Informatiebeveiliging & DevOps
Het verbeteren van de informatiebeveiliging binnen een DevOps
organisatie.
Student: NCOI Opleidingsgroep
Studentnummer:· HBO Bachelor Informatica
Datum: 8 augustus 2018 Scriptiebegeleider:
Vertrouwelijk
Niet op te nemen in scriptie XXXXXX NCOI
Aantal woorden: 13850
,Voorwoord
Sinds 2014 ben ik als Dev-engineer werkzaam binnen een DevOps organisatie bij de XXXXXX . Ik ben actief
binnen de afdeling XXXXXX en houd me bezig met alle aspecten van het ontwikkelen en beheren van
informatiesystemen binnen deze afdeling.
Met deze eindscriptie sluit ik een vierjarige periode af die ik als zeer intensief en leerzaam heb ervaren. De
opleiding Bachelor Informatica bij de NCOI heeft mij zeer veel kennis en kunde opgeleverd waarvan ik zeker
weet dat deze mijn carrière positief zullen beïnvloeden.
Het was voor mij onmogelijk geweest dit onderzoek tot een goed einde te brengen zonder hulp van een aantal
mensen. Ik zou graag mijn scriptiebegeleider en studiebegeleider willen bedanken voor hun geduld en goede
adviezen tijdens het schrijven en uitvoeren van dit onderzoek. Ook zou ik alle respondenten willen bedanken
die tijd vrij hebben gemaakt om mee te werken aan dit onderzoek. Zonder hun medewerking zou het niet
mogelijk zijn geweest om tot zoveel nieuwe inzichten te komen.
Als laatste wil ik mijn partner bedanken voor haar hulp en geduld gedurende deze vier jaar, zonder haar
aanmoediging en ondersteuning zou het wellicht niet gelukt zijn, XXXXXX bedankt!
Ik wens u veel leesplezier toe.
XXXXXX
XXXXXX, augustus 2018
Page 1
,Inhoudsopgave
Voorwoord ....................................................................................................................................................... 1
Samenvatting ................................................................................................................................................... 4
1 Inleiding ................................................................................................................................................... 5
Organisatie ....................................................................................................................................... 5
Achtergrond en aanleiding van het onderzoek .................................................................................. 5
Probleem analyse ............................................................................................................................. 6
Probleemstelling ............................................................................................................................... 7
Doelstelling ....................................................................................................................................... 7
Centrale onderzoeksvraag................................................................................................................. 7
Deelvragen ........................................................................................................................................ 7
Scope ................................................................................................................................................ 7
Leeswijzer ......................................................................................................................................... 8
2 Literatuur en theoretisch kader ................................................................................................................ 8
Wat is informatiebeveiliging? ........................................................................................................... 8
Informatiebeveiligingsmodellen ....................................................................................................... 9
Bedreigingen, kwetsbaarheid en risico’s ......................................................................................... 11
Beveiligingsmaatregelen ................................................................................................................. 13
Het begrip DevOps .......................................................................................................................... 15
Deployment pipeline....................................................................................................................... 16
DevOps werkwijze en informatiebeveiliging ................................................................................... 17
Onderzoeksmodel ........................................................................................................................... 19
3 Onderzoeksontwerp ............................................................................................................................... 19
Onderzoeksmethode....................................................................................................................... 20
Context en Respondenten ............................................................................................................... 20
Meetinstrumenten .......................................................................................................................... 21
Procedure en analyses .................................................................................................................... 23
4 Resultaten .............................................................................................................................................. 24
Deskresearch .................................................................................................................................. 24
Semigestructureerde interviews ..................................................................................................... 29
4.2.1 Impact DevOps werkwijze op de informatiebeveiliging ........................................................... 29
4.2.2 Maatregelen die een verbetering opleveren van de informatiebeveiliging .............................. 34
4.2.3 Maatregelen vanuit theoretisch kader .................................................................................... 37
Page 2
,5 Analyse ................................................................................................................................................... 38
Interpretatie Impact........................................................................................................................ 38
Interpretatie Maatregelen .............................................................................................................. 40
6 Conclusies............................................................................................................................................... 41
7 Aanbevelingen ........................................................................................................................................ 42
8 Discussie ................................................................................................................................................. 43
Literatuurlijst ................................................................................................................................................. 45
Bijlage I: Interviewgids ................................................................................................................................... 48
Bijlage II: Respondenten ................................................................................................................................ 49
Bijlage III: XXXXXX overzicht........................................................................................................................... 50
Bijlage IV: ·CMDB-model ................................................................................................................................ 51
Bijlage V: ·Interviewresultaten - categorieën ................................................................................................. 52
Page 3
, Samenvatting
Er worden steeds vaker grootschalige aanvallen uitgevoerd op bedrijven waardoor een bedrijf als de XXXXXX
een groot risico loopt. Hiernaast wordt er door de nieuwe DevOps werkwijze anders omgegaan met
informatiebeveiliging dan de traditionele Waterval methode. Er zijn door het management van de afdeling
XXXXXX reeds maatregelen getroffen in de vorm van een dashboard waarin allerlei maatregelen en indicatoren
worden gemonitord echter het management begrijpt ook dat hiermee het gevaar niet geweken is. Uit
voorgaand onderzoek is gebleken dat de DevOps wijze een aantal risicovolle technieken hanteert zoals op het
gebied van functiescheiding en snelheid van ontwikkeling.
Het doel van het onderzoek is om aanbevelingen te doen om de informatiebeveiliging binnen de huidige
DevOps werkwijze te verbeteren. De centrale onderzoeksvraag luidt: op welke wijze kan de
informatiebeveiliging binnen de afdeling XXXXXX verbeterd worden binnen de huidige DevOps werkwijze?
Om de centrale onderzoeksvraag te beantwoorden werd er door middel van literatuurstudie, deskresearch en
semigestructureerde interviews onderzoek verricht. Door middel van literatuurstudie werd de basis gelegd van
het onderzoek door uit te zoeken wat er reeds bekend was over het begrip informatiebeveiliging, DevOps en
het verband tussen deze twee begrippen. Uit de literatuur werd bekend dat er maatregelen voorgesteld
werden zoals ‘verschuiving naar links’, waarbij er eerder binnen het software ontwikkeltraject gekeken wordt
naar informatiebeveiligingsaspecten. Ook kwam naar voren dat het belangrijk was om
informatiebeveiligingsmaatregelen te integreren in het software ontwikkelingsproces.
De respondenten van de semigestructureerde interviews bestonden uit drie groepen, namelijk DevOps
medewerkers, automatiseringsexperts en informatiebeveiligingsexperts. De interviews zijn uitgevoerd aan de
hand van een interviewgids met open vragen. De interviews zijn vervolgens verwerkt en geanalyseerd. Ten
eerste zijn de interviews gecondenseerd en vervolgens gecategoriseerd om zodoende onderwerpen te kunnen
analyseren.
De belangrijkste resultaten van het deskresearch lieten zien dat er in de huidige situatie veel gebruik wordt
gemaakt van handmatige controles. Met betrekking tot de semigestructureerde interviews waren de
belangrijkste resultaten het feit dat er door de respondenten gezegd werd dat de onderwerpen ‘snelheid’, ’te
veel vrijheid’ en ‘integratie controles’ de meeste impact hadden. Als belangrijkste verbeteringen kwamen de
onderwerpen ‘automatisering’, ‘verschuiving naar links’ en ‘standaardisatie IT’ naar voren. De conclusie van het
onderzoek is dat deze maatregelen een verbetering zou opleveren van de informatiebeveiliging binnen de
huidige DevOps werkwijze.
Er wordt aanbevolen om voor de verschillende verbeteringen een plan van aanpak te maken en deze binnen de
verschillende DevOps teams te beleggen via de standaard Scrum Agile methodes. Een centraal comité zal
vervolgens toezien op de uitvoering van de plannen.
Page 4
Het verbeteren van de informatiebeveiliging binnen een DevOps
organisatie.
Student: NCOI Opleidingsgroep
Studentnummer:· HBO Bachelor Informatica
Datum: 8 augustus 2018 Scriptiebegeleider:
Vertrouwelijk
Niet op te nemen in scriptie XXXXXX NCOI
Aantal woorden: 13850
,Voorwoord
Sinds 2014 ben ik als Dev-engineer werkzaam binnen een DevOps organisatie bij de XXXXXX . Ik ben actief
binnen de afdeling XXXXXX en houd me bezig met alle aspecten van het ontwikkelen en beheren van
informatiesystemen binnen deze afdeling.
Met deze eindscriptie sluit ik een vierjarige periode af die ik als zeer intensief en leerzaam heb ervaren. De
opleiding Bachelor Informatica bij de NCOI heeft mij zeer veel kennis en kunde opgeleverd waarvan ik zeker
weet dat deze mijn carrière positief zullen beïnvloeden.
Het was voor mij onmogelijk geweest dit onderzoek tot een goed einde te brengen zonder hulp van een aantal
mensen. Ik zou graag mijn scriptiebegeleider en studiebegeleider willen bedanken voor hun geduld en goede
adviezen tijdens het schrijven en uitvoeren van dit onderzoek. Ook zou ik alle respondenten willen bedanken
die tijd vrij hebben gemaakt om mee te werken aan dit onderzoek. Zonder hun medewerking zou het niet
mogelijk zijn geweest om tot zoveel nieuwe inzichten te komen.
Als laatste wil ik mijn partner bedanken voor haar hulp en geduld gedurende deze vier jaar, zonder haar
aanmoediging en ondersteuning zou het wellicht niet gelukt zijn, XXXXXX bedankt!
Ik wens u veel leesplezier toe.
XXXXXX
XXXXXX, augustus 2018
Page 1
,Inhoudsopgave
Voorwoord ....................................................................................................................................................... 1
Samenvatting ................................................................................................................................................... 4
1 Inleiding ................................................................................................................................................... 5
Organisatie ....................................................................................................................................... 5
Achtergrond en aanleiding van het onderzoek .................................................................................. 5
Probleem analyse ............................................................................................................................. 6
Probleemstelling ............................................................................................................................... 7
Doelstelling ....................................................................................................................................... 7
Centrale onderzoeksvraag................................................................................................................. 7
Deelvragen ........................................................................................................................................ 7
Scope ................................................................................................................................................ 7
Leeswijzer ......................................................................................................................................... 8
2 Literatuur en theoretisch kader ................................................................................................................ 8
Wat is informatiebeveiliging? ........................................................................................................... 8
Informatiebeveiligingsmodellen ....................................................................................................... 9
Bedreigingen, kwetsbaarheid en risico’s ......................................................................................... 11
Beveiligingsmaatregelen ................................................................................................................. 13
Het begrip DevOps .......................................................................................................................... 15
Deployment pipeline....................................................................................................................... 16
DevOps werkwijze en informatiebeveiliging ................................................................................... 17
Onderzoeksmodel ........................................................................................................................... 19
3 Onderzoeksontwerp ............................................................................................................................... 19
Onderzoeksmethode....................................................................................................................... 20
Context en Respondenten ............................................................................................................... 20
Meetinstrumenten .......................................................................................................................... 21
Procedure en analyses .................................................................................................................... 23
4 Resultaten .............................................................................................................................................. 24
Deskresearch .................................................................................................................................. 24
Semigestructureerde interviews ..................................................................................................... 29
4.2.1 Impact DevOps werkwijze op de informatiebeveiliging ........................................................... 29
4.2.2 Maatregelen die een verbetering opleveren van de informatiebeveiliging .............................. 34
4.2.3 Maatregelen vanuit theoretisch kader .................................................................................... 37
Page 2
,5 Analyse ................................................................................................................................................... 38
Interpretatie Impact........................................................................................................................ 38
Interpretatie Maatregelen .............................................................................................................. 40
6 Conclusies............................................................................................................................................... 41
7 Aanbevelingen ........................................................................................................................................ 42
8 Discussie ................................................................................................................................................. 43
Literatuurlijst ................................................................................................................................................. 45
Bijlage I: Interviewgids ................................................................................................................................... 48
Bijlage II: Respondenten ................................................................................................................................ 49
Bijlage III: XXXXXX overzicht........................................................................................................................... 50
Bijlage IV: ·CMDB-model ................................................................................................................................ 51
Bijlage V: ·Interviewresultaten - categorieën ................................................................................................. 52
Page 3
, Samenvatting
Er worden steeds vaker grootschalige aanvallen uitgevoerd op bedrijven waardoor een bedrijf als de XXXXXX
een groot risico loopt. Hiernaast wordt er door de nieuwe DevOps werkwijze anders omgegaan met
informatiebeveiliging dan de traditionele Waterval methode. Er zijn door het management van de afdeling
XXXXXX reeds maatregelen getroffen in de vorm van een dashboard waarin allerlei maatregelen en indicatoren
worden gemonitord echter het management begrijpt ook dat hiermee het gevaar niet geweken is. Uit
voorgaand onderzoek is gebleken dat de DevOps wijze een aantal risicovolle technieken hanteert zoals op het
gebied van functiescheiding en snelheid van ontwikkeling.
Het doel van het onderzoek is om aanbevelingen te doen om de informatiebeveiliging binnen de huidige
DevOps werkwijze te verbeteren. De centrale onderzoeksvraag luidt: op welke wijze kan de
informatiebeveiliging binnen de afdeling XXXXXX verbeterd worden binnen de huidige DevOps werkwijze?
Om de centrale onderzoeksvraag te beantwoorden werd er door middel van literatuurstudie, deskresearch en
semigestructureerde interviews onderzoek verricht. Door middel van literatuurstudie werd de basis gelegd van
het onderzoek door uit te zoeken wat er reeds bekend was over het begrip informatiebeveiliging, DevOps en
het verband tussen deze twee begrippen. Uit de literatuur werd bekend dat er maatregelen voorgesteld
werden zoals ‘verschuiving naar links’, waarbij er eerder binnen het software ontwikkeltraject gekeken wordt
naar informatiebeveiligingsaspecten. Ook kwam naar voren dat het belangrijk was om
informatiebeveiligingsmaatregelen te integreren in het software ontwikkelingsproces.
De respondenten van de semigestructureerde interviews bestonden uit drie groepen, namelijk DevOps
medewerkers, automatiseringsexperts en informatiebeveiligingsexperts. De interviews zijn uitgevoerd aan de
hand van een interviewgids met open vragen. De interviews zijn vervolgens verwerkt en geanalyseerd. Ten
eerste zijn de interviews gecondenseerd en vervolgens gecategoriseerd om zodoende onderwerpen te kunnen
analyseren.
De belangrijkste resultaten van het deskresearch lieten zien dat er in de huidige situatie veel gebruik wordt
gemaakt van handmatige controles. Met betrekking tot de semigestructureerde interviews waren de
belangrijkste resultaten het feit dat er door de respondenten gezegd werd dat de onderwerpen ‘snelheid’, ’te
veel vrijheid’ en ‘integratie controles’ de meeste impact hadden. Als belangrijkste verbeteringen kwamen de
onderwerpen ‘automatisering’, ‘verschuiving naar links’ en ‘standaardisatie IT’ naar voren. De conclusie van het
onderzoek is dat deze maatregelen een verbetering zou opleveren van de informatiebeveiliging binnen de
huidige DevOps werkwijze.
Er wordt aanbevolen om voor de verschillende verbeteringen een plan van aanpak te maken en deze binnen de
verschillende DevOps teams te beleggen via de standaard Scrum Agile methodes. Een centraal comité zal
vervolgens toezien op de uitvoering van de plannen.
Page 4
