Dé manier om vliegtuigpassagiers in geval van nood de juiste veiligheidshouding aan te laten nemen is door heel hard ‘Brace! Brace!’ te roepen. Hopelijk krijg je het in een vliegtuig nooit te horen, maar op IT-gebied is het wel verstandig om de juiste veiligheidshouding aan te nemen. Zelfs als er nog niks aan de hand is. Maar hoe doe je dat? En is een (starre) veiligheidshouding altijd het beste om te doen?
Float like a butterfly, sting like a bee!
De afgelopen jaren hebben wij gewerkt aan een nieuw metamodel dat organisaties helpt om, geautomatiseerd, bedrijfsprocessen rond softwareontwikkeling te verbeteren. Maar vooral om die processen beter te beveiligen. Dit stelt die organisaties in staat om meer en sneller waarde te halen uit hun kernactiviteiten (productontwikkeling). Maar ook op een veiligere manier. Want die twee zaken, snel en veilig, zijn vandaag de dag onlosmakelijk met elkaar verbonden. In dat vliegtuig probeer je ook zo snel mogelijk zo veilig mogelijk te zijn. Daarom heet dit nieuwe model BRACE. Dat schrap zetten bedoelen we overigens meer in de zin van ‘voorbereid zijn op en instaat om snel te reageren’. Geen starre houding dus, maar licht op de voeten, scherp en context sensitief. Een beetje zoals Muhammad Ali zijn tegenstanders tegemoet trad: Float like a butterfly, sting like a bee!
Verschil met andere modellen
Nu denk je misschien: Weer een nieuw model Zijn andere modellen dan niet goed? Jawel, maar het kan altijd beter. Veel van die modellen gaan ervan uit dat je groeit in volwassenheid door vaardiger te worden. Wij maken het onderscheid door te stellen dat je op een andere manier vaardig moet zijn. Het gevolg hiervan is dat je niet per sé in een bepaalde vaardigheid hoeft te groeien in volwassenheid. De volwassenheid moet je noodzakelijkheid vertegenwoordigen.
We hebben de afgelopen jaren vooral geleerd dat er altijd sprake van verandering is. Er gebeuren altijd onverwachte dingen en alleen door maximaal op het onverwachte voorbereid te zijn, blijven mensen en organisaties relevant. Dit nieuwe model verschilt daarom in drie belangrijke opzichten van andere modellen. Eén, het is gebaseerd op gedrag en gericht op het maximaliseren van waardecreatie. Twee, het brengt het beveiligingsniveau van een organisatie in kaart vanuit een DevOps-perspectief. En drie, het gaat uit van een holistische benadering van veilige productontwikkeling, in plaats van zich op één punt te focussen.
Daarnaast denken wij dat het vooral noodzakelijk is om continu nieuwe skills en kennis te verwerven binnen je organisatie, want zonder die vernieuwingen zul je nooit in staat zijn om nieuw gedrag tot stand te brengen. Het hoogste doel is misschien constant voorbereid te zijn op verandering en verbetering. Maar voor de meeste organisaties is dat een brug te ver: te verstorend en te duur en daarom ook niet wenselijk.
Inzicht en ontwikkeling
Met BRACE verschaffen we dus inzicht in welke mate security-aspecten bijdragen aan de waardecreatie in de ontwikkeling van softwareproducten. De vijf stadia in het ontwikkelproces die wij gebruiken zijn: planning, creatie, testen, uitrol en gebruik. De zeven security-aspecten zijn kwetsbaarheidsmanagement, secret management, monitoring, automatisering, toegangscontrole, infrastuctuur en packaging.
We kennen aan elk van die vijf stadia en zeven security-aspecten verschillende niveaus toe. Zo wordt meteen duidelijk wat er moet gebeuren om het gewenste gedrag te bereiken. En hoe het naar het volgende niveau getild kan worden. Om de beveiliging te optimaliseren. Er zijn vier volwassenheidsniveaus: stabiliteit creëren (niveau 0), robuustheid toevoegen (niveau 1), resilience toevoegen (niveau 2) en antifragiliteit opbouwen (niveau 3). BRACE biedt vervolgens epics en gebruikersverhalen die ingezet kunnen worden om de al deze aspecten binnen een organisatie verder te ontwikkelen en te verbeteren.
Is BRACE af? Nee, BRACE is wat we noemen ‘work in progress’. Het is zoals ik al aangaf geen vastliggend concept, maar een dynamisch model en daarmee dus altijd aan verandering onderhevig. De security-aspecten veranderen. De epics en gebruikersverhalen veranderen. Simpelweg omdat alles om ons heen verandert. We staan daarom open voor ideeën, kritiek en suggesties zodat we BRACE up to date en relevant kunnen houden.
Klik hier om de whitepaper te downloaden.
Edzo Botjes is Antifragility architect / Variety engineer bij Xebia.