liggen. 

Nog te vaak worden, zoals in de voorbeelden, de meeste beveiligingstests uitgevoerd nadat de ontwikkeling is voltooid. Of wordt zomaar aangenomen dat een andere partij de security wel op orde heeft. Dit betekent dat als er beveiligingskwetsbaarheden zijn, je weer terug moet naar de tekentafel en het kan zijn dat je helemaal opnieuw moet beginnen in je ontwikkelingscyclus. Wat op zijn beurt weer zorgt voor vertraging in de productrelease. Als deze beveiligingsproblemen worden genegeerd, kan dit de veiligheid van de hele organisatie in gevaar brengen omdat belangrijke gegevens niet goed beschermd zijn en/of toegang mogelijk is door mensen die daartoe niet geauthoriseerd zijn.

Het integreren van security gedurende het volledige ontwikkelproces van software en de implementatie ervan staat bekend als DevSecOps. Het doel van DevSecOps is om beveiliging op te nemen in jouw CI/CD-workflow in zowel pre-productie (dev) als productie (ops) omgevingen. Simpel gezegd stelt DevSecOps je in staat om sneller veiligere software te maken. Fouten en kwetsbaarheden kunnen vroeg in het ontwikkelingsproces worden ontdekt, waardoor de ontwikkeltijd aanzienlijk wordt verminderd en kosten drastisch worden gereduceerd. 

De drie pijlers van DevSecOps 

Om DevSecOps effectief te implementeren, benadrukt Sanne de drie essentiële pijlers: Mensen, Proces en Technologie.  

Mensen

Aan 90% van cyberaanvallen gaat een menselijke fout vooraf. Voorbeelden hiervan het onbewust delen van gevoelige informatie, het klikken op phishing-e-mails of het onzorgvuldig omgaan met documenten en USB-sticks. Het juist opleiden van teams en het creëren van een security-mindset is daarom het startpunt.

Het is van levensbelang dat medewerkers zich bewust zijn van hun rol in informatiebeveiliging. Maar het gaat verder dan alleen het bewustzijn. Ook om het begrijpen van de mogelijke bedreigingen. En nog belangrijker: de impact van mogelijke cyberaanvallen op het bedrijf, de medewerkers, klanten en leveranciers. Een security awareness trainingsprogramma zorgt voor het juiste begrip en bewustzijn en leidt ertoe dat sneller en op de juiste manier actie wordt ondernomen wanneer dit nodig is. Medewerkers weten welke incidenten ze moeten melden en kunnen zo sneller ingrijpen bij een mogelijke dreiging.  

Maar het gaat verder dan enkel bewustzijn; het draait om het begrijpen van mogelijke bedreigingen en, nog belangrijker, de impact van mogelijke cyberaanvallen op het bedrijf, medewerkers, klanten en leveranciers. Aanvullend op het belang van security awareness benadrukt Sanne ook het cruciale aspect van het empoweren van teams door het delen van de juiste kennis en ervaring. Dit omvat ook het inzetten van de juiste rollen en expertise, het opleiden van security champions, en het vrijmaken van tijd om voldoende aandacht te besteden aan cybersecurity.

Om teams te enablen, is het van essentieel belang om prioriteiten te stellen, bijvoorbeeld met de hulp van een Product Owner (PO). Vaak krijgt functionaliteit prioriteit boven 'onzichtbare' securitymaatregelen. Het tonen van de toegevoegde waarde van security aan zowel de business als de ontwikkelaars is cruciaal. Wanneer duidelijk is wat het oplevert in termen van bescherming, efficiëntie en bedrijfscontinuïteit, ontstaat er niet alleen een verplichting om securitymaatregelen te nemen, maar ontstaat er ook een intrinsieke motivatie om dit te willen doen.

Het betrekken van de juiste stakeholders en het opzetten van effectieve communicatielijnen spelen hierbij een sleutelrol. Dit helpt niet alleen bij het duidelijk definiëren van verantwoordelijkheden, maar ook bij het overbrengen van de waarde van security in termen die relevant zijn voor de bredere organisatie.

Proces

Vroeg in het proces moeten teams nadenken over security om te voorkomen dat een kwetsbaarheid in een latere fase van het ontwikkeltraject moet worden opgelost. De kosten van het oplossen van een kwetsbaarheid worden namelijk exponentieel hoger bij iedere fase die wordt doorlopen. Het is dus aan te raden al in de requirements-fase veel aandacht aan security te geven. Kuijpers benadrukt het belang van gestructureerde processen, en duidelijke communicatielijnen zodat het duidelijk is wie verantwoordelijk is voor welke aspecten van security en met wie moet worden gecommuniceerd als er een issue is over de risico's en naar wie het sein go/no-go richting productie dient te worden gegeven.

Technologie

Automatisering en tools spelen een cruciale rol bij het integreren van security zonder de ontwikkeling te vertragen. Wanneer jouw organisatie al tools en platformen in gebruik heeft die passen bij de DevOps-omgeving is het volgens Sanne belangrijk om hier waar mogelijk gebruik van te maken. Wanneer gebruikte systemen, tools en processen bekend zijn binnen de organisatie bevordert dit een snelle en effectieve uitrol van DevSecOps.  

DevSecOps in de praktijk: het SAMM-model 

Het SAMM-model kan worden gebruikt als een meetinstrument voor de volwassenheid van DevSecOps in een organisatie. Het model is ontwikkeld door het 'Open Web Application Security Project', beter bekend als OWASP. Dit is een non-profitorganisatie die zich inzet voor het verbeteren van software veiligheid.  

SAMM helpt bij het ontwikkelen en implementeren van een strategie voor softwarebeveiliging op basis van hun specifieke risico's en behoeften. Het model biedt heldere rapportage en meetbare stappen om de beveiligingsvolwassenheid van software in kaart te brengen en geleidelijk te verbeteren. Hierdoor kunnen organisaties doorlopend evalueren waar ze staan en hoe ze hun beveiligingsniveau kunnen verhogen. 

Implementatie 

De implementatie van DevSecOps volgt een gestructureerde aanpak:  

Assessment: Identificeer de huidige staat van de organisatie met betrekking tot DevSecOps door te praten met teams en stakeholders en het evalueren van documenten en processen.  

Voorbereiding en ontwikkeling: Bereid de organisatie voor op de implementatie door features te identificeren, zoals training en kennisdeling, en ontwikkel de benodigde middelen.  

Implementatie: Rol de DevSecOps-praktijken uit op basis van de voorbereide functies en meet de voortgang aan de hand van het SAMM-model.  

DevSecOps in de cloud

Sanne benadrukt de synergie tussen DevSecOps en cloudomgevingen. De transitie naar de cloud kan soepeler verlopen door stapsgewijze implementatie van DevSecOps-praktijken.  

Conclusie

Het geheim van digitale groei is duidelijk: begin met DevSecOps en neem security op in het DNA van het ontwikkelingsproces. Met de juiste focus op Mensen, Proces en Technologie, en met behulp van het SAMM-model van OWASP, kunnen organisaties een succesvolle reis naar veilige digitale groei ondernemen.  

Op de lange termijn is deze techniek kosteneffectief, preventief en proactief. De adoptie van DevSecOps zal alle ontwikkelaars betrekken bij het nemen van beveiligingsmaatregelen en het creëren van een omgeving waarin beveiliging vanaf het begin van de ontwikkeling een rol speelt.  

Samengevat draagt de implementatie van DevSecOps bij aan een veiliger, efficiënter en wendbaarder ontwikkelingsproces, wat gunstige gevolgen heeft voor de algehele bedrijfsprestaties en concurrentiepositie.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11