Omdat devops-teams zo snel mogelijk nieuwe applicaties moeten ontwikkelen, schiet security er nog weleens bij in. Om de beveiliging bij nieuwe producten toch te waarborgen, moeten devops- en securityteams samenkomen in zogeheten devsecops-teams. Deze eis om een nieuwe dynamiek tussen de twee afdelingen is één van de drie security-uitdagingen waar organisaties in de Benelux mee worstelen.
Dat vertellen Steven Heyde (Benelux-directeur) en Bryan Webster (principal architect) tijdens het Cloudsec-evenement van Trend Micro in Londen.
‘Organisaties kunnen zich met snelle (app)ontwikkeling onderscheiden van de concurrentie’, vertelt Bryan Weber. ‘Elke vorm van vertraging is de vijand van een devops-team. Denk hierbij aan handmatige processen. Maar ook security kan door app-ontwikkelaars gezien worden als een vertragende factor tijdens de ontwikkeling.’
Zijn securityteams klaar voor die snelheid die devops-teams verwachten? Volgens Webster zijn er weinig organisaties die dit op orde hebben. ‘Security- en ontwikkelteams hebben twee totaal verschillende doelen. Bij development staat snelheid centraal. Zij moeten zo snel mogelijk een product opleveren dat de business ondersteunt en hun mogelijkheden biedt. Gezien die snelheid, wordt cyberveiligheid soms gepasseerd. En dat terwijl securityteams juist willen dat beveiliging al tijdens het ontwikkelproces wordt meegenomen, al is het omdat de kosten hoger worden naarmate de security in een later stadium wordt toegevoegd.’
Security by code
‘Securityteams hebben vaak het gevoel dat ontwikkelaars een hekel aan beveiliging hebben. Dat is niet zo; ze hebben een hekel aan vertraging.’ Volgens Webster moet daarom de dynamiek tussen beide teams aangepast worden. ‘Een securityteam moet zich op een andere manier gaan opstellen. In plaats van beveiligingseisen opleggen, moeten ze de ontwikkelaars ondersteunen om aan de gestelde security-eisen te voldoen. Securityprofessionals moeten hierbij een aanpak kiezen die aansluit bij de snelheidsdoelstelling van de ontwikkelteams.’
Webster adviseert securityteams daarom om gestandaardiseerde diensten voor developers te ontwikkelen. ‘Dit noemen wij security by code. Hierbij leveren beveiligingsteams een veilige code aan die developers al tijdens de start van het ontwikkelproces kunnen inzetten.’
Codeertalent
Over het algemeen beschikken securityprofessionals niet over codeerkennis. Hoe gaan zij dan deze codes schrijven en dit als dienst bij de ontwikkelteams aanleveren? Volgens de Trend Micro-architect vraagt dat om nieuwe competenties binnen het beveiligingsteam. En dat kunnen organisaties op meerdere manieren aan hun team toevoegen.
‘Natuurlijk kun je hier nieuw talent voor aantrekken’, vertelt Webster. ’Vorig jaar gaf ik het advies om nieuwe beveiligingsexperts aan te nemen die geïnteresseerd zijn in coderen, maar vandaag de dag moet dit een harde eis zijn tijdens het sollicitatieproces.’
Ook is intern te werken aan deze development skills. ‘Peil binnen het security-team wie geïnteresseerd is in coderen en biedt hen opleiding op het gebied van development. Of zoek binnen het ontwikkelteam naar leden die interesse hebben in security, en laat hen de overstap maken naar jouw security-team.’
Daarnaast is het belangrijk om in je securityprofessionals te investeren. ‘Zorg dat hun kennis up-to-date is. Zo is het raadzaam beveiligingsexperts niet enkel naar cybersecurity-conferenties te sturen. Laat ze ook eens conferenties van softwareleveranciers bezoeken. Daar wordt namelijk steeds meer aandacht aan security besteedt. En ook certificeringen zijn een manier om kennis op peil te houden.’
3 security-uitdagingen
De veranderde dynamiek tussen ontwikkelaars en securityprofessionals is volgens Steven Heyde, Benelux-directeur bij Trend Micro, één van de drie security-uitdagingen waar organisaties in de Benelux mee worstelen. De andere twee grote uitdagingen zijn op het gebied van zichtbaarheid in je data en apps en de aanwezige legacy-systemen.
‘Door virtualisatie en cloud-adoptie is de locatie van applicaties sterk veranderd’, legt Heyde uit. ‘Wanneer er voor elke nieuwe technologie een nieuwe leverancier wordt gekozen, ontstaat er een lappendeken aan oplossingen en leveranciers. Dat heeft negatieve gevolgen voor de zichtbaarheid van de apps en potentiële (veiligheid)risico’s hiervan.’
Volgens Heyde kunnen organisaties beter kiezen voor maximaal drie leveranciers, die vanuit een beveiligingsplatform alle smaken cybersecurity-oplossingen aanbieden. ‘Zo’n platform kan ook helpen om de uitdaging op het gebied van legacy op te lossen. Denk aan financiële instellingen die over oude servers met oude besturingssystemen beschikken waar applicaties op draaien die niet zomaar op stop zijn te zetten. Via een platform kun je een hybride infrastructuur creëren om zowel legacy als toekomstige technologieën te omarmen. Bovendien biedt het de benodigde zichtbaarheid op je infrastructuur, data en oplossingen.’
Het is natuurlijk altijd goed om professionals uit andere belendende vakgebieden in elkaars keuken te laten kijken, maar het idee dat security professionals moeten gaan coderen lijkt mij echt een brug te ver. Security als vakgebied, is een zogenaamde aspectarchitectuur die over het gehele landschap van een organisatie (dus ook buiten ICT) heen zijn werking heeft. Over al die landschapslagen (dus niet alleen de applicatielaag, waar je de producten van software ontwikkelaars uit eindelijk aantreft), maar ook de data en infrastructuurlaag en ook de proceslaag en producten- en dienstenlaag, dient de security professional voldoende te weten om aan te geven welke eisen en wensen hij stelt aan de veiligheid.
Zo hebben we ook privacy professionals (die net weer iets met een andere bril kijken naar het landschap), informatiebeheer professionals, functioneel-, technisch- en applicatiebeheerders en documentalisten (want ik ben er wel uit, dat gaan de vakgerichte professionals niet meer doen) ook hun eisen en wensen ten aanzien van die landschapslagen. Laat ze die vooral uiten en vastleggen en de leadontwikkelaar (van een SCRUM team) vertaalt deze naar functionele bouwblokken, om ze uiteindelijk by design naar code te vertalen. De leadontwikkelaar zal het team op sleeptouw moeten nemen. Je kunt in de ontwikkelstraat zo veel mogelijk proberen te automatiseren (testtools) om te valideren of aan alle veiligheidseisen wordt voldaan. Zowel op effectniveau als op codeerstijl en hygiëne.
“In plaats van beveiligingseisen opleggen, moeten ze de ontwikkelaars ondersteunen om aan de gestelde security-eisen te voldoen. Securityprofessionals moeten hierbij een aanpak kiezen die aansluit bij de snelheidsdoelstelling van de ontwikkelteams.”
Typisch dit soort compromissen. Kan alleen maar uit de koker van iemand komen die geen enkele affiniteit met IT heeft en alleen maar bezig is met het leiden van projecten die nieuwe hippe frontend dingetjes maken.