Advertorial

Door Tweakers Partners

Feedback • 10-05-2022 08:00 4

Rob (CISO bij Aegon): “Security als uitgangspunt is beter dan als toevoeging”

10-05-2022 • 08:00

4

‘Creating code is creating reality’. Softwareontwikkelaars bepalen de kwaliteit van de digitale wereld waarin we leven. De code die zij schrijven en hun manier van werken zijn bepalend voor onze veiligheid en privacy, maar ook voor aspecten zoals ons energiegebruik. Om deze reden gaat Rob Havermans, CISO bij Aegon, graag het gesprek aan met developers. Waar ligt hun verantwoordelijkheid?

Tijdens de Developers Summit op 23 juni verzorgt Rob een talk in de Privacy & Security-track. “Wat ik wil, is een tegengeluid bieden en een appèl doen op ontwikkelaars. Niet omdat ik vind dat zij hun werk niet goed doen - integendeel - maar om op een leuke en constructieve manier in gesprek te gaan over wat hun verantwoordelijkheid is.” Als CISO is Rob verantwoordelijk voor de informatiebeveiliging bij Aegon in Nederland. In die rol stuurt hij een team van cybersecurity-professionals aan. “Digitale weerbaarheid is steeds belangrijker. Hoe zorg je ervoor dat je dienstverlening overeind blijft in een omgeving vol dreigingen?”

Eisen stellen aan privacy en security

Gelukkig zijn er nog maar weinig mensen te vinden die cybersecurity niet belangrijk vinden, constateert Rob. Alleen is het wel een complex onderwerp, en dat schrikt af. “Vraag maar eens aan een cybersecurity-expert om in vijf minuten samen te vatten tegen welke dreigingen we ons moeten wapenen; meestal lukt dat niet.” Door parallellen te trekken met de fysieke wereld probeert de CISO een brug te slaan tussen het werk van deze specialisten en developers in zijn organisatie. “Je gaat ook geen bankgebouw ontwerpen met daarin dertig buitendeuren. Je kunt weliswaar proberen om het gebouw achteraf te beveiligen, maar het blijft kwetsbaar. Developers werken aan de digitale realiteit. Naast de functionele eisen die bij een project worden gesteld, moeten ook alle niet-functionele zaken inherent veilig zijn. Als we geen eisen stellen op het gebied van privacy en security, hebben we een groot probleem.”

Wat is veilig?

Als het gaat om eisen aan veiligheid, wordt al snel de vraag gesteld wat veilig is. “Bij software voor het verwerken van betaalopdrachten horen andere eisen dan bij een webplatform voor een retailer of een voorraadsysteem. De basis blijft echter dat je voldoende veiligheid inbouwt en daarvoor is een bepaalde grondhouding nodig. Het gaat over de kwaliteit van code, het toetsen daarvan en de manier waarop je je werk doet. Developers zoeken vaak naar vrijheid in hun werk, bijvoorbeeld in de keuze voor hun tooling. Maar als je allerlei snippets van het internet trekt en soms niet eens weet wat je hergebruikt, levert ontwikkelen risico’s op.”

Bij Aegon Nederland, waar tientallen developers intern werken en men ook veel externe teams inzet, worden daarom duidelijke afspraken gemaakt. “Voor onze interne gebruikers werken we met generieke platformen waar developers verschillende producten in kunnen ‘hangen’. We bieden bijvoorbeeld verzekeringen, pensioenen en hypotheken. Dat kun je als gebruiker allemaal via één platform inzien. Dat is prettig, maar door hergebruik van componenten en het op één plek bewaren van gegevens is het ook veiliger.”

Vragen stellen en afspraken maken

Het denken in platformen en hergebruik van componenten is niet heel revolutionair, stelt Rob. “Het is vrij logisch om dit te doen, want het biedt veel voordelen. We scannen veel op kwetsbaarheden door opgeleverde code door een soort ‘scanning-machine’ te halen en waar nodig te corrigeren. Dat gebeurt echter allemaal achteraf. De grote winst zit bij shift security left. Hoe eerder in de pijplijn developers security intrinsiek meenemen, hoe beter. Dat betekent echter wel dat je een bepaalde mindset nodig hebt, in plaats van dat je het onderwerp als een last ervaart.”

Het is overigens niet zo dat developers er helemaal niet mee bezig zijn, voegt de informatiebeveiligingsexpert toe. “Maar er is natuurlijk wel een schifting, waarbij de één op dit gebied wat bewuster is dan de ander. Wat ik die laatste groep zou willen vertellen, is dat veel dingen helemaal niet zo moeilijk zijn. Je kunt automatiseren, je kunt standaard componenten maken en deze hergebruiken. Daar moet je goede afspraken over maken en je moet het organiseren. Welke frameworks gebruik je? Hoe ziet je datamodel eruit? Welke persoonsgegevens leg je vast en waar sla je ze op? En moet je ze ook al in de ontwikkel- en testomgeving gebruiken? Allemaal zaken waar je op kunt letten.”

Het gaat allemaal terug naar de broncode

“Ik zou graag zien dat developers meer gaan nadenken over de compute power die minimaal nodig is om hun code te draaien”Naast privacy en security is ook duurzaamheid een aspect waarbij developers een grote rol kunnen spelen. “Ook daar ligt een verantwoordelijkheid. Veel systemen lopen over van rekenkracht en je kunt er bij wijze van spreken een raket mee naar de maan sturen. Ik zou graag zien dat we samen met developers meer gaan nadenken over de compute power die minimaal nodig is om hun code te draaien, en over datamodellen; waar moet data staan en kun je dataverkeer beperken? Ik wil op de Developers Summit de gelegenheid aangrijpen om ook dit te pitchen. Mijn verhaal gaat over security en privacy, maar de verantwoordelijkheid van de developer gaat nog verder. Het gaat allemaal terug naar de broncode.”

“Als je slim nadenkt over security en het zoveel mogelijk automatiseert, hoeft het geen ballast te zijn”Rob beseft dat zijn verhaal voor in ieder geval een deel van de developers-community ‘preaching to the choir’ is. “Ik zal vast van veel mensen horen dat zij hier allang mee bezig zijn. Maar ik weet dat er ook developers zijn die shift security left zien als ballast, waardoor zij hun werk niet goed kunnen doen. Daar heb ik begrip voor, maar wat mij betreft kom je wel altijd uit bij shift security left. Zeker als je slim nadenkt over security, dit zo vroeg mogelijk in het proces uittekent en het zoveel mogelijk automatiseert, hoeft het geen ballast te zijn. In ieder geval is het een stuk effectiever dan dat je achteraf van alles moet gaan herstellen aan je code. Om terug te komen bij het voorbeeld van het bankgebouw: je kunt sloten op al die dertig deuren hangen, maar het blijven toch echt dertig deuren. Het had dus echt veiliger gekund, door daar eerder over na te denken.”

Ben je developer en/of wil je meepraten over security tijdens de Developers Summit op 23 juni? Check dan snel het programma en reserveer direct je plek voor het event!

Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij Aegon en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Lees meer

Websites en community's

Reacties (4)

-Moderatie-faq
4
4
3
2
0
1
Wijzig sortering
DigitalExorcist 10 mei 2022 09:36
De rol van developers is in deze context belangrijk, maar veel belangrijker is de rol van de eindgebruiker. Die schuift te makkelijk de verantwoordelijkheden af op "de IT" ("wij betalen jullie voor een goede beveiliging!") maar dat is al een tijd lang niet meer hoe dit spelletje werkt. Je kunt als developer alles zo moeilijk of juist mooi maken als je wil, als 'de' eindgebruiker de tools niet gebruikt of verkeerd gebruikt kun je daar niet tegenop developen.

Cybersecurity is geen IT-probleem. Het is een maatschappelijk probleem. Of je nou een CEO bent en er uit jouw naam nepmails gestuurd worden ("CEO-fraude") of je loopt in een magazijn plakbandjes op kleur te sorteren ("supply chain attacks"), iederéén heeft een grote en belangrijke rol te spelen in de beveiliging van het netwerk en data. En dát moet duidelijker voor het voetlicht gebracht worden.

Ja, MFA is soms irritant. Ja, TOTP werkt niet altijd even vlekkeloos. Maar het beláng erachter moet duidelijk gemaakt worden door de héle organisatie. Niet alleen omdat IT een leuk nieuw speeltje heeft, maar omdat het essentieel is voor je bedrijfsvoering.

En MKB-bedrijven zijn niet 'te onbelangrijk om gehackt te worden'. Ook MKB-ers hebben baat bij een strakke beveiliging. Is het niet omdat je met persoonsgegevens werkt dan is het wel omdat je misschien patenten hebt of anders je netwerk openstelt om aanvallen op andere staten mee uit te voeren (denk aan botnets die kritieke infrastructuur in andere landen aanvalt).

En als het niet om ransomware gaat: het gaat hackers niet om jouw individuele bedrijf als je klein bent, het gaat hen om de foothold in netwerken en daarmee slagkracht te vergroten naar andere bedrijven of personen die wél interessant zijn.

[Reactie gewijzigd door DigitalExorcist op 24 juli 2024 02:38]

RobbieB @DigitalExorcist10 mei 2022 13:43
Volledig mee eens, maar ook qua wet- en regelgeving moeten er nog veel stappen gezet worden. Als je kijkt naar andere sectoren waarin veiligheid een belangrijke rol speelt is de IT sector echt een lachertje.

De bouw, auto-, chemische of maakindustrie is allemaal zwaar gereguleerd. Je kunt geen gebouw neerzetten zonder aan strikte regels te voldoen over structurele veiligheid, brandveiligheid etc. waarin óok de veiligheid van alle ketenproducten en -leveranciers gegarandeerd is dmv regulering, certificering etc.

Het digitale domein kent wel wat zaken, denk aan PCI-DSS, GDPR, HIPAA e.d. maar de controle en handhaving erop is minimaal. Het beste voorbeeld hiervan is bv. het Log4J incident. Het feit dat geen enkele organisatie wist of en door welke applicatie dit gebruikt werd is eigenlijk te gek voor worden. Als er in de autoindustrie wordt geconstateerd dat een bepaald onderdeel een risico geeft voor de veiligheid, dan is direct bekend om welke auto's het gaat en worden ál die auto's teruggeroepen. Ondertussen zijn er nog duizenden applicaties met log4j kwetsbaarheden live.

Het wordt echt tijd dat de IT sector gaat professionaliseren, want in veel gevallen wordt er eigenlijk gewoon nog ge-cowboy'd...

Edit: En ja, het is complex, en het is omvangrijk, dat is ook exact het probleem. Maar hoe langer we wachten, hoe groter dit probleem wordt.

[Reactie gewijzigd door RobbieB op 24 juli 2024 02:38]

Sandor_Clegane 10 mei 2022 09:09
Nou, dat is wel een redelijke open deur niet?
Orangelights23 10 mei 2022 09:37
Leuk verhaal. Ik ben zelf CISO bij een bank in Denemarken. Wij hebben heel bewust gekozen om de ontwikkelaars (stuk of 600) een eigen security domain lead toe te kennen, aangezien development slechts een van de onderdelen is binnen cybersecurity. De domain lead is iemand die echt met expertise de developers op een veilige manier laat werken, waarbij we verschillende tweede en derdelijns functies ingeregeld hebben om de processen te ondersteunen. Dat gaat om zowel het automatiseren van processen en beheersmaatregelen tot het werken met datamodellen om developers voldoende richting en ondersteuning te bieden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq