28 juni 2023

De Security Sweetspot

Webapplicaties zijn voor veel organisaties dé plek waar de corebusiness zich in afspeelt. Het is om diezelfde reden vaak ook de plek waar innovatie plaatsvindt en geregeld nieuwe features en verbeteringen worden doorgevoerd. Een logische ontwikkeling, maar tegelijkertijd zorgt dit voor een verandering in het dreigingsbeeld. Waar het merendeel van de updates zich voorheen voornamelijk achter de voordeur afspeelde in een langzamer tempo, zijn er nu veel meer touch points met de buitenwereld. Deze zijn ook nog eens continu in beweging in snel opeenvolgende release cycles.

Daarbij groeit de hoeveelheid verschillende technologieën die we tot onze beschikking hebben, wordt er flink geïntegreerd met applicaties van uiteenlopen partijen in alsmaar uitdijende digitale ecosystemen. Deze kunnen we voor de ontwikkeling van producten steeds makkelijker gebruik maken van kant-en-klare bouwblokken (libraries) die overal en nergens vandaan komen.

Wanneer we kijken naar de security, is het vinden van de juiste balans tussen kwaliteit, snelheid, schaalbaarheid en kosten cruciaal. Security mag immers geen “disabler” zijn van snelle innovatie. Dit wordt ook wel de ‘security sweetspot’ genoemd: hier genieten organisaties van optimale bescherming tegen cyberbedreigingen, terwijl ze tegelijkertijd in staat zijn om efficiënt te opereren en kosten te besparen. Dat is makkelijker gezegd dan gedaan, want hoe kom je op die plek in de wirwar van wensen, factoren en stakeholders om rekening mee te houden?

Drie ijkpunten van security

Voor de security sweetspot zijn drie punten cruciaal:

  1. Kwaliteit: breng de kwaliteit van je beveiligingssystemen naar het hoogste niveau. Investeer in nieuwe, bewezen technologieën, voer regelmatig beveiligingsaudits uit en hanteer een proactieve beveiligingsstrategie, zodat je beschermd bent tegen de meest recente security threats.
  2. Snelheid: zorg voor een snelle en efficiënte beveiligingsinfrastructuur, zodat je in staat bent om snel te reageren op nieuwe bedreigingen en beveiligingslekken direct te patchen voordat ze worden uitgebuit.
  3. Schaalbaarheid: monitor en evalueer continu de incidenten, problemen en oplossingen, en zorg voor een schaalbaar incident response plan. Zo wordt je beveiligingsstrategie flexibel en is het in staat mee te groeien met de veranderende behoeften van je organisatie.
“Security mag geen “disabler” zijn van snelle innovatie.”

Bereik de security sweetspot met agile security

Deze ijkpunten voor ogen houden is de eerste stap. De juiste balans vinden tussen organisatiebehoeften, ontwikkelflexibiliteit én effectieve beveiliging is een tweede. Dat kan met agile security. Waar je in de security sweetspot beveiligingsmaatregelen balanceert met zakelijke vereisten, zorg je met agile security voor effectieve integratie van beveiliging binnen het agile ontwikkelproces.

De klassieke periodieke pentest was, net als de Waterval-ontwikkelmethodiek, jaren de norm. Maar wanneer je agile ontwikkelt, met meerdere releases per maand/week/dag, dan sluit de traditionele aanpak voor security niet aan. Immers, een continue stroom aan mooie nieuwe features is gaaf, maar brengt een ander risicolandschap met zich mee. De periodieke security ‘foto’ is dan niet meer voldoende, een continue stroom aan ‘filmmateriaal’ matcht beter. Met een snellere test- en feedbackloop wordt je product veilig in de basis, voorkom je achteraf verrassingen en heb je direct een overtuigend verhaal naar je stakeholders. Beveiligingsproblemen worden continu vroegtijdig in de kiem gesmoord en maatregelen kun je zo efficiënt mogelijk inzetten.

Houd hierbij de volgende richtlijnen in het vizier:

  • Werk risk-based: focus alleen op de dingen die écht nodig of nuttig zijn. Als je security niet op een praktische en non-blocking manier aanpakt, gaat het niet vliegen.
  • Hanteer shift-left security, waarmee je al in een vroeg stadium van softwareontwikkeling securitymaatregelen inbedt en zo onnodige verspilling van tijd, resources en geld voorkomt.
  • Bouw directe en gerichte security feedback-loops (diff-reviews) in de slipstream van ontwikkeling in, waardoor je kort op de bal kunt spelen. Zorg daarbij voor een mix van handmatige en geautomatiseerde checks.
  • Zorg voor vlotte, laagdrempelige toegang tot technische secure coding expertise.
  • Maak security altijd zichtbaar, aantoonbaar en meetbaar! Eèn centrale plek (dashboard) waar alle stakeholders actuele informatie kunnen inzien over de security status, (bedrijfs)risico’s en de security voortgang is essentieel om resources en activiteiten te focussen. De aantoonbaarheid moet continu netjes op orde zijn om interne en externe stakeholders altijd vlot te kunnen bedienen.

Tot slot nog deze laatste, belangrijkste les: het is onmogelijk om alles altijd in een keer te vinden. Het aanbrengen van focus en het opknippen van grote testen in kleine gerichte controles, security snacks, blijkt enorm goed te werken. Valideer altijd met efficiënte en vroegtijdige code-reviews met full focus op de security-relevante wijzigingen. Investering in goede technologie is hierbij onmisbaar. Zijn er fouten of aandachtspunten? Dan schiet je deze direct in op de backlog, zodat product owners en het team er mee aan de slag kunnen.

De synergie tussen de security sweetspot en agile security

De security sweetspot en agile security zijn als een tweetrapsraket met elkaar verbonden in hun gezamenlijke doel om effectieve beveiligingspraktijken te bereiken en tegelijkertijd de zakelijke behoeften en ontwikkelingsflexibiliteit in balans te houden. Ze bieden aanvullende perspectieven waarmee je de cybersecurity van jouw organisatie kunt optimaliseren.

Met agile security zet je gaandeweg nuttige geautomatiseerde security checks op en wordt de weerbaarheid van het product steeds meer versterkt. Hiermee nemen de security ‘hotspots’ (risico’s) af en daarmee ook de (handmatige) validatie inspanning. Zo zorg je voor een sneeuwbaleffect. Test less, secure more!

Wil je meer weten over wat agile security voor jouw organisatie kan betekenen? Neem dan contact met ons op of met onze collega Leo Lans van Securify. Lees hier meer over agile security.

Meld je aan voor de Solvinity Nieuwsbrief

Ontvang het laatste nieuws, blogs, artikelen en events.

Lees ook

Meer