SlideShare uma empresa Scribd logo

20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling

Transferir como PPTX, PDF
GGZ Oost Brabant
GGZ Oost Brabant

Auditen van agile software ontwikkeling; presentatie voor het Platform voor informatiebeveiliging (pvib)

Tecnologia
1 de 15
Auditen van Agile projecten Platform voor Informatiebeveiliging 10 december 2013 Merijn van der Zalm & Marcel Trijssenaar
Agenda • • • • • Belang van assurance op agile ontwikkelen Agile versus Waterval Perspectief van de opdrachtgever Agile Manifesto: aangrijpingspunten voor synthese Good practices – Documentatie – Beschouwingsniveau – Projectbesturing • Agile en informatiebeveiliging 2
Belang van assurance op agile ontwikkelen 1. Bedrijfsvoering wordt steeds afhankelijker van software 2. Uitgaven IT blijven groeien 3. Software ontwikkeling steeds vaker agile “IT is increasingly used as a competitive differentiator” www.gartner.com/technology/ metrics Meer behoefte aan assurance 3
Agile versus Waterval Waterval Analyse Productie Ontwerp mijlpaal Sprint Bouw • • • • • • • • Waterval mijlpaal Plan gedreven Test mijlpaal Requirements stabiel Productie Nadruk op documentatie Cultuur “Ordnung muss sein” mijlpaal Groot aantal ontwikkelaars mogelijk Typisch voor bedrijfskritische systemen Na elke fase afgeronde, auditbare producten Plan Sprint Productie Plan Sprint Plan Productie Sprint Plan Productie Sprint Productie 4
Agile versus Waterval 5
Agile versus Waterval Hoe werkt SCRUM? Scrum master managed het Scrum proces Product owner bepaalt functionaliteit 6
Agile: perspectief van de opdrachtgever bestuurder auditor directeur •Betrouwbaarheid •Veiligheid •… Projecten •Klanttevredenheid Going •Efficiency concern •Doorlooptijd •(Betrouwbaarheid) •… 7
Agile manifesto: aangrijpingspunten We have come to value Good practices A, B, C That is, while there is value in the items on the right, we value the items on the left more 8
Good practice A: andere documentatie auditen Functioneel Ontwerp • Uitgangspunten en randvoorwaarden • Aannames • Informatie procesmodel • Datamodel • Bedrijfsregels • Statusovergangen • Presentatielaag • Autorisatiemodel • Functies en interfaces • (architectuur) • (informatiebeveiliging) • Aanwezigheid use case? • Eisen format (UML)? • UC geaccordeerd door gebruiker? Maar… • Geen vastgestelde fasedocumenten, steeds nieuwe versies • Soms meerdere versies van hetzelfde ontwerpdocument onderzoeken • Geen samenhangende set van documentatie (versie en releases) • Geen “non-functionals” 9
Good practice B: kies beschouwingsniveau SPRINT • Sprint planningen en backlogs • Burndownchart • Retrospective RELEASE • OTAP tollgates zoals PAT AGILE ORGANISATIE • Aanwezigheid product owner • Kennis, skills, ervaring van ontwikkelaars 10
Good practice C: focus projectbesturing Project leider / product owner • • • • IT PL / scrum master Project brief (VGZ) Rapportage backlog Aanwezigheid stuurgroep Besluitvorming obv prioritering 11
Agile en Informatiebeveiliging, geen vanzelfsprekende combi • Informatiebeveiligingseisen zijn vaak “non-functional” dus geen feature voor de ontwikkelaar • Ontwikkelaars (en gebruikers) zijn niet altijd even “aware” – Weet de ontwikkelaar hoe het platform in elkaar zit, hoe de tools precies werken en waar de data staat en de kwetsbaarheden daarin? Toch zien wij wel mogelijkheden… • • • • • • Kennisniveau ontwikkelaars verhogen Code review IB als scrum teamlid IB als klant: IB use cases (stories) in de backlog Penetration test (black box)? Gebruik secure services (niet echt agile) 12
Voorbeeld: beveiligings non-functionals op backlog meenemen Beveligings Functionals Non-funct. Backlog item Schatting impact Klant ziet aanbod in de app 7 Klant kan m.b.v. de app een bestelling plaatsen 3 Klant kan m.b.v. de app bestelling annuleren 2 Verkoop krijgt dagelijks een lijst van bestellingen 6 Bij inloggen van klant in app de inlognaam filteren 2 Bij zoeken van klant door assortiment wordt zoekstring gecheckt en zonodig geschoond 3 … Techitem: refactor code sorteren van aanbod En testen 4 Vooraf mechanisme bepalen waarmee IB niet automatisch steeds “eruit valt” 13
Beeld van mogelijkheden auditen agile afhankelijk van doel assurance Doelmatigheid ONTWERP Opzet Bestaan & werking • implementatie ontwerpmethodiek • Aanwezigheid UC • Accordering UC Compliance & architectuur Focus IB • Risicoanalyse vooraf • Use cases IAM • Use cases autorisatiemgt ONTWIKKEL Betrouwbaarheid PROJECT BEHEER • implementatie beheermethodiek (ITIL) • implementatie scrum • implementatie projmgt • Sprint meeting & planning • Backlog • Burndown chart • Retrospective • Aanwezigheid product owner • Ervaring ontwikkelaars • Project brief • Rapportages • Aanwezigheid stuurgroep • Gebruikers testlog • Besluitvorming (prioritering) • OTAP “vlaggen” • Awareness ontwikkelaars • Backlog IB (non-fcls) • IB in scrum team • IB als klant • Blackbox testing (pentest)? • Pentest Veiligheid 14
Slot 15

Recomendados

Project portfolio management TeleTURN
Project portfolio management TeleTURNProject portfolio management TeleTURN
Project portfolio management TeleTURNGGZ Oost Brabant
 
Kanban bij een installatiebedrijf
Kanban bij een installatiebedrijfKanban bij een installatiebedrijf
Kanban bij een installatiebedrijfSeverin Hendrikx
 
Hoe word ik lean?
Hoe word ik lean?Hoe word ik lean?
Hoe word ik lean?2C management
 
Scrum keep it simple
Scrum keep it simpleScrum keep it simple
Scrum keep it simpleAgile Delivery
 
Kan lean scrum uit bannen
Kan lean scrum uit bannenKan lean scrum uit bannen
Kan lean scrum uit bannenXebia Nederland BV
 
Kanban - Classes of Service
Kanban - Classes of ServiceKanban - Classes of Service
Kanban - Classes of ServiceAvarteq
 
Kanban VS Scrum
Kanban VS ScrumKanban VS Scrum
Kanban VS ScrumMikalai Alimenkou
 
Kanbanboards
KanbanboardsKanbanboards
KanbanboardsMarcus Hammarberg
 

Recomendados

Project portfolio management TeleTURN
Project portfolio management TeleTURNProject portfolio management TeleTURN
Project portfolio management TeleTURNGGZ Oost Brabant
 
Kanban bij een installatiebedrijf
Kanban bij een installatiebedrijfKanban bij een installatiebedrijf
Kanban bij een installatiebedrijfSeverin Hendrikx
 
Hoe word ik lean?
Hoe word ik lean?Hoe word ik lean?
Hoe word ik lean?2C management
 
Scrum keep it simple
Scrum keep it simpleScrum keep it simple
Scrum keep it simpleAgile Delivery
 
Kan lean scrum uit bannen
Kan lean scrum uit bannenKan lean scrum uit bannen
Kan lean scrum uit bannenXebia Nederland BV
 
Kanban - Classes of Service
Kanban - Classes of ServiceKanban - Classes of Service
Kanban - Classes of ServiceAvarteq
 
Kanban VS Scrum
Kanban VS ScrumKanban VS Scrum
Kanban VS ScrumMikalai Alimenkou
 
Kanbanboards
KanbanboardsKanbanboards
KanbanboardsMarcus Hammarberg
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Harold van Heeringen
 
ING : How top quality software and state-of-the-art technology leads to conti...
ING : How top quality software and state-of-the-art technology leads to conti...ING : How top quality software and state-of-the-art technology leads to conti...
ING : How top quality software and state-of-the-art technology leads to conti...NLJUG
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerSogeti Nederland B.V.
 
Selfservice BI in de Praktijk
Selfservice BI in de PraktijkSelfservice BI in de Praktijk
Selfservice BI in de PraktijkFreek Kamst
 
Complexe e-commerce concepten op basis van open source
Complexe e-commerce concepten op basis van open sourceComplexe e-commerce concepten op basis van open source
Complexe e-commerce concepten op basis van open sourcewebwinkelvakdag
 
Webinar Towards the Digital Factory - Gerlinde Oversluizen
Webinar Towards the Digital Factory - Gerlinde Oversluizen Webinar Towards the Digital Factory - Gerlinde Oversluizen
Webinar Towards the Digital Factory - Gerlinde Oversluizen HAN Lean-QRM Centrum / HAN Lectoraat Lean
 
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleHoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleSjoerd Hemminga
 
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Luuk Danes
 
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleHoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleJeroen Reijn
 
Iip saa s - kennissessie exact - tu delft - deel 2
Iip saa s - kennissessie exact - tu delft - deel 2Iip saa s - kennissessie exact - tu delft - deel 2
Iip saa s - kennissessie exact - tu delft - deel 2Martijn Kriens
 
Agile: wat zijn de voordelen voor jou?
Agile: wat zijn de voordelen voor jou?Agile: wat zijn de voordelen voor jou?
Agile: wat zijn de voordelen voor jou?Maarten Kalfsbeek
 
Creating sustainable solutions with SharePoint 2013 - Yuri Burger
Creating sustainable solutions with SharePoint 2013 - Yuri BurgerCreating sustainable solutions with SharePoint 2013 - Yuri Burger
Creating sustainable solutions with SharePoint 2013 - Yuri BurgerDelta-N
 
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...Ikinnoveer
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Sijmen Ruwhof
 
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakFacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakDirk Tuip
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Lucas Blom
 
Presentatie Enterprise Architectuur - Agile en Essentie
Presentatie Enterprise Architectuur - Agile en EssentiePresentatie Enterprise Architectuur - Agile en Essentie
Presentatie Enterprise Architectuur - Agile en EssentieDanny Greefhorst
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 

Mais conteúdo relacionado

Semelhante a 20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling

Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Harold van Heeringen
 
ING : How top quality software and state-of-the-art technology leads to conti...
ING : How top quality software and state-of-the-art technology leads to conti...ING : How top quality software and state-of-the-art technology leads to conti...
ING : How top quality software and state-of-the-art technology leads to conti...NLJUG
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerSogeti Nederland B.V.
 
Selfservice BI in de Praktijk
Selfservice BI in de PraktijkSelfservice BI in de Praktijk
Selfservice BI in de PraktijkFreek Kamst
 
Complexe e-commerce concepten op basis van open source
Complexe e-commerce concepten op basis van open sourceComplexe e-commerce concepten op basis van open source
Complexe e-commerce concepten op basis van open sourcewebwinkelvakdag
 
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleHoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleSjoerd Hemminga
 
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Luuk Danes
 
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleHoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleJeroen Reijn
 
Iip saa s - kennissessie exact - tu delft - deel 2
Iip saa s - kennissessie exact - tu delft - deel 2Iip saa s - kennissessie exact - tu delft - deel 2
Iip saa s - kennissessie exact - tu delft - deel 2Martijn Kriens
 
Agile: wat zijn de voordelen voor jou?
Agile: wat zijn de voordelen voor jou?Agile: wat zijn de voordelen voor jou?
Agile: wat zijn de voordelen voor jou?Maarten Kalfsbeek
 
Creating sustainable solutions with SharePoint 2013 - Yuri Burger
Creating sustainable solutions with SharePoint 2013 - Yuri BurgerCreating sustainable solutions with SharePoint 2013 - Yuri Burger
Creating sustainable solutions with SharePoint 2013 - Yuri BurgerDelta-N
 
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...Ikinnoveer
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Sijmen Ruwhof
 
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakFacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakDirk Tuip
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Lucas Blom
 
Presentatie Enterprise Architectuur - Agile en Essentie
Presentatie Enterprise Architectuur - Agile en EssentiePresentatie Enterprise Architectuur - Agile en Essentie
Presentatie Enterprise Architectuur - Agile en EssentieDanny Greefhorst
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 

Semelhante a 20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling (20)

Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
 
ING : How top quality software and state-of-the-art technology leads to conti...
ING : How top quality software and state-of-the-art technology leads to conti...ING : How top quality software and state-of-the-art technology leads to conti...
ING : How top quality software and state-of-the-art technology leads to conti...
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
 
Selfservice BI in de Praktijk
Selfservice BI in de PraktijkSelfservice BI in de Praktijk
Selfservice BI in de Praktijk
 
Complexe e-commerce concepten op basis van open source
Complexe e-commerce concepten op basis van open sourceComplexe e-commerce concepten op basis van open source
Complexe e-commerce concepten op basis van open source
 
Webinar Towards the Digital Factory - Gerlinde Oversluizen
Webinar Towards the Digital Factory - Gerlinde Oversluizen Webinar Towards the Digital Factory - Gerlinde Oversluizen
Webinar Towards the Digital Factory - Gerlinde Oversluizen
 
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleHoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
 
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
 
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB AlarmcentraleHoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
Hoe releasen minder pijnlijk werd bij de ANWB Alarmcentrale
 
Iip saa s - kennissessie exact - tu delft - deel 2
Iip saa s - kennissessie exact - tu delft - deel 2Iip saa s - kennissessie exact - tu delft - deel 2
Iip saa s - kennissessie exact - tu delft - deel 2
 
Agile: wat zijn de voordelen voor jou?
Agile: wat zijn de voordelen voor jou?Agile: wat zijn de voordelen voor jou?
Agile: wat zijn de voordelen voor jou?
 
Creating sustainable solutions with SharePoint 2013 - Yuri Burger
Creating sustainable solutions with SharePoint 2013 - Yuri BurgerCreating sustainable solutions with SharePoint 2013 - Yuri Burger
Creating sustainable solutions with SharePoint 2013 - Yuri Burger
 
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
IA van innovatief idee tot succesvol product. Dominiek Dolphen. Projectmatig ...
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger?
 
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakFacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
 
Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!
 
Presentatie Enterprise Architectuur - Agile en Essentie
Presentatie Enterprise Architectuur - Agile en EssentiePresentatie Enterprise Architectuur - Agile en Essentie
Presentatie Enterprise Architectuur - Agile en Essentie
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automation
 

20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling

  • 1. Auditen van Agile projecten Platform voor Informatiebeveiliging 10 december 2013 Merijn van der Zalm & Marcel Trijssenaar
  • 2. Agenda • • • • • Belang van assurance op agile ontwikkelen Agile versus Waterval Perspectief van de opdrachtgever Agile Manifesto: aangrijpingspunten voor synthese Good practices – Documentatie – Beschouwingsniveau – Projectbesturing • Agile en informatiebeveiliging 2
  • 3. Belang van assurance op agile ontwikkelen 1. Bedrijfsvoering wordt steeds afhankelijker van software 2. Uitgaven IT blijven groeien 3. Software ontwikkeling steeds vaker agile “IT is increasingly used as a competitive differentiator” www.gartner.com/technology/ metrics Meer behoefte aan assurance 3
  • 4. Agile versus Waterval Waterval Analyse Productie Ontwerp mijlpaal Sprint Bouw • • • • • • • • Waterval mijlpaal Plan gedreven Test mijlpaal Requirements stabiel Productie Nadruk op documentatie Cultuur “Ordnung muss sein” mijlpaal Groot aantal ontwikkelaars mogelijk Typisch voor bedrijfskritische systemen Na elke fase afgeronde, auditbare producten Plan Sprint Productie Plan Sprint Plan Productie Sprint Plan Productie Sprint Productie 4
  • 6. Agile versus Waterval Hoe werkt SCRUM? Scrum master managed het Scrum proces Product owner bepaalt functionaliteit 6
  • 7. Agile: perspectief van de opdrachtgever bestuurder auditor directeur •Betrouwbaarheid •Veiligheid •… Projecten •Klanttevredenheid Going •Efficiency concern •Doorlooptijd •(Betrouwbaarheid) •… 7
  • 8. Agile manifesto: aangrijpingspunten We have come to value Good practices A, B, C That is, while there is value in the items on the right, we value the items on the left more 8
  • 9. Good practice A: andere documentatie auditen Functioneel Ontwerp • Uitgangspunten en randvoorwaarden • Aannames • Informatie procesmodel • Datamodel • Bedrijfsregels • Statusovergangen • Presentatielaag • Autorisatiemodel • Functies en interfaces • (architectuur) • (informatiebeveiliging) • Aanwezigheid use case? • Eisen format (UML)? • UC geaccordeerd door gebruiker? Maar… • Geen vastgestelde fasedocumenten, steeds nieuwe versies • Soms meerdere versies van hetzelfde ontwerpdocument onderzoeken • Geen samenhangende set van documentatie (versie en releases) • Geen “non-functionals” 9
  • 10. Good practice B: kies beschouwingsniveau SPRINT • Sprint planningen en backlogs • Burndownchart • Retrospective RELEASE • OTAP tollgates zoals PAT AGILE ORGANISATIE • Aanwezigheid product owner • Kennis, skills, ervaring van ontwikkelaars 10
  • 11. Good practice C: focus projectbesturing Project leider / product owner • • • • IT PL / scrum master Project brief (VGZ) Rapportage backlog Aanwezigheid stuurgroep Besluitvorming obv prioritering 11
  • 12. Agile en Informatiebeveiliging, geen vanzelfsprekende combi • Informatiebeveiligingseisen zijn vaak “non-functional” dus geen feature voor de ontwikkelaar • Ontwikkelaars (en gebruikers) zijn niet altijd even “aware” – Weet de ontwikkelaar hoe het platform in elkaar zit, hoe de tools precies werken en waar de data staat en de kwetsbaarheden daarin? Toch zien wij wel mogelijkheden… • • • • • • Kennisniveau ontwikkelaars verhogen Code review IB als scrum teamlid IB als klant: IB use cases (stories) in de backlog Penetration test (black box)? Gebruik secure services (niet echt agile) 12
  • 13. Voorbeeld: beveiligings non-functionals op backlog meenemen Beveligings Functionals Non-funct. Backlog item Schatting impact Klant ziet aanbod in de app 7 Klant kan m.b.v. de app een bestelling plaatsen 3 Klant kan m.b.v. de app bestelling annuleren 2 Verkoop krijgt dagelijks een lijst van bestellingen 6 Bij inloggen van klant in app de inlognaam filteren 2 Bij zoeken van klant door assortiment wordt zoekstring gecheckt en zonodig geschoond 3 … Techitem: refactor code sorteren van aanbod En testen 4 Vooraf mechanisme bepalen waarmee IB niet automatisch steeds “eruit valt” 13
  • 14. Beeld van mogelijkheden auditen agile afhankelijk van doel assurance Doelmatigheid ONTWERP Opzet Bestaan & werking • implementatie ontwerpmethodiek • Aanwezigheid UC • Accordering UC Compliance & architectuur Focus IB • Risicoanalyse vooraf • Use cases IAM • Use cases autorisatiemgt ONTWIKKEL Betrouwbaarheid PROJECT BEHEER • implementatie beheermethodiek (ITIL) • implementatie scrum • implementatie projmgt • Sprint meeting & planning • Backlog • Burndown chart • Retrospective • Aanwezigheid product owner • Ervaring ontwikkelaars • Project brief • Rapportages • Aanwezigheid stuurgroep • Gebruikers testlog • Besluitvorming (prioritering) • OTAP “vlaggen” • Awareness ontwikkelaars • Backlog IB (non-fcls) • IB in scrum team • IB als klant • Blackbox testing (pentest)? • Pentest Veiligheid 14