Nico Kaag

Background

Nico Kaag completed the research “Agile Secure Development & Operations” in 2021 for the Master Risk Management at The Hague Graduate School. The subtitle of the thesis is: “Security hand in hand with Agile Development & Operations?”. The objective of the research was to determine the impact of applying Agile SecDevOps on business risks and how these risks can be influenced. After a literature study, research was conducted at an (anonymously described) organization with seventeen agile scrum teams. To determine the impact of security in an Agile DevSecOps environment, two measurements were carried out with an identical method, ASAMM. The method is based on OWASP’s Software Assurance Maturity Model, to which Agile has been added from the Software Security Alliance.

Recommendations from the research are aimed at regularly measuring the maturity of the teams and addressing security as early as possible in the development process, the so-called ‘shift left’. The use of Agile will stimulate continuous improvement. The chain/ecosystem is as strong as the weakest link and therefore large differences in maturity for teams, in the same ecosystem, must be avoided where possible, Nico writes in his thesis.

Want to know more about the research or the ASAMM model? Contact Nico Kaag or Barry Derksen.

Nico Kaag rondde in 2021 het onderzoek “Agile Secure Development & Operations” af voor de Master Risico management aan The Hague Graduate School. De ondertitel van de thesis luidt: “Security hand in hand met Agile Development & Operations?”. De doelstelling van het onderzoek was om te bepalen wat de impact van het toepassen van Agile SecDevOps is op de bedrijfsrisico’s en hoe deze risico’s kunnen worden beïnvloed. Na een literatuurstudie is onderzoek gedaan bij een (anoniem beschreven) organisatie met zeventien agile scrumteams. Om te bepalen wat de impact van security in een Agile DevSecOps omgeving is, zijn twee metingen uitgevoerd met een identieke methode, ASAMM. De methode is gebaseerd op het Software Assurance Maturity Model van OWASP, waaraan Agile vanuit de Software Security Alliance is toegevoegd. 

Aanbevelingen uit het onderzoek zijn gericht op het regelmatig meten van de volwassenheid van de teams en security zo vroeg als mogelijk in het ontwikkelproces te adresseren, het zogenaamde ‘shift left’. Het gebruik van Agile zal hierbij het continue verbeteren stimuleren. De keten/het eco systeem is net zo sterk als de zwakste schakel en daarom moeten voor teams grote verschillen in volwassenheid, in hetzelfde ecosysteem, waar mogelijk worden voorkomen, schrijft Nico in zijn thesis. 

Meer weten over het onderzoek of het ASAMM-model? Neem contact op met Nico Kaag of Barry Derksen.