Van ‘Mister No’ naar continue DevOps-samenwerking

De ontwikkelingen op het gebied van applicatie development gaan snel. Waar enkele jaren geleden de nadruk nog sterk lag op het maken van uitgebreide, degelijke software suites met miljoenen regels aan code, ligt de focus vandaag de dag bij veel ontwikkelaars vooral op snelheid en vindingrijkheid. Zaken die beperkend werken voor de creativiteit en time-to-market van nieuwe apps, worden vanzelfsprekend niet met gejuich ontvangen. Zo wordt security door veel ontwikkelaars gezien als ‘Mister No’, als een blokkade die de creatieve mogelijkheden binnen ontwikkelprojecten sterk inperkt.

De veiligheid van software, alsmede de bescherming van softwaregebruikers, is van toenemend belang. Mede dankzij nieuwe wetgeving is security veranderd van een ‘nice to have’ in een ‘must have’. Om silo’s te vermijden en ervoor te zorgen dat zowel creativiteit als security worden gewaarborgd, zullen teams binnen organisaties daarom programmatisch moeten gaan samenwerken. Dit vraagt om een doelgerichte aanpak en meer inzicht in de effecten van (voorheen losstaande) inspanningen.

Security wordt op deze manier ‘Mister Yes’. Dankzij security is een applicatie niet alleen mooi en functioneel, maar blijft het ook constant en veilig draaien.

Succesvol ‘secure’ met het security delivery-mechanisme

Met programmatisch werken streef je naar optimale security: overal en op elk moment. Daarbij werken teams proactief in plaats van reactief en behoren klassieke security-projecten tot het verleden. Met DevOps werk je niet langer op projectbasis; optimale security vraagt continu om aanpassingen, updates en (bij)sturing.

Business security waarborgen

Om deze manier van werken tot een succes te maken, zullen organisaties eerst een stap terug moeten zetten en het DevOps-team een blauwdruk laten definiëren van het ‘standaard netwerk’. Dit template definieert aan welke voorwaarden data flows ten alle tijde moeten voldoen, omvat de commando’s die mogen worden uitgevoerd (inclusief de correcte syntax daarvan) én rapporteert de status van de gehele omgeving. Op basis van die voorwaarden worden verkeersstromen vervolgens constant gecontroleerd op compliance. Zwakke punten blijven zo nooit onopgemerkt.

Dankzij zo’n template weet een organisatie precies wat er door welke software aangestuurd wordt en kan overal de benodigde security geplaatst worden. Door de bedrijfsdoelstellingen zoals reactiesnelheid, uptime en de compliance-status constant te monitoren, verminderen business security-risico’s aanzienlijk.

DevOps blueprint als leidraad

Een template waarin alle modules zijn vastgelegd, biedt houvast en voorkomt discussie. De DevOps-blauwdruk is dan ook bedoeld om telkens in de beginfase van ontwikkeling- en verbeteringscycli te komen tot een projectplan dat implementeerbaar en werkbaar is voor de gehele organisatie. De blauwdruk is een gezamenlijke inspanning van de business owner en key stakeholders (eindverantwoordelijken) van verschillende afdelingen. Het template legt verbeterpunten bloot en biedt tevens een procesarchitectuur en een actieplan om die verbeteringen doorlopend te realiseren.

Communicatie als best practice

We zijn gewend dat we met al onze IT gerelateerde vragen en problemen kunnen aankloppen bij de IT-afdeling. Maar wat doen organisaties wanneer het security issues betreft? Een DevOps-aanpak vraagt om betrokkenheid en input van alle bedrijfsonderdelen, dus ook van bijvoorbeeld marketing, HR en finance. Van netwerkbeheerders, admins en developers tot bedrijfsanalisten: ze zijn allemaal onderdeel van hetzelfde (DevOps-)team.  Samen hebben zij één gemeenschappelijk, overkoepelend doel: het doorlopende project, waar security een integraal onderdeel van is, laten slagen.

Om silo’s te vermijden en succesvol samen te werken, zijn communicatie en wederzijds begrip tussen afdelingen cruciaal. Definieer samen de compliance baseline en breng ook samen de verbeterpunten in kaart. Het is daarbij vaak nodig om de ‘oude wereld’, waarin gewerkt werd volgens klassieke security-methodieken, te verbinden met de ‘nieuwe wereld’. Zo ontstaat er een werkomgeving waarin iedereen optimaal en veilig kan werken en, in het bijzonder, ontwikkelaars hun apps snel en ‘secure’ kunnen uitrollen.

Dit is een ingezonden bijdrage van Peter Sandkuijl, Head of Security Solutions bij Check Point Software Technologies, naar aanleiding van zijn presentatie tijdens CPX Netherlands 2019. Via deze link vind je een videoverslag van het event, waarin ook experts van Check Point en klant Rabobank aan het woord komen.