Container-based ontwikkeling en agile methodes stimuleren innovatie en betrouwbaarheid van processen, maar heeft het applicatielandschap en het werk van security-teams sterk veranderd. Het risicomanagement van honderden apps moet in goede banen worden geleid. Om dat tot een succes te maken is digitale transformatie nodig, maar veel meer nog een cultuurverandering.
Er zijn tal van cloud-native bedrijven die hun hele applicatie-ecosysteem in de cloud hebben gebouwd, maar de meeste bedrijven zitten nog op een ander niveau. Sommige brengen één keer in het jaar, kwartaal of maandelijks een update uit, andere zijn nog aan het uitzoeken hoe ze moderne applicatie-ontwikkeling met agile processen moeten doorvoeren in de organisatie. Oudere, grotere bedrijven hebben vaak nog een mix aan legacy on-premise en nieuwe cloud-based apps.
De complexiteit kan zelfs de meest ervaren security-afdelingen te veel worden. Sommige updates vinden niet maandelijks, maar dagelijks plaats. Elke app krijgt een geautomatiseerde ontwikkelings-pipeline met eigen builds, releases en verschillende agile-teams. Het is ook niet vreemd dat in veel bedrijven de business harder gaat dan security. Aangezien iedereen in hetzelfde schuitje zit, wordt deze security-gap eerder groter dan kleiner, zeker wanneer apps worden ontwikkeld met een tempo dat simpelweg niet is bij te houden door security-teams. Hoe meer een organisatie is opgeschoven in dit proces, hoe sneller de ontwikkeling, hoe sneller en flexibeler het security-team moet zijn. De enige manier om dat op te lossen is via een doorwrocht DevSecOps-model waarin security een intrinsiek onderdeel is van ontwikkeling.
Met DevSecOps kunnen security-organisaties dezelfde standaarden doorvoeren en handhaven als ze gewend zijn, terwijl ze tegemoet komen aan de ontwikkelaars zonder het proces op te houden. Ze kunnen in hun eigen workflow werken en security-policies maken die de business nodig heeft, terwijl DevOps-teams met de snelheid kunnen werken die vanuit diezelfde business wordt vereist.
Cultuurverandering
Dit lijkt allemaal een digitale stap, maar het vereist ook een andere manier van werken. Er moeten agile security-processen worden aangeleerd om aan te sluiten bij de moderne werkwijze van Dev-teams. En om je werkwijze aan te passen, moet je vaak ook je manier van denken veranderen. Bedrijven vergeten dit culturele aspect van vooruitgang te vaak. Zonder cultuurverandering, maakt het eigenlijk niet uit hoe agile ontwikkeling werkt, of zelfs wat digitalisering kan doen, want het zal nooit het gewenste effect halen.
Voor security-specialisten betekent dit vooral heel veel loslaten. Ze zijn niet langer de ‘policy-meesters’ die van bovenaf dingen opleggen. Ze moeten hun ervaring en kennis van risico’s aantonen, en dat doorvoeren op de snelheid van de business: snelle ontwikkeling, kortere release-cycles, en het overzicht behouden met samenwerkingstools als Slack en Microsoft Teams. En veel security-professionals hebben een heel ander beeld van hun job dan dat.
De enige manier om in te spelen op agile ontwikkeling is om security een fundamenteel onderdeel te maken van het hele proces. Vanaf de start, anders ontstaat frictie en de Dev-teams gaan toch wel door met hun werk. Het security-team moet zich aanpassen aan deze ‘frictievrije’ omgeving, waarin testen onderdeel van een build zijn en security-beslissingen worden genomen als onderdeel van het proces, niet als losstaande elementen.
Een echte DevSecOps-omgeving vraagt om het neerhalen van silo’s en het maken van een crossfunctioneel-team dat is gericht op een gezamenlijk doel. DevOps is een ‘way of life’, terwijl SecOps dat niet meer is. Ze moeten samenkomen in DevSecOps, dat als één geheel functioneert. En we staan aan het begin ervan, dus een mooi moment om in te stappen.
