Door Mike Bursell, Chief Security Architect bij Red Hat
Informatiebeveiliging wordt steeds belangrijker voor organisaties naarmate ze hun digitale businessmodellen ontwikkelen en nieuwe producten en diensten op de markt brengen. Helaas heeft security vaak een geïsoleerde positie binnen de organisatie. In 2019 wordt deze afdeling beter geïntegreerd in de organisatie en komt de nadruk te liggen op procesautomatisering.
Bedrijven beginnen te wennen aan de verwachtingen van klanten om producten snel op de markt te brengen. In de dienstensector is inmiddels behoefte aan bijna onmiddellijke innovatie. Daardoor is de huidige gang van zaken – waarbij de security-afdeling eerst zijn goedkeuring geeft voordat een product of dienst live gaat – onhoudbaar geworden. Gelukkig zijn er drie gangbare manieren om daarmee om te gaan, de een beter dan de ander:
1. Stel vaste security-regels op, in de hoop dat we met de onvermijdelijke uitzonderingen kunnen omgaan die in bijna elk project voorkomen. Bij deze werkwijze is het vrijwel onmogelijk om snel genoeg te werken om de steeds hogere implementatiesnelheid bij te benen. We kunnen proberen om direct of geleidelijk agile-methodes als DevOps voor de ontwikkelteams in te voeren, maar met zo’n reactieve aanpak verliezen we terrein aan concurrenten en nieuwe spelers op de markt.
2. Erken dat de bestaande processen niet snel genoeg zijn. En probeer problemen op te lossen wanneer ze ontdekt worden. Deze werkwijze zal vroeg of laat tot een beveiligingslek of dienstonderbreking leiden waar we geen oplossing voor hebben. Wie deze strategie volgt, belandt vroeg of laat in het antoor van de CISO of CFO voor een kort en ongemakkelijk gesprek.
3. Zoek een manier om beveiligingsexpertise om te zetten in geautomatiseerde processen, die de security-activiteiten versnellen en schaalbaar maken. Het mag duidelijk zijn dat deze optie de beste is, omdat hij als enige helpt om tegemoet te komen aan de huidige verwachtingen rond ontwikkel- en innovatiesnelheid. Maar wat houdt dit precies in en hoe implementeren we het?
Haal security uit de ivoren toren
Om te beginnen is het noodzakelijk dat we de beveiligingsexperts uit hun ivoren toren halen. Om eerlijk te zijn, de meeste security-afdelingen zijn in de praktijk helemaal niet zo geïsoleerd, maar het draait om de perceptie. Stel in 2019 als prioriteit om de uitwisseling van security-expertise te stimuleren met de verschillende afdelingen waarmee ze samenwerken. En niet enkel door te zeggen: ‘Kijk, dit is een security-medewerker, bel hem of haar maar als er een probleem is.’ Probeer security-medewerkers echt te betrekken bij het werk van hun collega’s op verschillende afdelingen. Zo ervaren beide partijen de voordelen van de samenwerking en zien ze elkaar niet meer als tegenstander, maar als collega’s.
Zet in op kennisoverdracht
Op zichzelf is het slechten van de ivoren toren helaas niet genoeg. Hoeveel security-mensen je ook in dienst hebt, hun werk is nog steeds niet schaalbaar. Daarom moet we kennisoverdracht stimuleren. We kunnen natuurlijk nooit van elke persoon in onze organisatie verwachten dat hij of zij een beveiligingsexpert wordt. Het belangrijkste is dat ze de basis kennen en weten bij wie ze terecht kunnen als ze zich buiten hun comfortzone begeven. Dan zijn we daadwerkelijk bezig om onze security-capaciteit op te schalen. Security-experts krijgen hierdoor bovendien weer het gevoel dat hun expertise nog steeds relevant en nuttig is. Het is hierbij van belang dat kennisoverdracht wordt aangemoedigd, zonder dat die verwatert. Een security-kennisprogrogramma dat zorgvuldig gecontroleerd wordt, is dan ook het devies.
Automatiseer security-processen
Als het eenmaal gelukt is om iedereen binnen de organisatie bewust te maken van security, is het tijd voor de volgende fase. Dan moeten we bedenken hoe de expertise van ons security-team geïntegreerd kan worden in de dagelijkse processen van de ontwikkel-, test-, operationele, audit- en governance-teams. Hier begint het echte opschalen. Als beveiligingsexperts de momenten in het ontwikkelingsproces kunnen aanwijzen die van cruciaal belang zijn voor security, ontstaan er mogelijkheden om steeds meer onderdelen van de security-functionaliteit in de processen zelf te automatiseren. Denk bijvoorbeeld aan het kiezen van standaard container-image of misschien zelfs op welke plaatsen het monitoren van activiteiten het beste kan bijdragen aan het audit-proces.
Bij al deze maatregelen is het doel absoluut niet om het werk van de beveiligingsexperts overbodig te maken. Het gaat erom dat ze vrijgemaakt worden van alledaagse en terugkerende security-werkzaamheden, waardoor ze zich meer kunnen bezighouden met interessante en waardevolle taken en bijvoorbeeld zelf innovatieve processen kunnen bedenken.