Telecombedrijven onderstrepen dat de transformatie naar ‘agile frameworks’ en DevOps bij hen een prioriteit is, op korte voet gevolgd door cybersecurity. Dat zijn nou net topics die elkaar vaak bijten. Hoe dat precies zit en hoe we deze toch samen kunnen brengen ten gunste van je organisatie, vertel ik in deze blog.
Het is geen verrassing dat de transformatie naar agile frameworks en DevOps bij de telecomsector zo hoog scoort in CGI’s wereldwijde ‘Voice of Our Clients’-onderzoek. Het is een logische vervolgstap in de soms al decennia durende digitale transformatie die deze bedrijven ondergaan. De digitale reis krijgt steeds nieuwe impulsen en versnellingen, doorgaans ingegeven door nieuwe technologieën en de groeiende mogelijkheden om verder te automatiseren. Waar ooit ‘waterval’-projectmanagement werd ingezet, werd ‘agile’ het devies, met autonome ontwikkelteams en later zelfs DevOps. Een manier van werken waarbij ontwikkeling en beheer met elkaar verweven zijn. Wat je bouwt, beheer je ook, waarbij teams meer eigenaarschap voelen over de hele levenscyclus van een applicatie.
Snel en vaak release live brengen
Door het proces van bouwen, testen en uitrollen van de software verregaand te automatiseren en de performance van de applicaties voortdurend te meten, zorgt DevOps voor een veel snellere, betere applicatieontwikkeling en een snellere release van nieuwe of herziene software aan de gebruikers. De zo cruciale time-to-market wordt hierdoor met maar liefst honderden procenten verkort. Eén van de grondleggers hiervan is streamingsdienst Spotify. (Lees hoe Spotify snelle releases mogelijk maakt, door de inzet van een ‘continuous deployment’.)
Telecombedrijven modelleren zich graag naar innovatieve techbedrijven die full stack nieuwe features ontwikkelen. Zij bereiken hierdoor een veel kortere time-to-market op basis van veel snellere feedback van de klant. Minder vooraf investeren, vaker waarde leveren: het maakt DevOps-modellen een logische keuze voor de tech-driven telecomsector.
Cybersecurity is een must
Naast agile en DevOps geven de telecombedrijven die deelnamen aan onze 'Voice of the Client’-interviews ook cybersecurity een plaats in hun top vijf. Ook dit komt niet als een verrassing. Er zijn immers enkele veranderingen in de wetgeving op komst die impact hebben op de telecombedrijven: zij worden, net als energiebedrijven, gezien als ‘kritische infrastructuur’. Zeker in het perspectief van een wereldwijde pandemie, waarin het massale thuiswerken onderstreepte hoe essentieel de telecommunicatie-infrastructuren en telecomdiensten zijn om de economie draaiend te houden én om mensen te blijven verbinden. Natuurlijk vindt de wetgever het dan uitermate belangrijk dat de telecombedrijven goed beveiligd zijn. Er zijn per seconde honderden geautomatiseerde hacks, dus een goede beveiliging is essentieel.
Voor telecombedrijven is effectieve security noodzakelijk om hun core business te beschermen. Daarnaast is het voor veel telecombedrijven ook onderdeel van hun core business: ze leveren zelf cybersecurity-diensten aan hun klanten.
Groeiende bewustwording
Bovenop dit alles is er ook sprake van een groeiende bewustwording. Als ontwikkelaar ligt je focus op het leveren van waarde aan je klanten en het toevoegen van waarde aan je product. Dit leidde vroeger vaak tot ‘om de security heen’ werken, omdat veiligheidsmaatregelen waardevolle tijd kostten die anders aan oplossingen voor de business besteed konden worden. Als je je in een project of in een agile team toch met de security ging bemoeien, kreeg je het gevoel dat je wellicht niet op tijd zou kunnen leveren. En dus deed je het minimale, om te voldoen aan de acceptatie-eisen. Tegenwoordig zien we meer en meer de noodzaak van een goede beveiliging van onze applicatie. We beseffen ook hoe belangrijk het is om security-expertise tijdig bij het initiatief te betrekken – het ‘security by design’-principe. We willen simpelweg niet iets leveren dat risico’s brengt, want dan zijn we uiteindelijk veel meer tijd en geld kwijt. Nog los van eventuele reputatieschade of impact op klanten. Zo doorlopen we het hele traject soepeler en sneller, terwijl we iets opleveren dat én veilig is én aan alle regel- en wetgeving voldoet.
Ogenschijnlijk botsende trends
We hebben dus twee trends: Agile/DevOps en Cybersecurity. Het frappante aan dit duo is dat ze elkaar kunnen bijten. Ze zitten elkaar tegenwoordig in de haren. Waar voorheen ‘Ops’ de resultaten van ‘Dev’ pas accepteerde als ook alle security boxes aangevinkt waren, gebeurt dit sinds de samensmelting niet meer. Het is nu immers één team, de zogenaamde squad, zonder ‘muurtjes’. En dat squad werkt autonoom, omdat het nemen van beslissingen steeds lager in de organisatie is komen te liggen. Er wordt van bovenaf niets opgedragen; elke squad bepaalt zelf hoe iets wordt opgelost. De squadleden hanteren daarbij agile-basisprincipes als ‘Individuals and interactions over processes and tools’ en ‘Working software over comprehensive documentation’ en werken volgens de ‘lean’-gedachte: laat weg wat je niet nodig acht. Waaronder de security, want als je je niet bewust bent van de security-risico’s, is dat toch alleen maar ballast op weg naar een kortere time-to-market. Een risicomanager denkt daar heel anders over. Voor hem is beveiliging een absolute must. En dat botst. De vraag is dus: hoe brengen we die twee werelden samen?
People, processes & tools
Bovenstaand vraagstuk kent geen kant-en-klare oplossing die je over je gehele organisatie kunt uitrollen. Een organisatie bestaat immers uit divisies en daarbinnen heb je weer allerlei tribes en squads. Elke tribe, maar vaak ook elke squad, beleeft de ingezette transformatie op een ander volwassenheidsniveau. Dat zit zo: verandering heeft vele aspecten en kost tijd. Het raakt de mensen, hun gevoel van eigenaarschap over het product, de processen en ingezette automatisering, of wel: people, processes & tools. Als je security dus wilt inbedden in DevOps, moet je bij elke squad kijken waar ze staat, op elk van die aspecten. Dat bepaalt het vervolg. Als een squad bijvoorbeeld nog geen geautomatiseerde tools voor continue software ontwikkeling en uitrol (CICD) heeft, dan heeft het ook geen zin om te beginnen met aansluiten van een security code scanning tool op hun software ontwikkelproces.
Ambities en volwassenheidsniveaus
Bij elk traject waarbij we security integreren in DevOps, is het belangrijk de klant te vragen naar diens ambities. Met name: hoe ver willen ze zijn in DevOps, maar ook in het beveiligen van hun systemen, wat zijn de risico’s die ze absoluut willen voorkomen en welke zijn acceptabel? We willen graag ook het volwassenheidsniveau van alle tribes en squads binnen die organisatie in kaart brengen. Voor dat laatste hebben we een maturity-model gemaakt gebaseerd op industriestandaarden als OWASP en ISO 27001.
Figuur 1: Maturity-model
Pilot squad zorgt voor blueprint
Als we weten wat het ambitieniveau van de organisatie is, op de hoogte zijn van de initiatieven die al lopen en in kaart hebben gebracht wat de maturity van diverse squads is, starten we een pilot. Dat doen we doorgaans met één pilot squad, dat levert de blueprint met standaarden voor de overige squads. De best practices gebruiken we bij de uitrol.
Zoals je in het figuur hieronder kunt zien, kun je op verschillende momenten in het ontwikkelproces, instappen als het om security gaat. Afhankelijk van de risico’s, bedreigingen en ambities, kun je zorgen voor ‘just enough security’.
Figuur 2: Security baked in to the DevOps lifecycle
Hoe eerder in het cyclus je instapt, hoe dieper de security ingebakken is. En dat is essentieel, want dan lever je niet alleen een veilige applicatie, maar heb je minimale impact op je time-to-market. Problemen die later ontdekt worden, kosten nu eenmaal meer tijd om op te lossen. Niet voor niets stelt onze CSO Stan Sims: ‘Security should be baked-in, not bolted on’. Een credo dat wat mij betreft straks ook bij de DevOps-teams van de telecombedrijven op een tegeltje aan de muur mag komen te hangen.
Bij CGI leveren we onze klanten allerlei security-diensten, passend bij zowel ‘Dev’ als ‘Ops’ en de integratie daartussen. Van design en threat modelling, Security Testing as a Service, tot managed security services.
Deze blog is ook gepubliceerd op Telecompaper.