Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Cultuurverandering nodig voor succes DevSecOps

Dit artikel delen:

Computable Expert

Edwin Tromp
Sales Consultant (Managed) Service Providers, F5 NETWORKS. Expert van Computable voor de topics Infrastructuur en Beheer.

Container-based ontwikkeling en agile methodes stimuleren innovatie en betrouwbaarheid van processen, maar heeft het applicatielandschap en het werk van security-teams sterk veranderd. Het risicomanagement van honderden apps moet in goede banen worden geleid. Om dat tot een succes te maken is digitale transformatie nodig, maar veel meer nog een cultuurverandering.

Er zijn tal van cloud-native bedrijven die hun hele applicatie-ecosysteem in de cloud hebben gebouwd, maar de meeste bedrijven zitten nog op een ander niveau. Sommige brengen één keer in het jaar, kwartaal of maandelijks een update uit, andere zijn nog aan het uitzoeken hoe ze moderne applicatie-ontwikkeling met agile processen moeten doorvoeren in de organisatie. Oudere, grotere bedrijven hebben vaak nog een mix aan legacy on-premise en nieuwe cloud-based apps.

De complexiteit kan zelfs de meest ervaren security-afdelingen te veel worden. Sommige updates vinden niet maandelijks, maar dagelijks plaats. Elke app krijgt een geautomatiseerde ontwikkelings-pipeline met eigen builds, releases en verschillende agile-teams. Het is ook niet vreemd dat in veel bedrijven de business harder gaat dan security. Aangezien iedereen in hetzelfde schuitje zit, wordt deze security-gap eerder groter dan kleiner, zeker wanneer apps worden ontwikkeld met een tempo dat simpelweg niet is bij te houden door security-teams. Hoe meer een organisatie is opgeschoven in dit proces, hoe sneller de ontwikkeling, hoe sneller en flexibeler het security-team moet zijn. De enige manier om dat op te lossen is via een doorwrocht DevSecOps-model waarin security een intrinsiek onderdeel is van ontwikkeling.

Met DevSecOps kunnen security-organisaties dezelfde standaarden doorvoeren en handhaven als ze gewend zijn, terwijl ze tegemoet komen aan de ontwikkelaars zonder het proces op te houden. Ze kunnen in hun eigen workflow werken en security-policies maken die de business nodig heeft, terwijl DevOps-teams met de snelheid kunnen werken die vanuit diezelfde business wordt vereist.

Cultuurverandering

"Security-specialisten zijn niet langer de ‘policy-meesters’ die van bovenaf dingen opleggen"

Dit lijkt allemaal een digitale stap, maar het vereist ook een andere manier van werken. Er moeten agile security-processen worden aangeleerd om aan te sluiten bij de moderne werkwijze van Dev-teams. En om je werkwijze aan te passen, moet je vaak ook je manier van denken veranderen. Bedrijven vergeten dit culturele aspect van vooruitgang te vaak. Zonder cultuurverandering, maakt het eigenlijk niet uit hoe agile ontwikkeling werkt, of zelfs wat digitalisering kan doen, want het zal nooit het gewenste effect halen.

Voor security-specialisten betekent dit vooral heel veel loslaten. Ze zijn niet langer de ‘policy-meesters’ die van bovenaf dingen opleggen. Ze moeten hun ervaring en kennis van risico’s aantonen, en dat doorvoeren op de snelheid van de business: snelle ontwikkeling, kortere release-cycles, en het overzicht behouden met samenwerkingstools als Slack en Microsoft Teams. En veel security-professionals hebben een heel ander beeld van hun job dan dat. 

De enige manier om in te spelen op agile ontwikkeling is om security een fundamenteel onderdeel te maken van het hele proces. Vanaf de start, anders ontstaat frictie en de Dev-teams gaan toch wel door met hun werk. Het security-team moet zich aanpassen aan deze 'frictievrije' omgeving, waarin testen onderdeel van een build zijn en security-beslissingen worden genomen als onderdeel van het proces, niet als losstaande elementen.

Een echte DevSecOps-omgeving vraagt om het neerhalen van silo’s en het maken van een crossfunctioneel-team dat is gericht op een gezamenlijk doel. DevOps is een ‘way of life’, terwijl SecOps dat niet meer is. Ze moeten samenkomen in DevSecOps, dat als één geheel functioneert. En we staan aan het begin ervan, dus een mooi moment om in te stappen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-12-03T10:58:00.000Z Edwin Tromp
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.