QXDAY Blog DevSecOps_Web banner

Hoe breng je DevSecOps in de praktijk?

DevSecOps

Security-incidenten zijn tegenwoordig dagelijkse kost. Een gemiddelde Nederlandse organisatie heeft te maken met ongeveer 294 cyberaanvallen per dag. Wereldwijd ligt dat aantal uiteraard hoger en resulteert dat in gemiddeld 30.000 data breaches elke dag. Hoe minimaliseer je als organisatie de kans op een datalek?

Tegelijkertijd met het aantal cyberaanvallen, groeit ook de vraag naar security. “De maatschappij verlangt dat security embedded wordt. Dat helpt om compliant te zijn aan regelgeving als AVG of Tiber voor de financiële sector”, zet Tim de Gier, Senior Security Advisor bij Sogeti Red Team. “Daarnaast vraagt het management zich steeds vaker af: zijn we wel in control? Wat kost een data breach eigenlijk en waar zitten onze zwakke plekken?”

Embedded security

“Iedereen binnen een organisatie is verantwoordelijk voor security, maar IT-afdelingen net iets meer dan de rest”, zegt De Gier. “Zij moeten de overige medewerkers namelijk faciliteren: de juiste tools aanreiken om veilig te werken. Bijvoorbeeld door applicaties dusdanig te beveiligen dat de kans op security issues in het dagelijks gebruik minimaal is.” Maar hoe krijg je dat in de praktijk voor elkaar? DevSecOps is dan ideaal. Hierbij embed je security in elke stap van het softwareontwikkelproces. Met uiteindelijk een veiligere applicatie als resultaat.

DevSecOps moet snel weer DevOps worden

De Gier vindt DevSecOps eigenlijk niet de juiste naam: “Het embedden van security is niet meer dan een kwaliteitsaspect van DevOps. Elk DevOps-team zou dat standaard moeten doen.” Helaas gebeurt dat nu nog niet genoeg: DevOps bevat van zichzelf te weinig security-kenmerken. Vandaar dat de aanpak waarbij security wel voldoende aandacht krijgt DevSecOps wordt genoemd. “Dat is voor nu een goede term, want daardoor beseffen DevOps-teams dat security een belangrijk aandachtspunt moet zijn. Het geeft hiermee de focus die nodig is. Hopelijk daalt dit besef snel in en wordt DevSecOps gemeengoed. Dan kunnen we het proces weer DevOps gaan noemen.”

Cultuur en tooling

DevSecOps vereist de juiste bedrijfscultuur én de juiste tools. Qua cultuur moet een IT-organisatie beseffen welke businesswaarde security heeft en een shift left maken. De Gier: “Neem security zo vroeg mogelijk mee in het development-proces. Denk bijvoorbeeld niet alleen na over use cases, maar ook over abuse cases – de cases die een risico vormen voor de organisatie. Zo mitigeer je veel security risico’s die anders aan het einde van het proces opgelost moeten worden.” Over de juiste tooling zegt De Gier: “Er zijn diverse tools die je kan integreren in je werkproces en pipeline. Deze tooling helpt je om alle securityaspecten in DevOps te waarborgen, bijvoorbeeld op code-niveau, in de running application en de dynamic analyse.”

Hoe werkt DevSecOps in de praktijk?

In zijn presentatie op QX Day laat De Gier zien hoe je security in de praktijk tot een vast onderdeel van DevOps maakt. Zo geeft hij een voorbeeld van een DevSecOps-pipeline met daarin allerlei tooling. Daarna vertelt Daniel Smits, Team Lead Risk Finance & Compliance bij Rabobank hoe deze financiële instelling met hulp van Sogeti DevSecOps heeft geïmplementeerd in de 100 tot 150 DevOps-teams binnen het domein Risk Finance & Compliance. Daarbij komen niet alleen de tooling maar ook de aanpak om de juiste DevSecOps-cultuur in te slijpen uitgebreid aan bod.

Benieuwd hoe je DevSecOps in de praktijk brengt? In de QX Day-presentatie over DevSecOps krijg je verschillende tips. Bijvoorbeeld over de inrichting van een DevSecOps-pipeline, het minimaliseren van risico’s op menselijke fouten en borgen van DevSecOps als vaste werkwijze binnen een organisatie.

Meer weten?

Ben je benieuwd hoe we organisaties kunnen helpen om cyber security naar het volgende level te tillen? Bekijk dan onze cyber security oplossingen en services.

Cyber security service

 

Kan ik je helpen?

Erwin Riemersma Senior Unitmanager
Phone number: +31 6 29563164