Welkom bij Realizing DevSecOps, een gezamenlijk initiatief van het ISACA Netherlands Chapter en Antwerp Management School. Wij leven in een tijdperk waarin digitale zekerheid de basis vormt van onze samenleving. Software bestuurt alles, van smartphones tot kritieke infrastructuur, en kunstmatige intelligentie versnelt deze ontwikkeling exponentieel. Toch zien wij dat veel organisaties worstelen met de balans tussen de snelheid van Agile en DevOps enerzijds, en de noodzaak van beveiliging anderzijds. Vaak wordt security nog steeds behandeld als een ‘non-functional requirement’ dat pas aan het einde van de rit wordt gecontroleerd. Dat is een gevaarlijke denkfout.
Agile Software Assurance Maturity Model (ASAMM)
In dit boek stellen wij: protect or get hacked.
Wij hebben dit boek geschreven omdat bestaande literatuur vaak blijft hangen in theorie of zich beperkt tot specifieke tools. Onze toegevoegde waarde ligt in de combinatie van academisch onderzoek, professionele standaarden en praktische toepasbaarheid. Wij bieden niet alleen een visie, maar ook meetbare modellen. Een kernstuk is het Agile Software Assurance Maturity Model (ASAMM). Waar andere boeken adviseren om ‘veilig te werken’, leggen wij uit hoe je dit meet op een schaal van 0 tot 3. Hiermee kunnen organisaties hun volwassenheid objectief vaststellen en gerichte verbeterstappen zetten.
integratie controls in de DevOps-pipeline
Daarnaast breken wij met het misverstand dat Agile ontwikkeling zonder documentatie kan. Wij benadrukken dat balans cruciaal is: geen logge ‘big upfront design’, maar ook geen gebrek aan verantwoording. Security moet ‘shift left’ worden: integreer controls direct in de DevOps-pipeline. Dit brengt ons bij onze tweede unieke pijler: testing. Wij introduceren methodieken zoals FEAT (Full Population & Exception Analysis Testing). In plaats van steekproeven analyseren wij volledige datapopulaties uit CI/CD-pipelines om controls te verifiëren. Dit sluit aan bij de behoefte van auditors om in hoge snelheid toch betrouwbaar assurance te geven.
praktische tips
Wij geven u graag enkele praktische tips mee uit onze negen ‘Epics’:
- Begin bij de context. Veiligheid start niet bij code, maar bij requirements. Voer altijd een Privacy Impact Analysis (PIA) en een CIA-analyse (Confidentiality, Integrity, Availability) uit voordat development begint.
- Denk als een hacker. Gebruik ‘abuse cases’ naast use cases. Vraag niet alleen wat het systeem moet doen, maar hoe het misbruikt kan worden. Documenteer dreigingen in een risk backlog.
- Automatiseer controls. Vertrouw niet op handmatige checks. Zorg dat securitytests (SAST, DAST) automatisch draaien bij elke commit. Maak gebruik van Infrastructure as Code (IaC) voor auditbare omgevingen.
- Maak security waardevol. Vermijd de ‘market for lemons’. Toon aan het management de waarde van security-investeringen via ROSI (Return on Security Investment) en subjectieve maatstaven zoals vertrouwen, niet alleen via incidentaantallen.
Cyber Insurance 3.0
Wij kijken ook verder dan vandaag. In Epic 3 schetsen wij een toekomstbeeld tot 2120, waarin AI, quantum computing en nanotechnologie het securitylandschap radicaal veranderen. Wij bereiden u voor op Cyber Insurance 3.0, waar premies dynamisch worden bepaald op basis van realtime telemetry en Zero Trust-maturiteit.
Dit boek is een leidraad voor developers, managers, auditors en board members. Wij geloven dat secure software geen luxe is, maar een must. Door te werken met ons framework, te meten met ASAMM en te testen met FEAT, bouwt u niet alleen software, maar bouwt u vertrouwen. Wij nodigen u uit om samen met ons deze reis te maken naar een meer volwassen, weerbaarder en veiliger digitale wereld. Laten we beginnen met meten, leren en verbeteren, want agile beats structure, maar security beats chaos.
Nieuwsgierig geworden naar hoe organisaties security structureel kunnen integreren in hun ontwikkelproces? Realizing DevSecOps biedt praktische modellen, meetbare frameworks en concrete handvatten voor moderne softwareontwikkeling. Bestel het boek bij Managementboek.
Over Barry Derksen
Barry Derksen heeft veel ervaring opgebouwd als CISO, CTO, Risk & Compliance manager en manager informatie en ICT bij diverse organisaties. Hij is professor bij Antwerp Management School (University of Antwerp), bestuurder bij ISACA en mede-eigenaar van i-inc.nl
Over Mark Butterhoff
Over Sandeep Gangaram Panday
Sandeep is the Co-founder and Security Advisor at Brightlyn. With a strong foundation in cybersecurity, IT auditing, and modern software delivery practices, he operates at the intersection of risk management and high-velocity technology. He serves as Chair of both the NOREA DevOps Working Group and the NOREA Regulatory Taskforce. Sandeep is the (co-)author of several influential NOREA reports.