Strategische benaderingen voor de beveiliging van digitale platformen

Die risico's blijven niet beperkt tot de technologie: er ontstaan nieuwe uitdagingen doordat teams die verspreid werken, moeten samenwerken om steeds sneller waarde te kunnen leveren door een kortere marktintroductietijd. Er onstaan smart cities en de maatschappij krijgt een holistischer visie op hoe zulke hightech ontwikkelingen dienen geregeld te worden. Nieuwe risico's ontstaan ook vanuit het perspectief van cybersecurity: wie beschermt onze digitale soevereiniteit en ons "digitale erfgoed"? Technologie is niet langer een domein dat in mysterie is gehuld, integendeel, het is een essentiële bedrijfsdiscipline geworden die niet meer weg te denken valt. Overal ter wereld hebben business schools cybersecurity in hun curricula omdat functies in dit domein in opmars zijn, en omdat HR-professionals nieuw inzicht en begrip voor deze veranderende rollen moeten ontwikkelen. Het is een discipline die ook de aandacht trekt van analisten en bestuursraden.

Tijdens het begeleiden van masterprojecten bij AMS ontdek ik vaak getalenteerde mensen die een grote impact kunnen hebben in hun expertisegebied. Tijdens de opleiding 2018-2020 had ik de eer om 4 getalenteerde professionals te begeleiden in hun onderzoek naar Digitale Platforms, Distributed Agile en Softwareontwikkeling: Maria Chtepen, Dennis Verslegers, Tapan Kumar en Yves Vanderbeken. Hun werk onderscheidt zich door het uitgebreide literatuuronderzoek in de academische wereld, evenals praktijkgerichte publicaties, wat kan bijdragen tot nieuwe strategieën voor de aanpak van het probleem van de beveiliging van digitale industrieën. Naast de uitgebreide literatuurstudie, slaagden zij er alle 4 in om artefacten te ontwikkelen die bedrijfsleiders kunnen gebruiken voor de verbetering van:

• Het ontwerp en de opbouw van digitale platform-georiënteerde bedrijven;
• Werkwijzen in globaal gedistribueerde Agile teams (dit lijkt belangrijker tijdens lockdowns);
• Software architectuur pijplijn die audits doorstaat en datalekken/hacks overleeft;
• Methodes voor het beveiligen van de technologiestack in CD Pipelines om veilige software te garanderen.

Samen met deze 4 alumni heb ik een nieuw onderzoeksboek geschreven dat zich buigt over de substantiële problemen die zich voordoen als een organisatie een transformatie ondergaat door het introduceren van een API-gebaseerd platformmodel. Het biedt uitgebreide benaderingswijzen van ontwerpgericht wetenschappelijk onderzoek van ons vijven om enerzijds het probleem diepgaand te bestuderen en anderzijds pragmatische oplossingen te bieden die zowel nuttig kunnen zijn voor de academische wereld als voor vakmensen. Elk onderdeel bestudeert de status-quo en hedendaagse uitdagingen. Daarnaast worden er kernsuccesfactoren en benaderingswijzen geformuleerd die zowel door academische onderzoekers als door bedrijven kunnen worden gebruikt. Het boek is opgedeeld in de volgende thematische hoofdstukken:

door Yves Vanderbeken, DXC, België

Bedrijfsmodellen verschuiven steeds meer richting technologie-gedreven industrieën. In dit eerste hoodfstuk gaan we dieper in op de verschillende bedrijfsmodellen die steunen op technologie: meer bepaald hoe technologie bijdraagt tot de bedrijfsdoelstellingen van, in dit geval, overheden. We zoomen in op overheidsplatformdiensten en de sleutelpraktijken die deze zouden moeten toepassen. We focussen hierop omdat we zien dat technologische bedrijven die stap al zetten en zodoende andere bedrijfsmodellen ontwrichten. Overheden moeten deze stap nog zetten, dus het bestuderen van welke praktijken zij moeten toepassen om relevant te worden voor de burger lijkt een belangrijke onderzoeksfocus.

Dit hoofdstuk gaat over de kritische succesfactoren die we hebben omgezet in de praktijk en die elke organisatie meteen kan toepassen.

door Tapan Kumar, Cognizant, Nederland

Het creëren van platforms gebeurt meer en meer in samenwerking met meerdere teams die producten produceren. Hierbij is de uitdaging om geen efficiëntie te verliezen en geen afval te creëren als gevolg van de verspreide teams die werken met verschillende Frameworks (Less/Safe/Scaled Agile) en volgens verschillende wettelijke vereisten. Dit hoofdstuk bestudeert de blinde vlekken en efficiëntiefactoren. Het stelt sleutelpraktijken voor om teamefficiëntie te verbeteren bij het werken aan platforms in agile teams. Deze praktijken kunnen worden toegepast door vakmensen of meer in detail worden bestudeerd door academici.

door Maria Chtepen, BNP Paribas Group, België, België & Yuri Bobbert, Antwerp Management School, Universiteit Antwerpen, België, ON2IT Nederland

Wettelijke vereisten kunnen verschillen per industrietak en per land. Met meerdere teams werken aan producten vereist een goede afstemming in Frameworks, controles, en architectuurprincipes om volledig end-to-end beschermd te zijn doorheen alle gekoppelde platforms. Dit hoofdstuk onderzoekt de verschillende compliancekaders en architectuurprincipes die kunnen worden toegepast op een agile manier van werken en meer specifiek op CI/CD pijplijnen. Het stelt sleutelpraktijken voor die vakmensen in overweging kunnen nemen.

door Dennis Verslegers, Orange Cyberdefensie, België, België

Als men op een meer agile manier gaat werken bij het produceren van producten die de bedrijfsdoelstellingen dienen, is het vanzelfsprekend dat dit veilig en zonder risico moet gebeuren. Agile werken in kleine teams stimuleert de autonomie van het team en het individu, het vereist dat iedereen bepaalde principes volgt (bv. Agile Manifesto, Security Frameworks zoals NIST of best practices zoals OWASP). Dat betekent dat elk team duidelijke richtlijnen en grenzen moet krijgen waarbinnen zij beslissingen kunnen nemen (bv. implementeren van veiligheids-, schaalbaarheids- en continuïteitsmaatregelen) om codes te ontwikkelen en vrij te geven. Dit hoofdstuk onderzoekt de huidige gangbare praktijken en stelt sleutelpraktijken voor die snelheid en kwaliteit mogelijk maken zonder geld en efficiëntie te verliezen. Deze praktijken zijn uitgezet op een SecDevOps-cyclus zodat vakmensen en wetenschappers hun werk hierop kunnen baseren. De sleutelpraktijken zijn uiterst technisch en meteen toepasbaar.

Dit onderzoeksboek wil op meerdere manieren een bijdrage leveren: het behandelt de substantiële problemen bij de transformatie van een organisatie door het introduceren van een API-gebaseerd platformmodel (een functie van de organisatie). Het gaat ook dieper in op het gebruik van kleine(re) DevOps-teams (constructie van de organisatie) en het benutten van bewezen technologische architecturen (design van de constructie). Deze technologie wordt gebouwd en onderhouden met software-gebaseerde productiestraten, die ook wel Continuous Delivery Pipelines worden genoemd (engineering van de designconstructie). Dit boek wil het verloop van de functie van onze business volgen tot aan de basis van de individuele organisatie (engineering) in een ecosysteem van platformen. Dit is noodzakelijk omdat CE/CIOs een redelijke garantie dienen te geven over de hele keten, tot de kleinste details toe.

Digitale transformatie en het daarmee verbonden risico- en veiligheidsbeheer verandert snel door de opkomende technologieën en reglementeringen. Organisaties willen een snelle en kwaliteitsvolle aanlevering van technologie garanderen om hun klanten, burgers en andere belanghebbenden te dienen. Dit boek biedt uitgebreide benaderingswijzen van ontwerpgericht wetenschappelijk onderzoek van de hand van de AMS onderzoekers om enerzijds het probleem diepgaand te bestuderen en anderzijds pragmatische oplossingen (artefacten) te bieden. Ook worden kernsuccesfactoren en benaderingswijzen geformuleerd die zowel door academische onderzoekers als door business onderzoekers of O&O-afdelingen van Cybersecurity en IT audit- en consultingbedrijven kunnen worden gebruikt.

Ik vond het erg prettig om het werk van Maria, Yves, Dennis en Tapan te begeleiden en met hen samen te werken aan dit nieuwe onderzoeksboek. Het was bovendien ook heel aangenaam om hen te helpen een grotere impact te creëren in hun toekomstige carrières bij Euroclear, BNP Paribas, Cognizant, DXC en Orange. Hun onderwerpen, ik in mijn rol als promotor maar vooral Antwerp Management School brachten hen samen. Ik hoop dat dit project zowel studenten als professoren in management scholen kan inspireren.