Om de reiziger optimaal van dienst te zijn ontwikkelt de bekendste treinvervoerder van Nederland zich steeds meer tot een bedrijf met een door-to-door-mobility aanbod. In deze ontwikkeling is de tactische inzet van IT-technologie cruciaal, maar ook de beschikbaarheid en beveiliging daarvan. Om de agile DevOps-teams van NS al in de bouwfase bewuster te maken van security-risico's en hoe deze af te dekken volgden zij een Security in DevOps-training van Computest.
De focus in de vorige training lag op security-testen op het moment dat een applicatie was gebouwd. We wilden nu een volgende stap zetten en developers meer inzicht geven in het veilig ontwikkelen van applicaties, ofwel ‘security by design’.
Onno Wierbos, non-functional test lead bij NS
NS is verregaand gedigitaliseerd. “Door de inzet van IT kunnen we beter inspelen op de behoefte van de reiziger en onze organisatie efficiënter maken. Een voorbeeld is de reisplanner app”, vertelt Onno Wierbos, non-functional test lead bij NS. “Voorheen werd deze slechts gebruikt voor het opvragen van vertrektijden. Inmiddels kan men via de app direct een treinkaartje kopen en krijg je op basis van GPS zelfs suggesties voor waar je de meeste kans hebt op een zitplaats in de trein. Dit is niet alleen voor de reiziger zelf prettiger; door de spreiding van passagiers kunnen wij de belasting en de inzet van treinen verbeteren.”
Kennis over security-testen ontwikkelen
In zo’n gedigitaliseerde omgeving is er vanzelfsprekend veel aandacht voor security. In het Test Competence Center van NS werken zo’n 200 professionals. Zij verzorgen alle testactiviteiten binnen de spoorwegen, zoals security en performance testing van de reisinformatiesystemen. Om de kennis over security-testen binnen de eigen organisatie verder te ontwikkelen volgden IT-specialisten van NS al eerder een training van Computest. Daarin leerden ze denken als een hacker en applicaties op veiligheid te testen.
Computest is voor ons een belangrijke partner bij security-vraagstukken en heeft veel praktijkervaring in huis. Het was dus niet meer dan logisch om hen in te schakelen om ons ook te helpen met het vergroten van de kennis over veilige applicatie-ontwikkeling.
Onno Wierbos, non-functional test lead bij NS
Wierbos legt uit waarom er behoefte was aan vervolgtraining door Computest: “De focus in de vorige training lag op security-testen op het moment dat een applicatie was gebouwd. We wilden nu een volgende stap zetten en developers meer inzicht geven in het veilig ontwikkelen van applicaties, ofwel ‘security by design’. Daarmee verminderen we de kans op de introductie van onveilige applicaties. Computest is voor ons een belangrijke partner bij security-vraagstukken en heeft veel praktijkervaring in huis. Het was dus niet meer dan logisch om hen in te schakelen om ons ook te helpen met het vergroten van de kennis over veilige applicatie-ontwikkeling.”
Security in DevOps-training
Op basis van de behoeften van het Test Competence Center van NS ontwikkelde Computest een praktische training. De Security in DevOps-training bestaat uit twee dagen. De eerste dag is gericht op DevOps-processen en -tooling en de tweede dag op secure software development. Na afloop van de training kunnen deelnemers security als onderdeel meenemen in het ontwikkelproces, naar hun eigen code te kijken en weten ze welke security-maatregelen genomen moeten worden in specifieke omgevingen. De deelnemers staan er dan in de praktijk echter niet helemaal alleen voor, want ook na de training kunnen zij een beroep doen op de kennis van de specialisten van Computest die hen als mentor een periode blijven begeleiden.
We leerden op een toegankelijke manier hoe we security kunnen borgen in het hele ontwikkelproces, zowel voor de Dev-kant als de Ops-kant. De kennis konden we direct in de praktijk toepassen door middel van capture the flag-uitdagingen.
Remco Blewanus, non-functional test specialist bij NS
Remco Blewanus volgde de Security in DevOps-training vanuit zijn functie als non-functional test specialist. “De training speelt nauwgezet in op het moderne IT-landschap. Het DevOps-principe staat centraal. We leerden op een toegankelijke manier hoe we security kunnen borgen in het hele ontwikkelproces, zowel voor de Dev-kant als de Ops-kant. De theorie en best practices werden gegeven door security-specialisten die in hun dagelijks werk in opdracht van klanten systemen proberen te hacken. Daarnaast gingen we door middel van capture the flag-uitdagingen zelf met bepaalde aanvallen aan de slag waardoor je direct je kennis in de praktijk kunt toepassen.”
Concrete handvatten tegen actuele bedreigingen
“Uniek is de actualiteit van de training”, vindt Blewanus. “Het sluit aan bij hedendaagse ontwikkelingen in IT en applicatie-ontwikkeling. Er worden concrete handvatten gegeven hoe je je kunt wapenen tegen actuele bedreigingen. “Dit zorgt voor concrete toepasbaarheid van de kennis in ons team. Voor ieder teamlid had de training dan ook nuttige aspecten.”
Wierbos over wat de training NS naast kennis van ‘security by design’ heeft opgeleverd: “Een belangrijk inzicht is dat iedereen een verantwoordelijkheid heeft in het proces om een applicatie naar productie te krijgen. De bewustwording van de rollen van zowel de Dev-kant als de Ops-kant helpt onze specialisten om beter samen te werken. Mensen kunnen nu beter uitleggen wat er moet gebeuren en de product owner kan die tijd makkelijker toekennen. De training van Computest draagt dus zowel op operationeel als strategisch vlak bij.”
NS is geholpen. Waar kunnen we jou mee van dienst zijn?
Wil jij net als de NS je medewerkers trainen in security awareness of heb je een ander security vraagstuk? Neem contact op met ons en wij reageren binnen één werkdag op je verzoek. Mail via info@computest.nl of vul het contactformulier in!