Agile, DevOps en informatiebeveiliging

Agile, DevOps en informatiebeveiliging

Agile, DevOps en informatiebeveiliging

De Agile methode is bedacht om kostbare IT projecten die eindigen in het niets te voorkomen. Agile methoden kennen zogenaamde sprints die worden uitgevoerd in kleine teams. Sprints zijn korte periodes waarin een product wordt opgeleverd. Doel van de methode is dat de opdrachtgever zich vroegtijdig een beeld kan vormen of men op de juiste weg is. Bij het ontwikkelen van software kom je deze methode vaak tegen.

Deze methodiek heeft ook zijn weg gevonden naar IT beheer en wordt daar aangeduid met DevOps. Wat als doel heeft om software snel en frequent in productie te brengen waarbij de traditionele scheiding tussen ontwikkeling en beheer is verdwenen.

Kijk je vanuit een informatiebeveiliging bril naar het feit dat software snel en frequent wordt ontwikkeld en in productie zal worden gebracht, dan heeft dat een belangrijke impact op informatiebeveiliging. Daarmee worden formele momenten om bijvoorbeeld kwetsbaarheid- en/of pentesten uit te voeren lastiger. Het is niet haalbaar om dit binnen iedere de sprint uit te voeren. Enerzijds vanwege de doorlooptijd, anderzijds vanuit kosten perspectief.

Aandachtspunten

Om informatiebeveiliging de benodigde aandacht te geven zijn drie zaken belangrijk. De allerbelangrijkste is dat ontwikkelaars kennis moeten hebben van veilige programeer methodes en informatiebeveiliging overwegingen meenemen tijdens het ontwikkelen.

Ten tweede dient informatiebeveiliging onderdeel te worden van de fasen in de sprint. Dit begint bij het ontwerp tot en met de realisatie van de code.

Als derde moeten de testen die plaatsvinden tijdens een sprint niet alleen functioneel gericht zijn, maar ook op het testen van informatiebeveiliging aspecten. Bijvoorbeeld een code review door een ander lid van het team. Iedere organisatie zal voor zichzelf een afweging moeten maken wat aan testen acceptabel wordt geacht in relatie tot de duur van de sprint. Hoe meer er getest dient te worden, hoe minder software er feitelijk ontwikkeld kan worden.

Inherent risico

Dit wil niet zeggen dat de “traditionele” zaken als kwetsbaarheid- en/of pentesten niet meer uitgevoerd zouden kunnen worden. Integendeel, de audit cyclus kan prima gehandhaafd blijven. Ik raad dit zelf sterk aan. Echter niet iedere software update die in productie komt zal van te voren op die manier worden getest.

Dit laatste is natuurlijk een risico, maar deze is eigenlijk inherent aan de methodiek. Dit is echter niet onoverkomelijk, als het je business ten goede komt. Wel heb je natuurlijk nagedacht over de risico’s en op basis daarvan maatregelen geselecteerd en geïmplementeerd.

Als laatste de rol van de security officer. Deze zal ook mee moeten gaan in de Agile / Devops methodieken. Hij / zij zal op regelmatige basis moeten aansluiten in de sprints om te adviseren, mee te denken en om te controleren dat het beleid en/of de richtlijnen worden nageleefd.


Comments are closed.