Ik mag helpen de security op een volwassen niveau te krijgen bij een organisatie die de stoute schoenen heeft aangetrokken en agile wil gaan werken. De productteams zijn samengesteld en er is in ieder team iemand die de rol omtrent security op zich wil gaan nemen. Wat gaan we doen Irma? Daar hou ik wervende pitches over, het is vechten om de rol te krijgen. Maar nu staan we op het punt om het ook praktisch te maken. Welke checklist ga ik ze meegeven zodat ze een basis hebben in hun product teams?
‍

Tsja, je moet nadenken over de nieuwe iteratieve en flexibele aanpak. Maar die aanpak moet niet niet ten koste gaan van de veiligheid. En met welke bouwstenen ga ik deze collega’s op pad sturen? Mijn advies zijn de volgende onderdelen, als jij kunt aanvullen of verbeteren, laat je horen!
‍

Security by design in het Agile Proces
In plaats van security als een aparte fase aan het einde van een project te behandelen, gaan we het vanaf het begin integreren. Dit betekent dat we security stories in onze backlog opnemen en ze prioriteit geven naast de reguliere business features. Denk hierbij aan threat modeling, security audits, en penetratietesten. Gelukkig heb ik al een security by design richtlijn uitgeschreven, daarmee kunnen ze hun security stories opbouwen.
‍
Security Awareness voor het Team
Een veiligheidsbewuste cultuur begint bij het team. Dus ik ga aan de security experts in de product teams alle teamleden basiskennis van security mee te geven. Een nee, dan niet de standaard awareness die we aan alle nieuwe medewerkers geven over je wachtwoorden. Ik heb al een awareness programma draaien, ik ga zorgen voor een traject voor techneuten zodat alle productteams keuze hebben aan awareness sessies.
‍
Automatiseer Security Tests
Automatisering is essentieel in een agile omgeving. Ik ga ze de opdracht meegeven om security testing tools in de CI/CD-pijplijn te implementeren daar waar dat mogelijk is. Dit helpt bij het identificeren van kwetsbaarheden tijdens het ontwikkelingsproces en zorgt ervoor dat ze snel worden opgelost.
‍
Security als Onderdeel van de Definition of Done
In agile werken is de Definition of Done (DoD) cruciaal. Ik ga ze de vragen om in hun productteam de securitycriteria toe te voegen aan de DoD. Bijvoorbeeld: “Een user story is pas klaar als alle securitytests zijn geslaagd.”
‍
Continu Leren en Verbeteren
Agile werken is een continu proces van leren en verbeteren. Tot slot daarom het advies aan hen om te evalueren hoe security wordt aangepakt zodat ze hun werkwijze kunnen aanpas waar nodig. Immers willen we leren van incidenten en willen we onze aanpak aanpassen om herhaling te voorkomen.
Met deze benadering kan ik het team de voordelen van agile werken laten behouden zonder concessies te doen aan de veiligheid.

‍

Over de auteur

Irma Meinema

RE, CISSP, CRISC

Breed en gevarieerd, dat is wat mij aantrekt in risicobeheersing. Alle digitale, vaak technische, oplossingen komen door mijn handen. Naast het uitvoeren van mijn vak door een maatwerk model voor een organisatie af te leveren, is het mijn doel iedereen te betrekken om een steentje bij te dragen. Het is complex. Het is wellicht wat taai. Maar we hebben allemaal 1 doel: We willen geen ongewenste risico’s lopen. Dat iedereen een bijdrage levert aan een veilig geheel van alle (vertrouwelijke) informatie binnen een organisatie. Zo eenvoudig mogelijk. Dat moet tussen de oren. En daar zorg ik voor.