Secure By Agile Design-event duidt Agile ontwikkelingen

Ordina en ISACA/NOREA kijken terug op een succesvol evenement met gastsprekers van onder andere Xebia/OWASP en Secure Software Alliance, waarin de snelle Agile ontwikkelingen geduid worden in de context van Secure Development.

Agile in Control

Barry Derksen beet het spits af door aan de hand van zes sprints het publiek mee te nemen met praktische uitleg van aandachtsgebieden,  met als doel te komen tot een Secure Software Development Life Cycle die geborgd is binnen organisaties. Met stellingen als ‘Huidige IT-controls bij Agile werken niet’ werd het publiek uitgedaagd een keuze te maken en te redeneren welke denkwijzen en aanpassingen er vanuit informatiebeveiliging benodigd zijn om Security goed binnen Agile teams te laten landen.

Praktische toepassing

Michael Bergman nam het stokje van Barry over en sprak over de ‘Security Integration Gap’. Het hebben van een goed gedefinieerde Security-strategie, die niet goed in operationele zin vertaald kan worden voor en door developers. Hoe ga je daar mee om?

Vanuit drie componenten (governance, interventies en continue verbetering) nam Michael het publiek mee in een methode die op basis van gedeelde noemers een vertaalslag maakt van strategisch beleid, naar praktische borging en bewijslast. De methode is zo opgezet dat deze gemakkelijk aangevuld kan worden op specifieke zaken die bij verschillende type organisaties anders zijn ingericht.

Riccardo Ten Cate gaf hier een praktische invulling aan met behulp van het OWASP Security Knowledge Framework. Als grondlegger van dit Framework liet Riccardo in een interactieve demo zien hoe het Framework aan de hand van marktstandaarden, zoals de OWASP ASVS, of eigen logic flows, developers relevante controls laat zien op basis van de door hun te ontwikkelen change.Naast de controls geeft het Framework direct inzicht in risico’s die developers zouden kunnen introduceren. Voor elk risico is een gedetailleerde uitleg ter validatie en test opgenomen.

Samen sterker

De avond werd afgesloten door Vincent Meijer, Directeur Security & Privacy, die met een Questions & Answers-sessie het publiek de mogelijkheid bood een aantal vragen te stellen. Alle gastsprekers trokken bij het beantwoorden van deze vragen de conclusie dat we samen sterker staan.  Want om Security binnen Agile software development adequaat te borgen, is samenwerking en awareness de eerste prioriteit!