Dé security-trend van 2019? Maak beveiligingsexperts productiever

Mike Bursell, Chief Security Architect bij Red Hat

Informatiebeveiliging wordt steeds belangrijker voor organisaties naarmate ze hun digitale businessmodellen ontwikkelen en nieuwe producten en diensten op de markt brengen. Helaas heeft security vaak een geïsoleerde positie binnen de organisatie. In 2019 wordt deze afdeling beter geïntegreerd in de organisatie en komt de nadruk te liggen op procesautomatisering.

Bedrijven beginnen te wennen aan de verwachtingen van klanten om producten snel op de markt te brengen. In de dienstensector is inmiddels behoefte aan bijna onmiddellijke innovatie. Daardoor is de huidige gang van zaken - waarbij de security-afdeling eerst zijn goedkeuring geeft voordat een product of dienst live gaat - onhoudbaar geworden. Gelukkig zijn er drie gangbare manieren om daarmee om te gaan, de een beter dan de ander:

1. Stel vaste security-regels op, in de hoop dat je met de onvermijdelijke uitzonderingen kunt omgaan, die in bijna elk project voorkomen.

Bij deze werkwijze is het vrijwel onmogelijk om snel genoeg te werken om de steeds hogere implementatiesnelheid bij te benen. Je kunt proberen om direct of geleidelijk agile-methodes als DevOps voor je ontwikkelteams in te voeren, maar met zo’n reactieve aanpak verlies je terrein aan concurrenten en nieuwe spelers op de markt.

2. Erken dat de bestaande processen niet snel genoeg zijn, en probeer problemen op te lossen wanneer ze ontdekt worden.

Deze werkwijze zal vroeg of laat tot een beveiligingslek of dienstonderbreking leiden waar je geen oplossing voor hebt. Wie deze strategie volgt, belandt vroeg of laat in het kantoor van de CISO of CFO voor een kort en ongemakkelijk gesprek.

3. Zoek een manier om je beveiligingsexpertise om te zetten in geautomatiseerde processen, die de security-activiteiten versnellen en schaalbaar maken.

Het mag duidelijk zijn dat deze optie de beste is, omdat hij als enige helpt om tegemoet te komen aan de huidige verwachtingen rond ontwikkel- en innovatiesnelheid. Maar wat houdt dit precies in en hoe implementeer je het?

Haal security uit de ivoren toren

Om te beginnen is het noodzakelijk dat je de beveiligingsexperts uit hun ivoren toren haalt. Om eerlijk te zijn, de meeste security-afdelingen zijn in de praktijk helemaal niet zo geïsoleerd, maar het draait om de perceptie. Stel in 2019 als prioriteit om de uitwisseling van security-expertise te stimuleren met de verschillende afdelingen waarmee ze samenwerken. En niet enkel door te zeggen: ‘kijk, dit is een security-medewerker, bel hem of haar maar als er een probleem is’. Probeer security-medewerkers echt te betrekken bij het werk van hun collega’s op verschillende afdelingen. Zo ervaren beide partijen de voordelen van de samenwerking, en zien ze elkaar niet meer als tegenstander, maar als collega’s.

Zet in op kennisoverdracht

Op zichzelf is het slechten van de ivoren toren helaas niet genoeg. Hoeveel security-mensen je ook in dienst hebt, hun werk is nog steeds niet schaalbaar. Daarom moet je kennisoverdracht stimuleren. Je kunt natuurlijk nooit van elke persoon in je organisatie verwachten dat hij of zij een beveiligingsexpert wordt. Het belangrijkste is dat ze de basis kennen, en weten bij wie ze terecht kunnen als ze zich buiten hun comfortzone begeven. Dan ben je daadwerkelijk bezig om je security-capaciteit op te schalen, en security-experts krijgen hierdoor bovendien weer het gevoel dat hun expertise nog steeds relevant en nuttig is. Hierbij is van belang dat kennisoverdracht wordt aangemoedigd, zonder dat die verwatert. Een security kennisprogramma dat zorgvuldig gecontroleerd wordt is dan ook het devies.

Automatiseer security-processen

Als het eenmaal gelukt is om iedereen binnen de organisatie bewust te maken van security, is het tijd voor de volgende fase. Dan moet je bedenken hoe de expertise van je security-team geïntegreerd kan worden in de dagelijkse processen van je ontwikkel-, test-, operationele, audit- en governance-teams. Hier begint het echte opschalen. Als je beveiligingsexperts de momenten in het ontwikkelingsproces kunnen aanwijzen die van cruciaal belang zijn voor security, ontstaan er mogelijkheden om steeds meer onderdelen van je security-functionaliteit in de processen zelf te automatiseren. Denk bijvoorbeeld aan het kiezen van standaard container-image, of misschien zelfs op welke plaatsen het monitoren van je activiteiten het beste kan bijdragen aan het auditproces.

Bij al deze maatregelen is het doel absoluut niet om het werk van je beveiligingsexperts overbodig te maken. Het gaat erom dat ze vrijgemaakt worden van alledaagse en terugkerende security-werkzaamheden, waardoor ze zich meer kunnen bezighouden met interessante, waardevolle taken, en bijvoorbeeld zelf innovatieve processen kunnen bedenken.