“Mensen zijn de levensader van IT-security”

Gepubliceerd op: 11 mei 2023

Hoe kun je software en IT-systemen, -diensten en -producten sneller opleveren en tegelijkertijd  de security-aspecten hiervan de aandacht geven die ze verdienen? Voor een grote financiële instelling als APG is dat geen onbelangrijke uitdaging. In zijn bijdrage aan de op 11 mei verschenen ‘CISO's Guide for Implementing DevSecOps in the Enterprise’ betoogt APG’s Group Digital Officer Frans van Kessel dat timing, empowerment van teams en individuele ontwikkeling essentieel zijn om deze uitdaging succesvol aan te gaan. Voorafgaand aan de publicatie legden we hem een aantal vragen voor.

 

Hoe zou je DevSecOps omschrijven?


Van Kessel: “DevOps is de combinatie van softwareontwikkeling – Development – en operationele bedrijfsactiviteiten – Operations – in nauwe samenwerking tussen mensen, processen en technologie. Die combinatie is erop gericht om doorlopend waarde te bieden aan afnemers (value). Het doel van DevSecOps is het overbruggen van de security gap tussen Development en Operations, zodat software en IT-systemen, -diensten en -producten sneller én veiliger geleverd kunnen worden. Cybersecurity wil wel eens aan het einde van het ontwikkelproces aan bod komen. Hierdoor kunnen releases vertragen en worden de voordelen van DevOps en de Agile way of working belemmerd. Het idee is dat niet alleen security teams op digitale veiligheid letten. Iedereen die betrokken is bij het bouwen en onderhouden van software en IT-systemen, -diensten en -producten, heeft hier een rol in. Het is niet de taak van een ander team om jouw product veilig te maken. Toon dus eigenaarschap en neem verantwoordelijkheid. You build it, you run it, and you secure it end-to-end.”

‘The CISO's Guide for Implementing DevSecOps in the Enterprise’ is uitgegeven door DevOn, een consultancybedrijf gespecialiseerd in DevOps. Naast APG’s Frans van Kessel leverden ook de volgende experts een bijdrage aan het boek: Martijn Dekker (ABN Amro), Floor van Eijk (NN Group), Willem van der Valk (Achmea), Alexander Pabst (Allianz), Ard Westerik en Tom Moekotte (Royal HaskoningDHV), Ori Fragman (Hapag-Lloyd), Minatee Mishra (Philips) en Fred Jekel (Van Lanschot Kempen).

In je bijdrage aan het boek heb je het over de transitie van DevOps naar DevSecOps. Hoe ziet die transitie eruit en welke factoren zijn daarin volgens jou cruciaal?


“Ik zie het niet zozeer als een zuivere transitie van de ene toestand naar de andere. Het is eerder een logische stap naar een veiligere IT-omgeving. Daarvoor proberen we onze mensen een DevSecOps-mindset te laten krijgen zonder het expliciet te benoemen. Het gaat om een natuurlijke stille evolutie, in plaats van een transformationele revolutie. Erkenning en integratie van cybersecurity als noodzakelijk onderdeel van DevOps heeft geleid tot de term DevSecOps.  Sommigen zeggen dat DevOps noodzakelijkerwijs DevSecOps is en dat er geen nieuwe term nodig is. Maar de term is op zich zinvol, omdat hij verwijst naar een DevOps-omgeving waarin een gerichte integratie van beveiligingscontroles succesvol is bereikt via samenwerking van ontwikkelings-, operations- en beveiligingsteams. DevOps en DevSecOps zijn twee kanten van dezelfde medaille. Ze zijn afgestemd op hetzelfde doel: sneller en met betere beveiliging waarde leveren.


Om die evolutie te laten slagen, heb je de juiste mindset, organisatiecultuur en -governance nodig. Het is belangrijk dat je openstaat voor verandering. In een omgeving die aan al die voorwaarden voldoet, kun je teams empoweren.”


Kun je een voorbeeld noemen van een belangrijk inzicht in je bijdrage aan dit boek?


“De wereld wordt steeds digitaler en om de kansen daarvan te blijven benutten, is veiligheid ontzettend belangrijk geworden. Vandaag de dag is veiligheid niet meer vanzelfsprekend. De toegenomen frequentie en impact van recente cyberaanvallen hebben het belang van security benadrukt. Het is niet meer alleen de verantwoordelijkheid en zorg van een aparte afdeling met toegewijde specialisten. Iedereen in de organisatie moet hier oog voor hebben, waaronder DevOps-teams als belangrijke eenheden voor het ontwikkelen en exploiteren van informatiesystemen.


Daarom starten we vroegtijdig op de tijdslijn met de beveiliging: shift security left, wat inhoudt dat overwegingen op dit vlak vanaf het begin in het ontwikkelingsproces worden geïntegreerd, in plaats van als een bijzaak te worden behandeld. DevSecOps werkt het beste wanneer de infusie van beveiliging in ontwikkelings- en operationele activiteiten de mensen betrekt en in hun kracht zet.”


Hoe zorg je ervoor dat mensen ook betrokken ráken en in staat zijn om met die grotere verantwoordelijkheid om te gaan?  


“Met het delen van kennis neemt het interne beveiligingsbewustzijn toe, beveiligingskwesties worden begrepen. Het is daarbij belangrijk om je te realiseren dat het niet organisaties zijn die leren, maar individuele medewerkers. Als organisatie moet je het continu leren en ontwikkelen voor je mensen faciliteren, zodat zij zelf de volgende stap kunnen zetten richting een hogere digitale veiligheid. Investeren in mensen is een cruciale succesfactor, want zij zijn de levensader van IT-security.


Het menselijk lichaam functioneert alleen goed als bepaalde voorwaarden aanwezig zijn, zoals goede voeding, lichaamsbeweging, slaap en onderdak. Dankzij het immuunsysteem kan het lichaam zich verdedigen tegen mogelijke aanvallen. Net als het menselijk lichaam heeft het IT-landschap bepaalde condities nodig, zoals digitale veiligheid. Als je die wegneemt, zal de organisatie worstelen en ophouden te overleven. Beveiliging moet daarom niet als een afzonderlijke functie worden behandeld – het is van vitaal belang voor het succes van elke wereldwijde organisatie.”

 

Zie ook Cybersecurity - Zie jij toekomst bij APG? | Homepage - Werken bij APG