Er wordt wel eens gezegd dat elk bedrijf een softwarebedrijf is. Maar wat betekent dat? Een softwarebedrijf worden brengt zowel beloning als risico’s met zich mee. De beloning is een concurrentievoordeel; de risico’s worden vaak verkeerd begrepen en slecht beheerd op de hoogste niveaus van leiderschap. In dit interview legt Jason Schmitt, algemeen directeur van Synopsys Software Integrity Group, uit wat bedrijfs- en technologieleiders moeten doen om een succesvolle bedrijfstransformatie te realiseren en de risico’s die inherent zijn aan software onder controle te krijgen.
Vraag: Jason, hoe verandert digitale transformatie de relatie van bedrijven met software?
EEN: Bedrijven voeren de digitale transformatie niet alleen uit. Digitale transformatie is het middel waarmee bedrijven concurrentievoordeel zoeken. Software is de enabler. Het doel is niet om meer digitale activa te creëren, maar om de kracht van technologie toe te passen om transformatie te bewerkstelligen, hetzij door huidige processen te automatiseren of door nieuwe klantervaringen te creëren. Software introduceert nieuwe manieren van zakendoen, maar brengt ook risico’s met zich mee.
V: Wat zijn de softwarerisico’s waarmee bedrijven tegenwoordig worden geconfronteerd?
EEN: De risico’s zijn onder meer slechte softwarehygiëne, beveiliging en betrouwbaarheid, en ze ontstaan omdat bedrijven geen prioriteit geven aan beveiliging bij het ontwikkelen, aanschaffen en beheren van hun bedrijfskritieke software. Het is belangrijk om vertrouwen te wekken in de manier waarop uw software is ontworpen, gebouwd en getest — of deze nu intern is ontwikkeld of is aangeschaft bij een derde partij — want zodra u de software implementeert of gebruikt, draagt u het risico dat ermee gepaard gaat. Softwarekwetsbaarheden kunnen klantgegevens en intellectueel eigendom blootleggen en leiden tot financiële en juridische risico’s. Schijnbaar onschuldige gebreken of onoplettendheden kunnen snel escaleren tot existentiële bedreigingen voor een bedrijf. Reputatie-, financiële en juridische schade kan het gevolg zijn als het risico niet wordt beheerst.
V: Hoe speelt open-sourcesoftware een rol bij deze problemen?
EEN: Open source is niet inherent riskant, maar het helpt om transparantie te hebben. Waar is bijvoorbeeld de software ontwikkeld? Door wie? Open source is de afgelopen jaren enorm populair geworden, omdat het helpt bij het opstarten van digitale transformatie. Maar wanneer u software adopteert en er een cruciaal onderdeel van maakt bij het runnen van uw bedrijf, moet u weten hoe deze is ontwikkeld, wat de kwaliteit en de betrouwbaarheid ervan is.
V: Wat kunnen technologieleiders doen om de controle over hun software te waarborgen?
EEN: Het belangrijkste is om risico’s te prioriteren door uw blootstelling af te wegen tegen de mogelijke schade en wat u kunt tolereren, op basis van wat nodig is om het bedrijf te runnen. Over sommige risicopijlers, zoals wet- en regelgeving, valt niet te onderhandelen. U moet uw tolerantie en blootstelling objectief kwantificeren en kwalificeren. Door op risico’s gebaseerde prioriteiten te stellen, kunt u zich concentreren op wat het belangrijkst is, zodat beveiliging geen belemmering wordt voor de snelheid van uw bedrijf.
V: Hoe kunnen bedrijven het probleem verminderen zonder hun bedrijf te vertragen of innovatie te beperken?
EEN: Bedrijfsleiders moeten zich concentreren op hun zakelijke doel, namelijk het ontwikkelen van concurrentievoordeel. De eerste stap is om te erkennen dat softwarerisico’s niet alleen een technologisch probleem zijn; het is een zakelijk probleem. U moet begrijpen dat software de integriteit van de klantrelaties en marktpositie van de organisatie in gevaar kan brengen. U moet processen opzetten die de risico’s die inherent zijn aan software aanpakken, heel vroeg in het proces – zodra software in de organisatie wordt geïntroduceerd. Dit is het geval, of u de software nu zelf ontwikkelt, van de plank koopt, downloadt van een open source-distributie, of zelfs uitbesteedt en iemand betaalt om het te ontwikkelen. Door deze problemen eerder in het proces te identificeren, kunnen bedrijven sneller handelen en innoveren om strategisch voordeel te behalen.
V: Hoe helpt Synopsys zijn klanten om softwarerisico’s aan te pakken?
EEN: De meeste softwarebeveiligingsbedrijven zijn reactief – nadat het te laat is. We zetten dat op zijn kop door een meer holistische benadering te bieden die in een vroeg stadium vertrouwen schept en in stand houdt, zodat bedrijven kunnen stoppen met reageren en zich in plaats daarvan kunnen concentreren op het vooruit helpen van het bedrijf. Leiders moeten hun software beheren als een bedrijfskritisch middel dat gedurende de hele levenscyclus risico’s met zich meebrengt. Synopsys helpt bedrijven om beveiliging veel eerder in het proces te betrekken, door het vast te leggen in de basis van de software en de processen die worden gebruikt om het te ontwikkelen. Door een systematische manier te creëren om uw software te ontwikkelen en deze betrouwbaar te ontwikkelen, wordt het een vertrouwd bezit in plaats van iets dat standaard verdacht is.
Ga voor meer informatie over het beheren van softwarerisico’s in uw bedrijf naar Synopsys.
Wat betreft
Jason Schmitt, algemeen directeur, Synopsys Software Integrity Group
Jason Schmitt combineert kennis van beveiligingsdomeinen met expertise in het leveren van software-as-a-service (SaaS) en cloudgebaseerde oplossingen om de manier waarop bedrijven software bouwen en leveren te transformeren, hen te helpen innovatie te versnellen en tegelijkertijd bedrijfsrisico’s aan te pakken. Hij bekleedde leidinggevende functies bij Aporeto en leidde bedrijfsbeveiligingsproducten bij Hewlett-Packard als vice-president en algemeen directeur van ArcSight en Fortify.