Onderzoeksvoorstel
Afstudeerscriptie
Verbeteren van de informatiebeveiliging binnen een DevOps
organisatie
Cursist: XXXXXX
Studentnummer: XXXXXX
HBO Bachelor Informatica
03 januari 2018
Verbeteren van de informatiebeveiliging binnen een DevOps organisatie
,Inhoud
1 Inleiding ........................................................................................................................................... 2
1.1 Organisatie .............................................................................................................................. 2
2 Probleemdefinitie ........................................................................................................................... 2
2.1 Aanleiding ................................................................................................................................ 2
2.2 Probleem analyse.................................................................................................................... 2
2.3 Probleemstelling ..................................................................................................................... 3
2.4 Doelstelling .............................................................................................................................. 3
3 Centrale onderzoeksvraag en deelvragen ................................................................................... 3
3.1 Central onderzoeksvraag ....................................................................................................... 3
3.2 Deelvragen ............................................................................................................................... 3
4 Theoretisch kader .......................................................................................................................... 3
4.1 Evolutie systeemontwikkeling ............................................................................................... 4
4.2 Continuous Delivery ............................................................................................................... 5
4.3 Informatiebeveiliging .............................................................................................................. 6
4.4 Beveiligingsmaatregelen ........................................................................................................ 7
4.5 Onderzoeksmodel ................................................................................................................... 8
5 Onderzoeksontwerp ....................................................................................................................... 9
5.1 Onderzoeksmethode............................................................................................................... 9
5.2 Fase 1 - Literatuuronderzoek ................................................................................................. 9
5.3 Fase 2 - Deskresearch en gestructureerde interviews...................................................... 10
5.4 Fase 3 - Focusgroep ............................................................................................................. 10
5.5 Betrouwbaarheid en validiteit .............................................................................................. 11
6 Tijdsplanning ................................................................................................................................ 11
7 Literatuurlijst ................................................................................................................................ 12
Page 1
, 1 Inleiding
1.1 Organisatie
De XXXXXX is marktleider binnen Nederland op het gebied van XXXXXX. Met ruim XXXXXX klanten
is het ook de grootste XXXXXX van het land en verwerkt het bedrijf ongeveer XXXXXX van al het
XXXXXX binnen Nederland, wat tijdens de kerstpiek van 2017 neerkwam op XXXXXX transacties per
seconde.
Een echte Missie & Visie statement heeft de XXXXXX niet maar als doelstelling is het volgende
gesteld: XXXXXX
De XXXXXX is binnen de XXXXXX verantwoordelijk voor het autoriseren van alle kaart gerelateerde
transacties afkomstig van XXXXXX klanten. De afdeling is opgebouwd uit DevOps teams welke
eigenaarschap hebben van de verschillende informatiesystemen.
2 Probleemdefinitie
2.1 Aanleiding
De XXXXXX is steeds meer een IT gedreven onderneming aan het worden en de relatie met haar
klanten is vooral gebaseerd op vertrouwen. Die vertrouwen is grotendeels gebaseerd op de
betrouwbaarheid van de informatiesystemen binnen de XXXXXX en de manier waarop er met
vertrouwelijke klantgegevens wordt omgegaan.
Eén van de manieren waarop de XXXXXX steeds meer IT gedreven wil worden is door het
reorganiseren van het bedrijf tot een DevOps organisatie waarin de engineers een grote mate hebben
van autonomie en verantwoordelijkheid voor de systemen die zij beheren en ontwikkelen. Door middel
van methodes als Continuous Delivery en Continuous Integration wil het bedrijf zo snel mogelijk
kunnen inspelen op de dynamische wensen van zijn klanten.
Tegelijkertijd is er een mondiaal stijgende tendens op het gebied van cyberaanvallen, zoals
Wannacry-ransomware, het Equifax datalek waarbij er gegevens van meer dan 140 miljoen klanten
gestolen zijn en het hacken van 3 miljard gebruiker accounts bij het Amerikaanse bedrijf Yahoo. Dit
zijn allemaal voorbeelden van deze trend waarbij er steeds vaker grootschalige aanvallen worden
uitgevoerd op organisaties en er geaasd wordt op vertrouwelijk informatie van klanten om hier
financieel voordeel mee te behalen.
De XXXXXX binnen de XXXXXX beheert de autoriserende applicaties welke door de XXXXXX
klanten van de XXXXXX Nederland gebruikt worden en grote hoeveelheden gevoelige klantdata
bevatten. Hierdoor is deze afdeling een potentieel doelwit van hackers en dient er zeer secuur
omgegaan te worden met informatiebeveiligings-aspecten.
2.2 Probleem analyse
Het management van de XXXXXX is eindverantwoordelijk voor de informatiebeveiliging van de
beheerde informatiesystemen en erkent dat de steeds geavanceerder wordende cyberaanvallen een
potentieel gevaar zijn voor de bedrijfsvoering van de XXXXXX . Er zijn door het management reeds
maatregelen getroffen zoals het instellen van een Operationele Control Dashboard (OCD) waarbij er
allerlei beveiligingsnormen worden gemonitord. Echter het management beseft ook dat de
kwaadwillende hackers zich ook blijven ontwikkelen en dat deze maatregelen dus geen garantie
geven op 100% beveiliging.
Aangezien de informatiesystemen van de afdeling zeer gevoelige klantdata bevatten dient er alles aan
gedaan te worden om te voorkomen dat deze systemen gehackt worden. Naast de vertrouwensbreuk
die dit zou kunnen opleveren met de bestaande klanten zou de negatieve publiciteit en de daarop
volgende potentiële cash-run, wellicht het einde kunnen betekenen voor het gehele bedrijf.
Claps et al. (2015) geeft aan dat software momenteel ontwikkeld wordt in een snel-veranderende en
onvoorspelbare markt waarbij er steeds meer nadruk komt te liggen op het ‘time-to-market’ aspect.
Informatiesystemen moeten zo snel mogelijk kunnen worden aangepast om zodoende te kunnen
blijven concurreren in een markt met steeds meer toetreders zoals fintechs en technologie reuzen als
Amazon en Google. Continuous Delivery en de hierop gebaseerde DevOps ontwikkelmethode spelen
hierop in en hebben als doel om snel en frequent software naar een productieomgeving te brengen
(Rodriguez, et al., 2017). Deze methodes brengen echter ook extra risico’s met zich mee. Comas
(2011) beschrijft dat een stabiel informatiesysteem niet kan worden gevestigd in een omgeving die
Page 2
Afstudeerscriptie
Verbeteren van de informatiebeveiliging binnen een DevOps
organisatie
Cursist: XXXXXX
Studentnummer: XXXXXX
HBO Bachelor Informatica
03 januari 2018
Verbeteren van de informatiebeveiliging binnen een DevOps organisatie
,Inhoud
1 Inleiding ........................................................................................................................................... 2
1.1 Organisatie .............................................................................................................................. 2
2 Probleemdefinitie ........................................................................................................................... 2
2.1 Aanleiding ................................................................................................................................ 2
2.2 Probleem analyse.................................................................................................................... 2
2.3 Probleemstelling ..................................................................................................................... 3
2.4 Doelstelling .............................................................................................................................. 3
3 Centrale onderzoeksvraag en deelvragen ................................................................................... 3
3.1 Central onderzoeksvraag ....................................................................................................... 3
3.2 Deelvragen ............................................................................................................................... 3
4 Theoretisch kader .......................................................................................................................... 3
4.1 Evolutie systeemontwikkeling ............................................................................................... 4
4.2 Continuous Delivery ............................................................................................................... 5
4.3 Informatiebeveiliging .............................................................................................................. 6
4.4 Beveiligingsmaatregelen ........................................................................................................ 7
4.5 Onderzoeksmodel ................................................................................................................... 8
5 Onderzoeksontwerp ....................................................................................................................... 9
5.1 Onderzoeksmethode............................................................................................................... 9
5.2 Fase 1 - Literatuuronderzoek ................................................................................................. 9
5.3 Fase 2 - Deskresearch en gestructureerde interviews...................................................... 10
5.4 Fase 3 - Focusgroep ............................................................................................................. 10
5.5 Betrouwbaarheid en validiteit .............................................................................................. 11
6 Tijdsplanning ................................................................................................................................ 11
7 Literatuurlijst ................................................................................................................................ 12
Page 1
, 1 Inleiding
1.1 Organisatie
De XXXXXX is marktleider binnen Nederland op het gebied van XXXXXX. Met ruim XXXXXX klanten
is het ook de grootste XXXXXX van het land en verwerkt het bedrijf ongeveer XXXXXX van al het
XXXXXX binnen Nederland, wat tijdens de kerstpiek van 2017 neerkwam op XXXXXX transacties per
seconde.
Een echte Missie & Visie statement heeft de XXXXXX niet maar als doelstelling is het volgende
gesteld: XXXXXX
De XXXXXX is binnen de XXXXXX verantwoordelijk voor het autoriseren van alle kaart gerelateerde
transacties afkomstig van XXXXXX klanten. De afdeling is opgebouwd uit DevOps teams welke
eigenaarschap hebben van de verschillende informatiesystemen.
2 Probleemdefinitie
2.1 Aanleiding
De XXXXXX is steeds meer een IT gedreven onderneming aan het worden en de relatie met haar
klanten is vooral gebaseerd op vertrouwen. Die vertrouwen is grotendeels gebaseerd op de
betrouwbaarheid van de informatiesystemen binnen de XXXXXX en de manier waarop er met
vertrouwelijke klantgegevens wordt omgegaan.
Eén van de manieren waarop de XXXXXX steeds meer IT gedreven wil worden is door het
reorganiseren van het bedrijf tot een DevOps organisatie waarin de engineers een grote mate hebben
van autonomie en verantwoordelijkheid voor de systemen die zij beheren en ontwikkelen. Door middel
van methodes als Continuous Delivery en Continuous Integration wil het bedrijf zo snel mogelijk
kunnen inspelen op de dynamische wensen van zijn klanten.
Tegelijkertijd is er een mondiaal stijgende tendens op het gebied van cyberaanvallen, zoals
Wannacry-ransomware, het Equifax datalek waarbij er gegevens van meer dan 140 miljoen klanten
gestolen zijn en het hacken van 3 miljard gebruiker accounts bij het Amerikaanse bedrijf Yahoo. Dit
zijn allemaal voorbeelden van deze trend waarbij er steeds vaker grootschalige aanvallen worden
uitgevoerd op organisaties en er geaasd wordt op vertrouwelijk informatie van klanten om hier
financieel voordeel mee te behalen.
De XXXXXX binnen de XXXXXX beheert de autoriserende applicaties welke door de XXXXXX
klanten van de XXXXXX Nederland gebruikt worden en grote hoeveelheden gevoelige klantdata
bevatten. Hierdoor is deze afdeling een potentieel doelwit van hackers en dient er zeer secuur
omgegaan te worden met informatiebeveiligings-aspecten.
2.2 Probleem analyse
Het management van de XXXXXX is eindverantwoordelijk voor de informatiebeveiliging van de
beheerde informatiesystemen en erkent dat de steeds geavanceerder wordende cyberaanvallen een
potentieel gevaar zijn voor de bedrijfsvoering van de XXXXXX . Er zijn door het management reeds
maatregelen getroffen zoals het instellen van een Operationele Control Dashboard (OCD) waarbij er
allerlei beveiligingsnormen worden gemonitord. Echter het management beseft ook dat de
kwaadwillende hackers zich ook blijven ontwikkelen en dat deze maatregelen dus geen garantie
geven op 100% beveiliging.
Aangezien de informatiesystemen van de afdeling zeer gevoelige klantdata bevatten dient er alles aan
gedaan te worden om te voorkomen dat deze systemen gehackt worden. Naast de vertrouwensbreuk
die dit zou kunnen opleveren met de bestaande klanten zou de negatieve publiciteit en de daarop
volgende potentiële cash-run, wellicht het einde kunnen betekenen voor het gehele bedrijf.
Claps et al. (2015) geeft aan dat software momenteel ontwikkeld wordt in een snel-veranderende en
onvoorspelbare markt waarbij er steeds meer nadruk komt te liggen op het ‘time-to-market’ aspect.
Informatiesystemen moeten zo snel mogelijk kunnen worden aangepast om zodoende te kunnen
blijven concurreren in een markt met steeds meer toetreders zoals fintechs en technologie reuzen als
Amazon en Google. Continuous Delivery en de hierop gebaseerde DevOps ontwikkelmethode spelen
hierop in en hebben als doel om snel en frequent software naar een productieomgeving te brengen
(Rodriguez, et al., 2017). Deze methodes brengen echter ook extra risico’s met zich mee. Comas
(2011) beschrijft dat een stabiel informatiesysteem niet kan worden gevestigd in een omgeving die
Page 2
