In veel organisaties zit het scheef tussen security-verantwoordelijken enerzijds en it en softwareontwikkeling anderzijds. Deze laatste groep vindt vaak dat het securitybeleid innovatie in de weg staat. Al lijkt er beterschap in zicht. ‘Security moet echt een teamsport worden.’
Security wordt in veel organisaties nog als belemmering gezien. Zo geeft 61 procent van de it-teams en 52 procent van de ontwikkelaars aan dat securitybeleid innovatie in de weg staat.
Dit zijn conclusies uit recent onderzoek uitgevoerd door Forrester bij ongeveer 1.500 it- en security-managers, waaronder ook in België en Nederland. Het onderzoek – met als titel Bridging the developer and security divide – gebeurde in opdracht van VMware.
1. Ontwikkelaars staan (nog te) ver af van security
Uit het onderzoek blijkt dat slechts een op de vijf (22 procent) ontwikkelaars precies weet aan welk security-beleid ze zich moeten schikken. Opvallend is ook dat meer dan een kwart (27 procent) van de ondervraagden op geen enkele manier betrokken is bij het ontwikkelen van dit beleid, terwijl dat tegelijk wel grote invloed heeft op hun werk.
Organisaties waar it-beveiligings- en -ontwikkelteams een positieve werkrelatie hebben, kunnen, volgens Forrester, hun softwareontwikkelcyclus tot wel vijf werkdagen versnellen. Dit in vergelijking met organisaties waar dat niet het geval is.
2. Prioriteiten verschillen
De resultaten laten zien dat teamprioriteiten niet altijd in lijn zijn. Zo is operationele efficiëntie dé prioriteit van it- en security-teams, met het voorkomen van security-inbraken op nummer twee.
Bij de ontwikkelaars zit dat anders. Daar is de topprioriteit het ‘verbeteren van de klantervaring’, terwijl dat streven bij it- en security-teams pas op de vierde plek staat.
3. Waarom stroomlijnen?
Teams die moeite hebben om met andere teams op een lijn te komen, werken steeds meer in silo’s, waarbij de samenwerking tussen verschillende teams afneemt (bij 60 procent het geval in het onderzoek), het risico op inbraken toeneemt (bij 57 procent) en applicaties minder snel worden opgeleverd (bij 40 procent).
Security moet echt een teamsport worden, benadrukt Rick McElroy, principal cybersecurity strategist bij VMware. ‘We moeten naar een cultuur waarin alle teams gezamenlijke interesses, doelen en data delen en waarin één taal wordt gesproken. Het is echt waardevol voor een onderneming wanneer it, security en developers ook allen onderdeel zijn van het maken, ontwikkelen en uitvoeren van het beleid.’
4. Is het allemaal kommer en kwel?
Neen, en dat blijkt op diverse vlakken. Meer dan de helft (53 procent) van de respondenten verwacht dat security- en development-teams de komende twee tot drie jaar meer een eenheid zullen vormen.
Zo wordt security meer onderdeel van het ontwikkelproces. Dit zal volgens de respondenten zorgen voor minder teamsilo’s, veiligere applicaties en meer flexibiliteit om nieuwe workflows en technologie te adopteren.
5. En de toepassingen
Over technologie gesproken: ook op niveau van de toepassingen zit een en ander in een stroomversnelling. Samen met de aandacht rond DevSecOps, dat tot doel heeft om beveiliging in te bouwen in de snelle releasecycli, kenmerkend voor moderne applicatieontwikkeling.
Denk aan de opmars van securityplatformen als Snyk, die geïntegreerd worden met ontwikkeltools, maar ook met infrastructuur. Zij moeten bijdragen tot betere code – bijvoorbeeld door het opsporen van open source-kwetsbaarheden – en een betere security governance.
6. Developer first?
Peter McKay, ceo van Snyk, spreekt dan ook over een developer-first aanpak. Oftewel: beveiliging vertrekt vanuit de ontwikkelaar. ‘Ons securityplatform richt zich op ontwikkelaars, zodat zij worden begeleid om security en security controles in het softwareontwikkelproces op te nemen’, zo klonk het op Snyk Impact het virtuele event van Snyk. Het bedrijf groeit als een kool. Vorige maand raakte een nieuwe investeringsronde van 450 miljoen euro bekend, waardoor Snyk al waardeert op ruim 7,3 miljard euro.
Snyk is een opvallende groeier, maar zeker niet de enige. Zo zijn er nogal wat securityleveranciers en andere technologiebedrijven die bedrijven eveneens willen bijstaan bij het beveiligen van applicaties. Of hoe beveiliging en ontwikkeling (eindelijk) dichterbij komen.
