Veilig naar een modulaire en flexibele IT-stack

De signalen herkennen

Helaas is er geen one-size-fits-all oplossing voor security problemen die we vaak voorbij zien komen. De oorzaak ervan verschilt per situatie. Signalen die voorspellen dat er mogelijk iets mis is met security zijn er echter wel.

Misschien herken je dat er bij de ontwikkeling van nieuwe software of technologie vooral focus ligt op het opleveren van (zichtbare) features en werkzaamheden rondom beveiliging de sprint planning niet halen. Soms wordt er enorm geïnvesteerd op één specifiek onderdeel maar blijft de rest onder de maat. Er is een goed risico assessment gedaan, maar in de dagelijkse keuzes wordt hier niet naar gehandeld.

Dit is te voorkomen door in je team security champions op te leiden. Deze collega’s zijn in staat om Product Owners of ontwikkelteams te helpen bij het identificeren van risico’s en te helpen om de juiste maatregelen te nemen.

Security awareness creëren

Iedereen heeft een rol in security. Als developer, Product Owner, programmamanager of stakeholder heb je waarschijnlijk wel eens te maken gehad met security vraagstukken en heb je een bepaald gevoel bij het onderwerp. Denk eens na over het volgende, wat is voor jou van toepassing?

• Je loopt energieloos uit een vergadering over security vs. je hebt veel energie uit de sessie gehaald
• Je hebt het gevoel dat jouw werk rondom security niet gezien of gewaardeerd wordt vs. je krijgt waardering en aandacht voor je werk
• Je bent doodsbenauwd voor de uitkomsten van de pentest vs. je ziet uit naar de resultaten
• Je voelt je niet comfortabel in gesprekken over security vs je hebt security onder de knie en je hebt alle vertrouwen

Volwassenheid van een team op het gebied van security maakt een groot verschil. Is de kennis in huis, waar zitten de gaps, wat heeft het team nodig om de juiste beslissingen te maken en een veilig product te ontwikkelen?

Door gebruik te maken van een maturity model op basis van OWASP OpenSAMM, BSIMM en andere standaarden gids je teams naar het adopteren van de juiste practices en zorg je voor meer autonomie in het team.

Wees je bewust van ‘Newton's cradle’ in security

In een projectorganisatie heeft iedereen invloed op het eindresultaat.

Het kunnen identificeren van security problemen, zien van security als een kans in plaats van een obstakel, erkennen van goed security werk en een duidelijk beeld van wat investeren in security oplevert, is daarin essentieel.

• Zorg ervoor dat het management team stuurt op security-driven besluitvorming. Doe je dit niet, dan is het niet gek dat een Product Owner geen of weinig aandacht heeft voor security.
• Zorg ervoor dat een Product Owner zich bewust is van potentiële beveiligingsrisico’s. Doe je dit niet, dan is het niet gek dat risico’s niet worden opgelost in het ontwikkelproces.
• Vraag een development team niet alleen te focussen op zichtbare resultaten. Doe je dit niet, dan is het niet gek dat ze bewust hun eigen security practices laten gaan om tijd te besparen.
• Verwacht van een Security Officer dat een pentest rapport niet wordt gebruikt als een security requirement lijst. Doe je dit niet, dan is het niet gek dat je continu nieuwe bevindingen terug krijgt.

Dit noemen we ook wel security by design en er zijn verschillende tools beschikbaar die in elke fase van een project behulpzaam zijn. Threat Modelling om het aanvalsoppervlak en de risico’s te identificeren is een hele goede start van elk digitaal project.

Wil jij ook graag naar een veilige implementatie van composable technologie en kan je daar wat hulp bij gebruiken? Neem contact met me op via LinkedIn of stuur ons een bericht.