Agile Security als krachtig selling point van jouw product

Bedrijven kennen de hoofdpijn van onveilige applicaties en klanten zijn terecht kritischer. En dat biedt mooie kansen voor software bedrijven om te gaan onderscheiden op vlak van security!

Hoe kun je Agile Security inzetten als trots selling point van jouw product en bedrijf? Laat een fris geluid horen tussen loze kreten zoals "military-grade encryptie" en "GDPR-proof"?

Van bijzaak naar pentesten

Toen ik ruim 15 jaar geleden begon in de wereld van cybersecurity waren kopers niet echt (of beter gezegd, echt niet!) kritisch op security.

Er werd niet veel naar gevraagd dus waarom zou je als leverancier ook. Maar gelukkig zijn de tijden veranderd. Klanten zijn kritischer en pentesten zijn inmiddels goed ingeburgerd.

Bouw of gebruik je online portalen met privacy-gevoelige gegevens? Dan is een whitebox pentest wel het minimale wat je mag verwachten als gedegen snapshot van de securitykwaliteit.

Aanrader: het NCSC (Nationaal Cyber Security Centrum) heeft recent de Whitepaper Securitytesten gepubliceerd om bedrijven te ondersteunen in dit proces. Deze whitepaper is ontwikkeld in nauwe samenwerking met diverse marktpartijen waaronder Securify.

Momentopnames achteraf

De klassieke periodieke pentest is al jaren de norm. Maar als je Agile ontwikkelt, met meerdere releases per maand/week/dag, dan sluit deze traditionele waterval aanpak niet goed aan.

Binnen Agile ontwikkeling is er behoefte aan een snellere test- en feedbackloop. Zodat bijveiligingsproblemen continu en vroegtijdig in de kiem gesmoord kunnen worden. Als onderdeel van de sprints.

Bewuste inkopers snappen ook goed dat hun portalen vrijwel permanent in de steigers staan met continue mooie nieuwe features. Dat is gaaf maar het zorgt ook voor een ander risicolandschap. Waar een periodieke security foto misschien niet meer voldoende is en een continu filmpje beter matcht.

Niet alleen vanwege de enorme securitywinst maar ook voor efficiency en snelheid. Last-minute verrassingen zijn niet alleen killing voor security maar zeker ook voor je snelheid en wendbaarheid.

Verantwoordelijkheid

We merken dat bij steeds meer applicatiebouwers security gelukkig veel serieuzer op de agenda staat dan jaren geleden. De achteraf oh-ja-dat-moet-ook-nog-even mindset komen we langzamerhand minder vaak tegen.

Organisaties willen veel vaker weten hoe het écht zit met de securitykwaliteit en dat ook continu op orde hebben. We zien vaker dat men op eigen verzoek verder wil dan het klassieke achteraf vinkje.

En niet alleen vanwege strengere eisen en kritischer klanten, maar ook gewoon vanuit eigen verantwoordelijkheidsgevoel. Security wordt meer en meer gezien als belangrijk kwaliteitsaspect. Zoals het hoort!

Features stampen!

Maar... helaas zijn we er nog lang niet. We treffen nog veel teams aan die volop te maken hebben met het volgende:

  • Bouwen onder hoge druk met volle focus op nieuwe features! Technical en security debt bungelt ver onder in de backlog, als het er al op staat.
  • Ontwikkelaars hebben hun handen overvol om bij te blijven (nieuwe frameworks, technieken, bouwblokken etc. etc.) en minder ervaren collega's te ondersteunen.
  • Te weinig diepgaande kennis op het vlak van security en er wordt te weinig tijd vrijgemaakt om hier goed in te kunnen duiken.
  • Niemand beschikbaar die vlot en inhoudelijk appsec vragen kan oppakken en het team daarin kan bijstaan.
  • De belangrijke security feedbackloop en kennisoverdracht ontbreekt om problemen vroeg te herkennen en voorkomen.
  • Problemen die vervolgens pas laat worden ontdekt of, erger, helemaal gemist worden.
  • Teams zijn druk met leveren en tegelijkertijd hangen er allerlei onbeantwoorde securitytwijfels in de lucht. Iets wat verlammend en inefficient werkt.

Agile Security

Een Agile Security aanpak biedt uitkomst. Door security onderdeel te maken van je ontwikkelflow wordt je product veilig in de basis, voorkom je achteraf verrassingen en heb je direct een overtuigend verhaal naar je klanten!

Dat klinkt mooi maar hoe doe je dat? Mijn belangrijkste les: als je security niet op een praktische en non-blocking manier aanpakt gaat het niet vliegen. Punt!

Pak het risk-based aan. Focus op de dingen die echt nodig en nuttig zijn! Ik ben dan ook zwaar allergisch voor de "testen om het testen" mindset of verplichte "pentesthoepels".

Dat kost onnodig veel tijd, breekt de Agile flow, werkt frustrerend en resulteert zeker NIET persé in veiliger producten.

De security sweetspot!

De zoektocht naar hoe security praktisch aan te vliegen binnen Agile projecten heeft al jaren mijn aandacht. Iets wat lang geleden begon tijdens mijn tijd bij de Rabobank toen er een enorme aardverschuiving was van waterval naar Agile.

De grootste uitdaging is altijd geweest om de "security sweetspot" te vinden. Waar ligt de perfecte balans tussen kwaliteit, snelheid, schaalbaarheid en kosten?

En dan ook nog - hoe ontwikkel je een aanpak / platform waar zowel security experts, ontwikkelteams, security-officers én de business vrolijk van worden?

Op een bierviltje

Ik ben er heilig van overtuigd dat als je op Agile snelheid, écht veilige producten wilt leveren je de volgende punten in het visier moet hebben:

  • Risk-based werken! Focus alleen op de dingen die echt nodig/nuttig zijn.
  • Snelle security feedback tijdens de bouw.
  • Beveiligingsproblemen vroeg voorkomen, identificeren en verhelpen.
  • Ideale balans tussen handmatige en geautomatiseerde checks.
  • Vlotte, laagdrempelige toegang tot technische security expertise (secure coding).
  • Security top-of-mind houden door gedoseerde relevante security awareness.
  • Security moet zichtbaar, aantoonbaar en meetbaar zijn!

Risk-based werken

Hoe dit er bij ons in de praktijk uitziet?

Met een nulmeting bepalen we de security score (o.a. OWASP ASVS) van je product, brengen we de security hotspots in kaart en maken we het scope/threatmodel.

Zo halen we alle beveiligingslekken en aandachtspunten boven water, leggen vast waar risicovolle plekken zitten (het gladde ijs) en beoordelen we welke aanvallen er allemaal op jouw specifieke situatie van toepassing zijn.

Dit alles wordt vastgelegd in je security dashboard, en vormt de blauwdruk voor de risk-based security validatie, support en awareness.

Daarna volgt de Agile fase. Via de juiste integraties (zoals Git, Jira, Slack etc.) worden alle nieuwe wijzigingen vlot (op sprintniveau) gecontroleerd en wordt het team fulltime ondersteund door een team van ervaren appsec specialisten. Praktisch en laagdrempelig.

Test less, secure more!

Dat directe testen gebeurt met efficiënte diff-reviews met full focus op de security-relevante wijzigingen! Ondersteuning van technologie is hier onmisbaar.

Superefficiënte en gerichte reviews, continuiteit, samenwerking en het frictieloos opvoeren en uitwisselen van findings en feedback is echt een key successfactor gebleken.

Zijn er dus fouten of aandachtspunten? Direct signaleren en inschieten op de security backlog, zodat product owners en het team er mee aan de slag kunnen.

On the job wordt actief kennis overgedragen om het team steeds bewuster qua security te maken en de kans op nieuwe fouten te verkleinen. Op een positieve en gerichte manier. Geen grote trainingen maar met relevante en toepasbare security snacks.

Gaandeweg worden nuttige geautomatiseerde security checks opgezet en de defensiviteit van het product versterkt. Hiermee nemen de security hotspots weer af en daarmee ook de (handmatige) validatie inspanning.

Zo zorg je voor een sneeuwbaleffect! Je voorkomt nieuwe issues, zorgt voor steeds robuustere code, een security-bewust team, doeltreffende automatisering, minder security hotspots en daarme afname van handmatig werk. Test less, secure more.

Inzicht

Belangrijk - als security niet zichtbaar is gaat het niet vliegen. Een andere wijze les die ik heb mogen leren. De aantoonbaarheid moet continu netjes op orde zijn om interne en externe stakeholders altijd vlot te kunnen bedienen.

Product owners zijn bijvoorbeeld continue bezig om alle prio's goed te hebben. Hoe spannend is een security issue nou echt, wat is de business impact? Urgent of kan het gerust even 2, 3 sprints wachten? Ondersteuning en actuele informatie is essentieel om de balans te bewaken tussen snelheid en security.

Risico's accepteren is ook part of the game! Maar zorg er voor dat uitzonderingen inzichtelijk voor alle stakeholders. Wie heeft wat met welke reden geaccepteerd? Doe dit niet onderhands bij het koffiezetapparaat. Leg het vast.

Daar profiteert een developmentmanager of CISO ook weer van. Eèn centraal security overzicht van alle belangrijke projecten. Welke risico's en type fouten komen waar voor, waar is aandacht nodig en wat loopt wel/niet lekker? Essentiële input om security programma's op af te stemmen.

Eèn centrale plek waar alle stakeholders actuele informatie kunnen inzien over de security status, (bedrijfs)risico's en de security voortgang is essentieel om resources en activiteiten te focussen. Een impressie van onze invulling hiervan:

Vertel het je publiek!

En dan de juicy part! Met deze Agile aanpak is de securitykwaliteit van je product zichtbaar en aantoonbaar geborgd, en blijft security continu top-of-mind. En dat mag je je publiek echt met trots laten weten!

De gemiddelde marketing over security is vandaag de dag vrij...simpel. Wij gebruiken dezelfde beveiligingstechnieken als 'de banken', onze security is military-grade, GDPR-proof en staat enorm hoog in het vaandel!

Zorg voor een fris geluid en onderscheid je van deze kretelogie door met trots en zekerheid te laten zien...

  • dat security is ingebakken binnen het Agile ontwikkel proces
  • dat alle wijzigingen direct worden gecontroleerd door (onafhankelijke) experts
  • dat er full-time ondersteuning is en awareness continu aandacht krijgt
  • dat er continu over securitykwaliteit wordt gerapporteerd
  • en dat de security op ieder moment inzichtelijk en aantoonbaar is

Dan steek je er met kop en schouders bovenuit en heb je een klinkend klaar antwoord op de kritische vragen die zich vroeg of laat zullen aandienen.

Conclusie

Security is belangrijk, klanten zijn kritischer. En dat biedt mooie kansen om meer te onderscheiden op vlak van security en vragen voor te zijn!

De klassieke achteraf-pentest is niet meer voldoende voor Agile projecten met meerdere releases per maand/week/dag! Klanten weten ook dat hun portalen continu in de steigers staan.

Security Agile aanpakken heeft veel voordelen op vlak van security en snelheid. Maar houd het wel praktisch, snel en schaalbaar voor alle stakeholders.

En dat is eenvoudiger dan je wellicht denkt! Met een combinatie van snelle toegang tot security expertise, een directe security-feedback-loop en de inzet van slimme technologie. Iets waar zowel developers, product owners (prio's bepalen) en ciso's (inzicht in security) van profiteren.

Zo krijgt security ècht continu de aandacht die het vereist om snel èn aantoonbaar veilig te blijven innoveren. En daar worden jouw klanten vrolijk van!

Wil jij ook...

  • Onderscheiden met Agile Security.
  • Veilig innoveren op Agile snelheid.
  • Voor een vast bedrag per maand.

Maak dan nu kennis met Agile Security van Securify!

Bekijk Agile Security

Vragen of feedback?