Laten we eerlijk zijn: beveiliging voelt vaak als die vervelende bijrijder die steeds “STOP!” roept net wanneer je Agile-trein vaart begint te maken. Maar wat als dit nu niet het geval hoeft te zijn en je als team in staat bent om beveiliging onderdeel te laten zijn van je DNA? In het onderstaande artikel leg ik verder uit wat ik hiermee bedoel.

Stap 1: Hack de PI Planning (Letterlijk)  

Bij mijn laatste opdracht als informatiebeveiliger nodigden we onze product teams uit om tijdens een PI Planning als hacker een rollenspel te doen. Het doel was: “Exploiteer de zwakke plekken van de nieuwe supply chain-app,” zeiden we tegen de teams. Chaos volgde, maar het werkte. Door beveiligingsspecialisten en DevSecOps engineers direct in Agile Release Trains (ARTs) te plaatsen, deden we het volgende:  

– Dreigingsmodellering werd een 30-minuten durend “pre-game” ritueel vóór feature-finalisatie.  

– Vage “beveiligingseisen” werden vervangen door specifieke acceptatiecriteria (bijv. “OAuth2 geïmplementeerd, niet alleen ‘veilige auth’ ”).  

TIP:  Gebruik de Security and Compliance SAFe-competentie als cheatcode (het is niet alleen voor auditors!)  

Stap 2: Maak van DevSecOps een Teamprobleem, Geen Hindernis  

Ooit een team zien juichen omdat ze een securityscan haalden? Ik ook niet. Dus stopten we met de “grote onthulling” van pentests en integreerden checks in de flow:  

– Shift-Left Light: Voeg geautomatiseerde SAST/DAST-tools toe aan de Definition of Done (DoD). Heb je geen fancy tools? Begin dan met gratis OWASP ZAP-scans.  

– Psychologische Veiligheid: Laat teams elkaars beveiligingsuser stories beoordelen tijdens een Scrum of Scrums. Peer pressure overwint het van compliance-gezeur.  

Een DevOps-engineer mopperde: “Dit voelt als veiligheidsgordels toevoegen midden in een race.” Mijn antwoord? “Beter dan crashen bij de finish.”  

Stap 3: Verander Risico’s in ROAM-verhalen  

SAFe’s ROAM-bord (Resolve, Own, Accept, Mitigate) is goud, mits je het goed gebruikt. We logden beveiligingsrisico’s als user stories:  

Bijvoorbeeld: “Als hacker wil ik onversleutelde API-endpoints exploiteren om klantdata te stelen.”*  

Dit draaide het script om. Engineers bedachten mitigaties zoals: “Laten we gevoelige data automatisch taggen in de CI/CD-pipeline.”  

Stap 4: Leid Ambassadeurs op, Geen Poortwachters

Vergeet de term “beveiligingskampioenen”. In plaats daarvan doe je het volgende:  

– Stuur twee vrijwilligers per ART naar een hands-on DevSecOps-crashcourse (denk aan Capture the Flag, geen PowerPoint! ).  

– Laat hen team-specifieke “security plays” maken (bijv. een 5-minuten demo container-scannen tijdens sprintplanning).  

Binnen een kwartaal werd 60% van de lekken door teams zelf gevangen vóór productie.

Stap 5: Meet wat ertoe doet (HINT: Niet alleen CVSS-scores) ! 

SAFe is dol op metrics, dus stopten we met obsessie over “kritieke vs. hoge” lekken en trackten:  

– Cyclusduur voor beveiligingsfixes (doel: < 1 sprint).  

– % Features met ingebouwde beveiliging (doel: 85% vóór PI 3).  

Spoiler: Teams die deze metrics eigen maakten, verbeterden 3x sneller dan teams met vinkjescultuur.  

De harde werkelijkheid

Vertraagt dit je eerst? Absoluut. Ik heb nog nachtmerries van die sprint waarin we 200 microservices moesten refactoren voor logversleuteling. Maar uiteindelijk na 6 maanden steeg onze ART-snelheid met 15%, want lekken debuggen is duurder dan ze voorkomen.  

Nu jullie !  

Begin klein: voeg één beveiligingsacceptatiecriterium toe aan de volgende top-story van je sprint. En hey, als je CISO nog steeds jaarlijkse audits als “strategie” ziet, stuur dan dit artikel op. Geef mij maar de schuld.