Vijf redenen waarom DevSecOps niet vergelijkbaar is met sport

Het WK, Wimbledon, en de Tour de France – we komen momenteel om in de sportevenementen. Dat vind ik helemaal niet vervelend, want ik kijk veel liever naar verschillende sporten dan dat ik ze zelf beoefen. Op een gegeven moment vroeg ik me af welke sport met de softwarewereld vergelijkbaar is. Of specifieker: met het populaire DevSecOps-proces. Al snel drong het tot me door dat dat niet mogelijk is. Ik zal een paar voorbeelden geven waarom ik dat denk. 

Je kunt de keeper niet de schuld geven

Sorry dat ik met een heel specifiek voorbeeld begin, maar deze ligt me nauw aan het hart. Vooral omdat ik bij het kiezen van voetbalteams op school, vaak de laatste was die werd gekozen. Daarom was ik altijd de keeper, de minst favoriete positie. En zodra er tegen ons werd gescoord, was ik degene die de schuld kreeg. Dat is niet alleen erg slecht voor het moreel van het team, het mag ook geen weerspiegeling zijn van hoe het team functioneert. Ik ben altijd huiverig als ik de uitspraak “bij DevSecOps is veiligheid ieders verantwoordelijkheid” hoor. Niet iedereen is immers een beveiligingsexpert is, maar iedereen moet wel enige verantwoordelijkheid nemen voor het begrijpen van de juiste processen en het volgen ervan. Daarnaast mag niet één persoon de schuld krijgen als er iets misgaat. En vergeet niet: met DevSecOps heb je alle kans om precies te zien wat er misging, en is er de mogelijkheid het snel te repareren en tests te installeren om ervoor te zorgen dat dezelfde kwetsbaarheid nooit meer de kop opsteekt.

Je weet niet wie je tegenstander is

Als je aan het sporten bent, is het meestal vrij duidelijk wie je tegenstander is, waar ze zijn en wat hun doel is. Je kunt ze misschien niet altijd tegenhouden, maar je weet tenminste wie ze zijn en wat ze proberen te bereiken. In het geval van DevSecOps is het tegenhouden nog lastiger dan in de wereld van de softwareprojecten. Je ontwikkelt, test en bedient namelijk voor meerdere lagen van de stack, waardoor je veel meer potentiële tegenstanders hebt, zowel qua vaardigheden als middelen. Maar als je echt als een team werkt, kan de gecombineerde kennis van de verschillende experts worden toegepast over verschillende abstractielagen en op manieren die al erg lastig zijn in een standaard ‘ontwerp, ontwikkel, test, implementeer’-model. Dit geeft je bredere inzichten in de manieren waarop je de beveiliging van projecten kunt verbeteren.

Je speelt niet volgens dezelfde regels als je tegenstanders

Bij sport zijn er regels waar iedereen zich aan moet houden. Zo niet, dan treedt de scheidsrechter op tegen overtredende partij. Het zou leuk zijn om in een wereld te leven waarin onze ‘aanvallers’ altijd gepakt en gestraft werden als ze je infrastructuur en applicaties aanvallen, maar helaas is dat vooralsnog een sprookje. Aangezien het onwaarschijnlijk is dat je in realtime je tegenstander kunt aanpakken met een actieve tegenaanval, moet je overwegen welke maatregelen je kunt treffen, hoe je ze kunt toepassen en hoe snel ze uitgevoerd kunnen worden. Het is belangrijk dat dit niet alleen aan de beveiligingsmensen van het team wordt overgelaten. Hoewel beveiligingsdeskundigen goede voorspellingen kunnen doen over welke aanvallen kunnen plaatsvinden, kan het engineering- en operationspersoneel het best anticiperen op de waarschijnlijke impact op de werking van het systeem. Ook kunnen zij het beste beoordelen wie de maatregelen moet ontwerpen voor het geval er problemen optreden.

Het hele team speelt altijd

Bij de meeste teamsporten staat altijd maar een deel van het team op het veld. Bij DevSecOps kan iedereen aan het hele proces deelnemen. De coach hoeft niet aan de zijlijn te zitten en kan de teampsycholoog, performance-expert en technische experts inschakelen wanneer dat nodig is. Omdat je voortdurend aan het verbeteren bent, zal het niet lang duren voordat elk teamlid iets kan bijdragen, bijvoorbeeld als er wijzigingen zijn in de applicatie-, implementatieomgeving of in het beveiligingslandschap. DevSecOps-teams moeten ook niet van andere delen van de organisatie geïsoleerd worden, en hulp inroepen zodra dat nodig is. Wees dan ook niet bang om snel te handelen en toe te geven dat je hulp nodig hebt.

Het is OK om te falen – keer op keer

Sport is onlosmakelijk verbonden met winnen, en dat verwachten we dan ook van onze eigen teams. Toch weten de beste sporters en sportteams als geen ander hoe ze moeten verliezen en hoe ze daar sterker van worden. In DevSecOps moeten we onze teams dan ook aanmoedigen om te falen, omdat zij door fouten te maken de applicaties en projecten kunnen verbeteren. Niemand gelooft tegenwoordig meer dat systemen of applicaties onkwetsbaar zijn. Het is niet de vraag of je wordt aangevallen, maar wanneer. Ontwerp je processen op basis van die gedachte. Monitor abnormaal gedrag en zorg er voor dat er processen zijn waarmee je kunt leren van wat er misging. Zo bouw je een beter, robuuster en veerkrachtiger project – en team – in de volgende iteratie.

Tot slot

Ik wil niet beweren dat er geen enkele overeenkomst is tussen DevSecOps en sport, want die zijn er natuurlijk wel. Denk aan de communicatie in het team, en het in realtime kunnen reageren op bedreigingen. Maar door iets te vergelijken met zijn tegenovergestelde kan tot heel verhelderende nieuwe inzichten leiden, en onze ogen openen. Geniet van deze sportrijke zomer – en van DevSecOps.

Dit is een ingezonden bijdrage van Mike Bursell, Chief Security Architect bij Red Hat. Via deze link vind je meer informatie over de oplossingen van het bedrijf.