Sector IT van de Auditdienst Rijk organiseerde onlangs een kennissessie over DevSecOps: Development, Security and Operations. Sprekers Vincent Schutten en Sandeep Panday namen onze collega’s mee in de ontwikkelingen die er spelen en hoe dit ons werk als auditor beïnvloedt.
DevSecOps staat voor Development, Security and Operations – ook wel bekend als (Secure) DevOps. Hoewel de invulling van DevSecOps per organisatie verschilt, draait het altijd om hetzelfde: een hoog-geautomatiseerde manier van werken waarin softwareontwikkeling en operations zijn samengevoegd, en waarbij beveiliging in alle fasen aandacht krijgt.
Tijdens hun presentaties vertelden Vincent Schutten en Sandeep Panday ons meer over de invulling van DevSecOps bij DUO en hoe we dit mee kunnen nemen tijdens de audit.
DevSecOps bij DUO
Vincent Schutten is Domein Architect Security bij DUO. Hij trapte de kennissessie af met een informatieve en technologische sessie over Zero Trust principes binnen de CI/CD-pipeline en het containerplatform. Dit houdt in dat niemand binnen een systeem of netwerk zomaar toegang heeft tot alle functies en dat er altijd een vorm van verificatie aanwezig is.
Vincent gaf aan dat binnen DUO de software-ontwikkelstraat en het containerplatform gescheiden is van de rest van het IT-landschap, waardoor er meer veiligheid en weerbaarheid wordt gecreëerd binnen de organisatie. Daarnaast wordt bij DUO gebruik gemaakt van diverse maatregelen, zoals encryptie van verkeer, pentesten en detectie zoals XDR.
DevSecOps tijdens de audit
Sandeep Panday (vanuit de NOREA-werkgroep DevOps en eigenaar van Brightlyn) startte zijn presentatie met de verschillende volwassenheidsniveaus van DevSecOps, waarna de connectie werd gemaakt met het nieuwe NOREA-normenkader. Het is een uitgebreid normenkader, waardoor je als auditor een selectie zal moeten maken, gebaseerd op het volwassenheidsniveau van de organisatie.
Sandeep liet zien hoe je automatische testen kan opzetten ter ondersteuning van je audit en hoe dit met de huidige technologische ontwikkelingen steeds makkelijker wordt. Hij gaf ons mee dat deelwaarnemingen vanuit zijn oogpunt géén effectieve manier van testen is – iets wat wij bij de Auditdienst Rijk nog wel doen. Gespreksstof voor tijdens de borrel!
Tot slot
We kijken terug op een geslaagde kennissessie. Er is veel kennis gedeeld over de verschillende invullingen van DevSecOps, wat dit betekent voor ons vakgebied en hoe andere organisaties dit aanpakken.
Sector IT van de Auditdienst Rijk organiseert vier keer per jaar een kennissessie.