Verslag webinar 'CISO 39: Secure by Design' 23 aug 2021

Spreker van dit webinar was Raymond van Dijk, Enterprise Security Architect bij Alliander; een van de beheerders van het Nederlandse energienetwerk.

Hij vertelde dat veel bedrijven een digitale transformatie doormaken door veranderingen in onze economie door bedrijven als Netflix, Uber en Thuisbezorgd.nl.
Alliander moet transformeren vanwege de energietransitie van gas naar elektra, waardoor het elektriciteit netwerk verzwaard en uitgebreid moet worden. Wat in 40 jaar opgebouwd is, moet nu in 10 jaar vervangen worden. 

Agile en DevOps zijn daarbij de toverwoorden waarbij gebruik gemaakt wordt van Continuous Integration en Continuous Delivery methodieken om snel in te kunnen springen op gewijzigde marktwensen.

Raymond gaf aan dat security in zo’n DevOps omgeving in een zo vroeg mogelijk stadium moet geschieden. Je moet programmeurs de tools geven om fouten in software zo snel mogelijk te kunnen identificeren omdat het verhelpen van een fout in productie vaak 100 keer zo duur is als in development of test.
Door DevOps verandert ook het lifecycle management in een IT-omgeving. Waar je vroeger aan het eind van een ontwikkeltraject een security checkpoint had middels een pentest op de ontwikkelde code, krijg je nu te maken met security checkpoints aan het eind van elke sprint. Dat vraagt veel meer capaciteit aan personeel met kennis van security. Verder zijn de disciplines ontwikkelaar, operations en security nu met elkaar verweven. Er is echter nog te weinig kennis van security binnen die Agile teams.
Een van de oplossingen is om kant-en-klare security bouwblokken ter beschikking te stellen. Bijvoorbeeld een code analyse tool of een API-management oplossing, die als een soort firewall functioneert. Training en awareness blijven echter de hoogste prioriteit volgens Raymond.

De sessie werd afgesloten met diverse vragen over een aantal praktische zaken zoals o.a. wie verantwoordelijk is voor security aspecten in complexe omgevingen. Raymond gaf aan dat dit soort zaken dan gezamenlijk aangepakt moet worden.