In het kader van het vijftigjarig bestaan van Computable voert de ict-vaktitel in 2018 samen met Xebia Group een aantal onderzoeken uit. Eind december 2017 is in dit kader samen met Xebia Security het securityonderzoek gestart voor de Security Survey 2018. Inmiddels hebben 113 mensen deelgenomen aan dit doorlopende onderzoek en komt Computable met tussentijdse resultaten.
In dit dossier richten wij ons op security by design, of DevSecOps zoals het ook in de softwareontwikkeling wordt genoemd. Het principe is even simpel als logisch: hou bij de ontwikkeling van een (software)product al rekening met de beveiliging. Het voorkomt dat je met een kant-en-klaar product terug moet naar de tekentafel om de security te gaan regelen, wat een latere marktintroductie tot gevolg zou hebben.
DevSecOps
Zo simpel en logisch als security by design mag klinken, zo slecht is het op dit moment nog maar doorgedrongen in de Nederlandse ict-markt. Uit de tussentijdse rapportage van Xebia Security en Computable blijkt dat een schamele 8,7 procent op dit moment DevSecOps inzet om veilige software op te leveren. 32,6 procent van de respondenten geeft aan zelfs nog nooit van de term gehoord te hebben. Dat betekent als schrale troost dat 58,7 procent van de respondenten wel bekend met het fenomeen DevSecOps is, maar dus nog geen concrete stappen hiertoe maakt.
Maar DevSecOps, wat is dat nou precies? Eigenlijk is het hetzelfde als DevOps, maar dan zitten ook de securityprincipes ingebakken in het ontwerp. DevSecOps is meer een mentaliteit, het is het nadenken over je beveiliging voordat je software gaat ontwikkelen, of erger, al aan het ontwikkelen bent of afgerond hebt. De security zit dus ingebakken in het ontwikkelproces waarmee het gewaarborgd is in het uiteindelijke softwareproduct.
Respondenten onderzoek
Xebia Security voert op dit moment nog steeds het onderzoek uit dat moet leiden tot de Security Survey 2018. De resultaten die hier aan bod komen zijn dus voorlopig. DevSecOps is niet het enige onderzochte. De tussentijdse resultaten zijn in ieder geval gebaseerd op de input van 113 respondenten. Van deze groep is 28,3 procent actief op directieniveau en beslist dus over strategie. 19,5 procent vervult een managementrol en 15,0 procent is een securityprofessional. 37,2 procent deed vanuit een andere discipline, zoals consultants, mee aan dit securityonderzoek.
Deelnemers aan de Security Survey 2018 komen met 31,9 procent vooral uit de ict-markt zelf vandaan. Ook de overheidsmarkt is met 20,4 procent goed in het onderzoek vertegenwoordigd. De bancaire markt is met 4,4 procent goed als de derde markt in dit onderzoek, overigens met evenveel respondenten als de markt voor computer- en netwerkbeveiliging. Deze laatste markt wordt in dit onderzoek los gezien van de ict-markt. Deelname aan dit onderzoek is overigens mogelijk voor alle directeuren, managers en engineers die zich met security bezighouden, ongeacht de branche.
Ontwikkelmethoden
In totaal 13,0 procent van de respondenten denkt dat de grootste securityuitdagingen voor de komende tijd zullen liggen op netwerk- en infrastructuurniveau. Juist weer 39,1 procent denkt dat dit op softwareniveau ligt. Bijna de helft van alle deelnemers (47,8 procent) schat beide domeinen als gelijkwaardig in waar hetop de beveiliging aankomt.
De Security Survey 2018 van Computable en Xebia Security richt zich vooral op de softwarematige kant van het ontwikkelproces. Als er naar het ontwikkelproces gekeken wordt, dan is dit grofweg in drie smaken op te delen: de watervalmethode, agile en DevOps. Uit het onderzoek blijkt dat de watervalmethode toch wel zijn langste tijd heeft gehad, want slechts 4,4 procent van de respondenten levert nog software via deze methode op. Agile daarentegen is ongekend populair, precies de helft van de deelnemers aan dit onderzoek ontwikkelt volgens dit principe. Daar bovenop vindt 82,6 procent van de respondenten dat security een integraal onderdeel van het agile-ontwikkelproces moet zijn. 6,5 procent is het hier niet mee eens en vindt dat pen tests, audits en securitybeleid afdoende zijn.
DevOps wordt bij 23,9 procent van de organisaties ingezet. Het overige deel wordt ingevuld op projectmatige basis, er wordt voor een combinatie van twee van deze drie methoden gekozen, maar ook komen er smaken als privacy by design, trial & error, volgens industriestandaarden en de klassieke aanpak voorbij.
Softwareontwikkelproces
Tegenwoordig draait het bij de ontwikkeling van een softwareproduct vooral om timing. Op het juiste moment moet een applicatie of tool in de markt worden gezet. De mate van het opleveren van software is hierin dus leidend. Toch zijn we in Nederland niet structureel snel met het opleveren. 26,1 procent van de organisaties levert maandelijks nieuwe software op, toch doet een kleine 30 procent er beduidend langer over. Het grootste deel van deze groep geeft zelfs aan dat nieuwe software slecht halfjaarlijks of zelfs jaarlijks opgeleverd wordt.
Toch is scrum wel degelijk een belangrijk onderdeel geworden van het Nederlandse softwareontwikkelingsproces. Steeds vaker wordt er namelijk in sprints gewerkt. Dit resulteert erin dat 21,7 procent elke twee weken nieuwe software oplevert. Met 10,9 procent gebeurt dit ook zowel wekelijks als meerdere keren per week. In de Security Survey 2018 is op dit moment zelfs één deelnemer die elke dag nieuwe softwarecode oplevert.
Tegenwoordig wordt ook het softwareontwikkelproces geautomatiseerd om constant te kunnen leveren. Toch maakt 56,7 procent van de respondenten geen gebruik van zo’n automated pipeline voor het opleveren van software. 6,5 procent van de deelnemers doet aan continuous integration, 13,0 procent hanteert continuous deplyment en 21,7 procent handelt volgens continuous delivery.
GDPR
Veel securitymaatregelen die momenteel worden genomen zijn geënt op het waarborgen van privacy. Deze maatregelen worden vooral nu genomen omdat 25 mei 2018 de nieuwe Europese privacywetten van de GDPR gaan gelden. In de Security Survey 2018 is daarom ook gevraagd wat organisaties al ondernomen hebben om aan deze GDPR te voldoen. Hieruit blijkt het volgende:
– 78,3 procent heeft een Procedure bij melding van een datalek.
– 58,7 procent past privacy by design-principes tijdens softwareontwikkeling.
– 54,3 procent doet een privacy impact assessment voor aanvang van nieuwe projecten.
– 52,2 procent heeft dataretentie, toestemming en juridische grondslag beschikbaar en leeft dit na.
– 41,3 procent heeft privacybeleid dat beschrijft hoe, waar en waarom data wordt verwerkt.
– 41,3 procent heeft privacy by default als standaard instelling voor nieuwe applicaties.
– 37,0 procent heeft een complete integratie van het proces voor toegang tot data.
– 34,8 procent heeft een aanvullende procedure op de processorovereenkomst.
– 23,9 procent heeft een complete integratie van het proces om data over te dragen/mee te nemen.
– 23,9 procent heeft een complete integratie van het proces om data te wissen.
Pen tests en audits
Het ontwikkelen van software is dus een, het beveiligen ervan is weer heel andere koek. In de Security Survey 2018 is daarom specifiek gevraagd naar hoe vaak software doorgelicht wordt op zwakke plekken en slechte ervaringen. Maar liefst 23,9 procent doet dit enkel op verzoek van derden en 17,4 procent doet dit ad hoc. 34,8 procent van de respondenten controleert zijn software voordat het opgeleverd wordt en 23,9 procent doet dit automatisch bij het bouwen van code.
Vergelijkbare percentages zijn terug te vinden bij de vraag over hoe vaak er pen tests worden uitgevoerd. 26,1 procent doet dit dan op verzoek van een derde partij en 23,9 procent doet dit ad hoc. Het percentage hier voor livegang is hetzelfde als bij de controle van software: 34,8 procent. Een percentage van 15,2 procent voert geautomatiseerde pen tests uit bij de ontwikkeling van software.
Audits doe je niet zo vaak als controles van software of pen test. De Security Survey 2018 vroeg daarom aan zijn deelnemers hoe lang organisaties er over doen voordat ze alle informatie verzameld hebben voordat er een audit kan worden uitgevoerd. 10,9 procent doet hier maar liefst maanden over. De meerderheid (37,0 procent) geeft aan dat het hier weken over doet en 26,1 procent geeft aan dat dit zowel dagen als uren duurt.
Mate van betrokkenheid
Om tot een juiste inschatting te komen hebben Xebia Security en Computable de deelnemers aan de Security Survey 2018 ook gevraagd in welke mate beveiliging is betrokken bij het softwareontwikkelingsproces. 21,7 procent van de respondenten geeft aan dat security helemaal geen op zichzelf staande afdeling is en dat de verantwoordelijkheid voor incidenten is belegd op directieniveau. 13,0 procent geeft aan dat security de kantlijnen bepaalt en deze regelgeving toetst door middel van pen test en audits. Hetzelfde percentage benoemt security als actieve stakeholder dat de projectspecifieke requirements bepaalt. 19,6 procent van de deelnemers aan het onderzoek ziet security als actieve deelnemer en als onderdeel van het softwareontwikkelingsproces en nog eens een 32,6 procent ziet security als een gedeelde verantwoordelijkheid en een integraal onderdeel van dit proces en alle activiteiten.
Uit het onderzoek blijkt wel dat security in software staat of valt met de toegekende verantwoordelijkheden. Zo is er bij 43,4 procent van de respondenten een informatiebeveiligingsbeleid ontwikkeld dat van toepassing is op ieder te bouwen applicatie. 17,4 procent zet securityarchitecten in bij het bepalen van de scoop van een project en 21,7 procent belegt de beveiliging in de teams zelf. Het overige deel zoekt een combinatie van deze verantwoordelijkheden op of belegt het bij een derde partij.
Blok aan been
De noodzaak om software te beveiligen is evident, toch kan security of privacy ook een blok aan het been vormen van het softwareontwikkelingsproces. Maar liefst 39,1 procent van de respondenten meent dat dit proces iets wordt vertraagd security, 6,5 procent ondervindt zelfs enorme vertraging. Ook nog eens 4,4 procent ervaart security en privacy zelfs als de spelbreker waardoor de ontwikkeling van software helemaal wordt stop gezet. Dat betekent, gelukkig, dat precies de helft van de deelnemers aan het onderzoek de toegevoegde waarde van security en privacy ziet en hier geen vertraging door ervaart.
Met deze cijfers is het gerechtvaardigd om de deelnemers aan de Security Survey 2018 te vragen naar hun roadmap om het softwareontwikkelingsproces te beveiligen. Ruim de helft (52,2 procent) heeft hiervoor een strategie uitgerold en handelt hiernaar. Toch geeft ook 37,0 procent aan dat er helemaal geen roadmap is. Op dit moment oriënteert 10,9 procent zich op het ontwikkelen van een roadmap en heeft hiervoor een externe partij in de arm genomen.
Doorlopend onderzoek
Zoals eerder vermeld zijn de genoemde cijfers in dit artikel uit een tussentijdse rapportage, het onderzoek voor de Security Survey loopt nog door. In mei 2018 zullen gekoppeld aan de start van de GDPR nieuwe resultaten online worden gecommuniceerd. De definitieve resultaten uit het onderzoek worden gepresenteerd tijdens de Infosecurity.nl op 31 oktober en 1 november 2018 in de Utrechtse Jaarbeurs.
(Deze bijdrage is afkomstig uit Computable Magazine, editie 02/2018.)
Doe ook mee!
Het onderzoek voor de Security Survey 2018 loopt tot in het derde kwartaal van 2018. Het onderzoek van Xebia Security en Computable richt zich op iedereen die werkt in of met ict-beveiliging. Te denken valt dan aan functies op directieniveau, zoals ciso’s, cto’s en cio’s, maar ook it-securitymanagers en security-architecten. Het onderzoek probeert de grootste securityrisico’s in software in kaart te brengen in en bij Nederlandse organisaties.
Om tot de meest waardevolle resultaten te komen, roepen Xebia Security en Computable iedereen die werkzaam is in of met ict-security op om aan het onderzoek deel te nemen. Dit kan anoniem, personen die wel hun gegevens achterlaten kunnen het gehele rapport toegestuurd krijgen.
Deelnemen aan het onderzoek? Klik dan hier.
