In je bijdrage aan het boek heb je het over de transitie van DevOps naar DevSecOps. Hoe ziet die transitie eruit en welke factoren zijn daarin volgens jou cruciaal?
“Ik zie het niet zozeer als een zuivere transitie van de ene toestand naar de andere. Het is eerder een logische stap naar een veiligere IT-omgeving. Daarvoor proberen we onze mensen een DevSecOps-mindset te laten krijgen zonder het expliciet te benoemen. Het gaat om een natuurlijke stille evolutie, in plaats van een transformationele revolutie. Erkenning en integratie van cybersecurity als noodzakelijk onderdeel van DevOps heeft geleid tot de term DevSecOps. Sommigen zeggen dat DevOps noodzakelijkerwijs DevSecOps is en dat er geen nieuwe term nodig is. Maar de term is op zich zinvol, omdat hij verwijst naar een DevOps-omgeving waarin een gerichte integratie van beveiligingscontroles succesvol is bereikt via samenwerking van ontwikkelings-, operations- en beveiligingsteams. DevOps en DevSecOps zijn twee kanten van dezelfde medaille. Ze zijn afgestemd op hetzelfde doel: sneller en met betere beveiliging waarde leveren.
Om die evolutie te laten slagen, heb je de juiste mindset, organisatiecultuur en -governance nodig. Het is belangrijk dat je openstaat voor verandering. In een omgeving die aan al die voorwaarden voldoet, kun je teams empoweren.”
Kun je een voorbeeld noemen van een belangrijk inzicht in je bijdrage aan dit boek?
“De wereld wordt steeds digitaler en om de kansen daarvan te blijven benutten, is veiligheid ontzettend belangrijk geworden. Vandaag de dag is veiligheid niet meer vanzelfsprekend. De toegenomen frequentie en impact van recente cyberaanvallen hebben het belang van security benadrukt. Het is niet meer alleen de verantwoordelijkheid en zorg van een aparte afdeling met toegewijde specialisten. Iedereen in de organisatie moet hier oog voor hebben, waaronder DevOps-teams als belangrijke eenheden voor het ontwikkelen en exploiteren van informatiesystemen.
Daarom starten we vroegtijdig op de tijdslijn met de beveiliging: shift security left, wat inhoudt dat overwegingen op dit vlak vanaf het begin in het ontwikkelingsproces worden geïntegreerd, in plaats van als een bijzaak te worden behandeld. DevSecOps werkt het beste wanneer de infusie van beveiliging in ontwikkelings- en operationele activiteiten de mensen betrekt en in hun kracht zet.”
Hoe zorg je ervoor dat mensen ook betrokken ráken en in staat zijn om met die grotere verantwoordelijkheid om te gaan?
“Met het delen van kennis neemt het interne beveiligingsbewustzijn toe, beveiligingskwesties worden begrepen. Het is daarbij belangrijk om je te realiseren dat het niet organisaties zijn die leren, maar individuele medewerkers. Als organisatie moet je het continu leren en ontwikkelen voor je mensen faciliteren, zodat zij zelf de volgende stap kunnen zetten richting een hogere digitale veiligheid. Investeren in mensen is een cruciale succesfactor, want zij zijn de levensader van IT-security.
Het menselijk lichaam functioneert alleen goed als bepaalde voorwaarden aanwezig zijn, zoals goede voeding, lichaamsbeweging, slaap en onderdak. Dankzij het immuunsysteem kan het lichaam zich verdedigen tegen mogelijke aanvallen. Net als het menselijk lichaam heeft het IT-landschap bepaalde condities nodig, zoals digitale veiligheid. Als je die wegneemt, zal de organisatie worstelen en ophouden te overleven. Beveiliging moet daarom niet als een afzonderlijke functie worden behandeld – het is van vitaal belang voor het succes van elke wereldwijde organisatie.”
Zie ook Cybersecurity - Zie jij toekomst bij APG? | Homepage - Werken bij APG
