+31 35 543 1000 info@kza.nl
Het Security Chapter

Wanneer ik straks weer de Albert Heijn om de hoek binnenloop, merk ik dat het boodschappen doen steeds sneller en makkelijker gaat. Neem bijvoorbeeld de zelfscankassa. Handig, want je hoeft niet te wachten bij de kassa. Zelfs het pakken van de handscanner is tegenwoordig overbodig,  de Appie app gebruiken en scannen maar.

Binnen de IT noemen we dit principe ‘shift-left’: het behelst het opschuiven van het oplossend vermogen naar de medewerker of het proces die als eerste in de keten het probleem kan verhelpen. Bij mijn huidige opdracht ben ik met een aantal collega’s (het Security Chapter) bezig om deze ‘shift-left’ beweging te maken op het gebied van applicatie beveiliging. Met deze beweging proberen wij onze manier van werken zo in te regelen dat het oplossen van beveiligingsrisico’s zo vroeg mogelijk in de keten gebeurt.

Hoe proberen wij dat dan te doen binnen het Security Chapter?

Aan de ene kant proberen wij onze processen zo in te richten dat de eventuele beveiligingsrisico’s zo vroeg mogelijk gedetecteerd worden. Een mooi voorbeeld hiervan is het gebruik van Security-tools die bij iedere release door de code heen scannen. Voor de shift-left beweging willen wij deze tools zo vroeg mogelijk af kunnen trappen in onze OTAP-straat (Ontwikkel, Test, Acceptatie, Productie). Hierdoor kunnen veel beveiligingsrisico’s al worden gedetecteerd voordat deze op de productiesystemen komen te staan.

Aan de andere kant proberen wij de kennis van medewerkers te vergroten en awareness te creëren. Deze taak heb ik op mij genomen. Om deze kennis te vergroten heb ik gebruik gemaakt van de meest voorkomende beveiligingsrisico’s die OWASP heeft opgesteld en hier een verslag van uitgebracht. OWASP is een organisatie die zich bezighoudt met beveiligingsrisico’s omtrent internet applicaties. Om de vier jaar publiceert de OWASP een top 10 van deze risico’s.

Maar hoe breng je een ‘saai’ onderwerp onder de aandacht bij de rest van de organisatie? Alleen een document opsturen zal weinig mensen interesseren. Ik heb ervoor gekozen om er een wedstrijd van te maken, een quiz. Met natuurlijk een aantal prijzen voor de toppers om zo de motivatie van de groep te vergroten. Een mooie bijkomstigheid van een quiz is dat je de uitkomsten kan analyseren en in mijn geval kan delen met het Security Chapter. Hierdoor kunnen wij een vervolgplan opstellen om de kennis verder te vergroten.

Het KZA security gilde is altijd een goede bron van informatie en wij vinden het altijd leuk om met u te sparren over onderwerpen op het gebied van security. Mail ons: security@kza.nl