Hoe Agile en Security hand in hand gaan

Het Security team van cibit academy | inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt. Geldt op dat terrein juist niet de uitspraak van de Russische leider Lenin, uit 1921: “Vertrouwen is goed, controle is beter”? Wij denken van niet! Of, beter gezegd, wij brengen de juiste nuance aan in deze uitspraak. In een vijftal blogs leggen we uit waarom en hoe.

In deze blog gaat Michiel Broekhuijsen in hoe beveiliging en agile ontwikkeling hand in hand kunnen gaan en daarmee het vertrouwen geven dat producten naast functionaliteit, ook veiligheid kunnen bieden.

Op het eerste gezicht gaat het niet samen: agile ontwikkeling en degelijke beveiliging. Beveiligen vraagt immers om doordachte maatregelen die ‘de waan van de dag’ ontstijgen. Toch is het mogelijk om het vertrouwen te vergroten dat beveiliging binnen agile voldoende aandacht krijgt.

IT-organisaties kiezen er steeds meer voor om projecten op een agile manier aan te pakken, om sneller en goedkoper betere systemen te realiseren, waarbij scrum een veel gekozen methode is (daarom wordt de term agile/scrum in deze blog gebruikt). Een keuze die noodzakelijk is om als organisatie te kunnen blijven overleven in een snel digitaliserende en veranderende wereld. Tegelijk moeten organisaties ook de beveiliging van hun IT-systemen en informatie op orde hebben, om geen onacceptabele risico’s te lopen en/of te blijven voldoen aan wet – en regelgevingen. Beveiliging en agile lijken op gespannen voet met elkaar te staan. Toch hebben beide werelden het zelfde doel: waarde creëren en behouden voor de organisatie en haar stakeholders.

Contrast

Wie het over agile/scrum heeft, denkt vaak aan snelheid, zelfsturende teams, flexibiliteit en gericht op het creëren van oplossingen en mogelijkheden. Wie het over beveiligen van informatie en systemen heeft, denkt vaak aan regels, beperkingen, boetes en andere negatieve zaken. Een groter contrast tussen beide werelden bestaat bijna niet, zou je zeggen.

Beveiliging wordt meestal in een strak waterval-achtig proces geborgd, waarin op een vast aantal punten controles vereist worden. Denk maar eens aan het opstellen van requirements, ontwerp, bouw, testen en het in productie brengen. Vaak een sequentieel proces, waarbij er pas kan worden begonnen met de volgende fase als de vorige fase is gecontroleerd, gedocumenteerd en goedgekeurd.

Agile/scrum projecten werken op een compleet andere manier. Zo worden er geen grote en gedetailleerde ontwerpen vooraf gemaakt en vinden testen plaats tijdens het ontwikkelen en niet daarna. Agile/scrum werkt vanuit het principe dat de ontwikkelaars zich bezig houden met de “hoe” vraag en de business (product owner) zich richt op de “wat” vraag. Bij agile/scrum projecten zijn het de ontwikkelaars die bepalen hoe de oplossing het beste tot stand kan komen (en ook wanneer). De business geeft de richting en prioriteit aan, de ontwikkelaars geven hier vervolgens vorm aan. Een agile/scrum team bestaat daarom uit diverse professionals en experts die in staat zijn zelf richting en sturing te geven aan het ontwikkelen van een oplossing. Het agile/scrum team staat of valt met het kunnen vertrouwen op elkaars kunde en betrokkenheid om gezamenlijk tot werkbare oplossingen te komen.

Vier aanknopingspunten

De grote vrees die security professionals hebben met agile/scrum, is dat beveiliging een ondergeschoven kindje wordt omdat het agile/scrum-team hier onvoldoende oog voor heeft. Een logische reactie hierop is proberen om tijdens het agile proces allerlei controles en andere barrières op te werpen. Hiermee dreigen de voordelen van agile/scrum teniet te worden gedaan, waardoor organisaties mogelijk hun concurrentievoordelen kwijt raken.

Deze reactie is het gevolg van de misvatting dat agile/scrum een vrijbrief is voor “vrijheid blijheid”, waarin iedereen maar doet waar hij/zij op dat moment zin in heeft. De spelregels binnen agile/scrum zijn beperkt, maar dienen met grote discipline te worden opgevolgd. Ook het aantal rollen is beperkt (zoals product owner, scrum master en developer), maar die rollen vergen wel grote professionaliteit, kunde en discipline van het agile/scrum-team.

In deze blog besteden we daarom aandacht aan hoe het vertrouwen tussen beiden werelden vergroot kan worden. Hiervoor zullen de volgende aanknopingspunten besproken worden:

  1. Opstellen van user stories
  2. Definition of done
  3. Threat-modeling
  4. Geautomatiseerde testen

1. Opstellen van user stories

User stories zijn binnen agile korte cases die beschrijven wat de gewenste functionaliteit is die gebouwd moet worden. Ze zijn in de vorm geschreven van “ik als , wil , om ” en worden opgesteld door meerdere stakeholders. Het is daarbij van belang om niet alleen te kijken naar gewenste functionaliteit, maar ook ongewenste effecten. Het is de rol van de security officer/architect om er zorg voor te dragen dat user stories ook rekening houden met ongewenste situaties. Dit kan door user stories explicieter te maken of door additionele vragen te stellen tijdens het opstellen hiervan.

Voorbeeld van het explicieter maken van een user story: “Ik als gebruiker wil een bestelling kunnen plaatsen.” Additionele vragen kunnen zijn in de vorm van: “wil je dat iedereen erbij kan?”, “moet dit altijd kunnen?”, “vanuit elke plek?”. Het resultaat zou de volgende aangepaste user story kunnen zijn: “ik als geautoriseerde gebruiker wil een bestelling kunnen plaatsen.”

Een andere manier is het opstellen van een user story vanuit het perspectief van de security officer/architect als stakeholder: “Ik als security officer, wil dat gevoelige geclassificeerde informatie te allen tijde versleuteld opgeslagen wordt, zodat wij voldoen aan wetgeving XX.YYY”. Voorbeelden van deze “Security Stories” zijn te vinden op de site van SafeCode.org: Practical Security Stories and Tasks for Agile Environments (PDF). Het is aan de product owner om er voor zorgen dat de user stories de juiste prioriteit krijgen. De security officer/architect zal de product owner kunnen ondersteunen bij het in kaart brengen van de mogelijke risico’s en bijhorende prioriteiten.

2. Definition of done

security-visie-agile-done-350Binnen agile worden producten pas als gereed beschouwd als deze aan bepaalde criteria voldaan hebben. Deze criteria worden bepaald door de product owner in de “Definition of Done” (DoD). Deze DoD kan bestaan uit functionele criteria als “er moet aangetoond worden dat een bestelling correct is afgerekend”. Echter, er kunnen ook beveiliging gerelateerde criteria worden opgenomen, zoals het voldoen aan bepaalde regels in het beveiligingsbeleid.

Het is de verantwoordelijkheid van het gehele agile/scrum-team om zich bewust te zijn van de mogelijke beveiligingsrisico’s en voorwaarden en er voor te zorgen dat deze worden opgenomen in de DoD. Uiteraard kan de security officer/architect het team helpen om de juiste DoD criteria op te stellen.

3. Threat-modeling

Tijdens de planning sessies kan Threat-modeling als hulpmiddel worden gebruikt om er voor te zorgen dat de user stories helder en compleet zijn vanuit security perspectief. Bij Threat-modeling wordt er gekeken aan welke mogelijke dreigingen het te ontwikkelen systeem bloot gesteld kan worden en hoe erg dit is. Dit kan het beste worden gedaan aan de hand van een globaal diagram (bijvoorbeeld gezamenlijk getekend op een whiteboard), waarbij duidelijk wordt hoe de data zich verplaatst door het beoogde systeem. Het door Microsoft ontwikkelde “Elevation of privilege” spel, is hiervoor een bruikbare methode. Hierbij moeten deelnemers in de vorm van een kaartspel mogelijke dreigingen benoemen en beargumenteren. De gevonden dreigingen worden vervolgens vastgelegd en tegelijk wordt ook bepaald welke activiteiten nodig zijn om deze het hoofd te bieden. De dreigingen kunnen worden vastgelegd in additionele abuse(r) stories: een user story vanuit het perspectief van een aanvaller (zoals een hacker).
De threat-modeling activiteiten kunnen worden begeleid door de security officer/architect die er tevens voor kan zorgen dat de beveiligingskennis en -bewustzijn van het gehele agile/scrum team vergroot wordt. De uitkomst kan zijn dat user stories aangepast dienen te worden, of dat er extra ruimte moet worden ingepland om spikes uit te voeren. Spikes zijn activiteiten die moeten leiden tot het beter begrijpen van requirements zodat technische risico’s verminderd kunnen worden en betere planning schattingen afgegeven kunnen worden.

4. Geautomatiseerde testen

Een belangrijk onderdeel van agile is dat er geen aparte testfasen zijn. Bouwen en testen vinden plaats als onderdeel van de sprint. Met andere woorden, er wordt alleen software opgeleverd die een foutloze werking heeft. Het beschikken over goede tools om geautomatiseerde testen uit te voeren, is van essentieel belang om de snelheid in de sprint te houden.

Het gebruik van geautomatiseerde testtools voor het uitvoeren van secure code reviews, pentesten, fuzz-testing, etc. kan bijdragen aan het ontwikkelen van veilige en robuuste oplossingen. Van belang is dat deze testen als onderdeel van de sprints worden uitgevoerd en niet als activiteit aan het einde van het project. Door security integraal op te nemen in de testen, wordt het vertrouwen vergroot dat het uiteindelijke product niet alleen waarde oplevert, maar ook blijft behouden.

Werelden dichterbij elkaar brengen

In deze blog hebben we een aantal mogelijkheden besproken om de agile/scrum en security werelden dichter bij elkaar te brengen. Op het eerste gezicht lijken ze elkaar te bijten, maar als je verder kijkt dan zijn ze twee kanten van dezelfde medaille: beiden werelden hebben als doel waarde te creëren en te behouden.

Deze toenadering vergt echter wel de nodige cultuurverandering. Zo zal de rol van de security officer/architect veranderen van een directieve naar een meer coachende en faciliterende rol richting het agile/scrum-team: van “nee, tenzij” naar “ja, mits”.

Iedereen binnen een agile/scrum-team zal ook kennis en vaardigheden moeten ontwikkelen op het gebied van security, zodat veilige software ontworpen, gebouwd en onderhouden kan worden. Hierbij is een proactieve houding van brengen en halen essentieel. Het bouwen aan vertrouwen is hierbij van essentieel belang. Vertrouwen dat het team over de juiste kennis en vaardigheden beschikt, maar ook de juiste houding heeft waarbij security waarde toevoegt aan de organisatie.

Al deze veranderingen zijn nodig zodat we niet alleen mooie, snelle en functionele auto’s kunnen bouwen, maar dat deze ook nog van goede remmen en airbags zijn voorzien.

Ook interessant

Bekijk hier ons uitgebreide opleidingenaanbod op het gebied van Agile en lees hier meer Agile gerelateerde blogs.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • SAFe een verkapte waterval? Echt niet!

    Erik Borgers blogt: "SAFe roept naar mijn ervaring regelmatig emotie op. Een terugkerend verwijt is dat het eigenlijk 'verkapte waterval' is."

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 6) - Foundation layer

    SAFe 4.0 leunt op fundamenten zoals Lean and agile leaders en Communities of Practice, maar ook Core values en SAFe principles. Brian Teunissen licht deze toe.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 7) - Multiple portfolio’s

    In het 7e en laatste deel van de serie blogs over SAFe 4.0 gaat hij in op "Multiple portfolio’s". Een nauwelijks te vinden, maar significante aanvulling op het framework.

    Lees verder
  • Maak kennis met SAMM

    inspearit heeft samen met de Belastingdienst SAMM ontwikkeld.

    Lees verder
  • Eet je eigen hondenvoer!

    Eén van mijn principes luidt: Pas een agile werkwijze toe bij het implementeren van agile werkwijzen. "Ja, logisch toch?" zullen de meeste agilisten denken. Maar probeer dat maar eens vol te houden bij grootscheepse implementaties bij traditioneel aangestuurde organisaties. Toch loont het om de verandering zo snel mogelijk agile aan te pakken.

    Lees verder
  • De zwaluw die wél zomer maakt

    ‘Agile werken’ en ‘Scrummen’ worden steeds breder in de organisatie toegepast. Dat leidt tot doelgerichte zelforganisatie die berust op autonomie, meesterschap en zingeving.

    Lees verder
  • Jongen, ben jij wel bang genoeg?

    Eric Nieuwland blogt: "Informatiebeveiligers zijn soms lastige zeurkousen. Uit angst voor incidenten zeggen ze al 'nee' voor ze begrijpen wat je wilt. Dat kan anders."

    Lees verder
  • Pak die banaan!

    Blog van Brian Teunissen over het veel eenvoudiger budgetteren bij scaling agile.

    Lees verder
  • Melk produceren of poepscheppen

    Blog van Brian Teunissen over de productiviteit van Agile teams.

    Lees verder
  • Luitenant Borgers

    Alhoewel je het uit de titel waarschijnlijk niet direct zult halen, deze blog gaat 'dus' over het schalen van Agile teams. De volhardend lezer beloon ik met concrete ideeën hoe mensen aan te zetten om een goed lopend team van teams te vormen.

    Lees verder
  • Ga goed voorbereid 2017 in!

    Ga goed voorbereid 2017 in! Je ontvangt nu nl. 17% korting op alle opleidingen die nog in 2016 gepland staan.

    Lees verder
  • Het architectentheekransje

    Hier volgt een sprookje over een kennisgroep van architecten. Je kent ze wel, die clubjes die eens in de tijd bijeenkomen om gezamenlijke visies, strategieën en concrete doelen te definiëren en dan uit elkaar gaan om van alles te realiseren. Dit verhaal vertelt over hun Ups en Downs. Totdat ze samen nieuwe manieren van werken ontdekten. Herken je zaken? Doe er je voordeel mee!

    Lees verder
  • Vertrouwen: noodzakelijk bij informatiebeveiliging en cloud computing

    Informatiebeveiligers nemen op basis van risico's maatregelen het (bedrijfs)proces. Maar dat loopt spaak bij het uitbesteden naar de cloud. Hoe gaan we dit aanpakken?

    Lees verder
  • Security & DevOps: toekomstmuziek?

    Michiel Broekhuijsen wil je meenemen op een reis naar de nabije toekomst. We bezoeken een organisatie waarbij ontwikkeling, security en operations (z.g. DevSecOps) volledig zijn geïntegreerd...

    Lees verder
  • Het "Juniper effect"

    Op 21 december 2015 liet Juniper (leverancier van o.a. firewall producten) weten dat ze ongeautoriseerde code hebben ontdekt, die door kwaadwillende als een backdoor kunnen worden gebruikt. Het is mogelijk dat via backdoor om versleutelde VPN verbindingen af te luisteren en/of toegang te krijgen de firewall een SSH verbinding te krijgen door middel van een ingebakken wachtwoord.


    Lees verder
  • Rokjesdag voor architecten

    Waar gebeurd. Aan een door mij onlangs gegeven training voor architecten nam zowaar een vrouw deel. In mijn praktijk is dat behoorlijk zeldzaam! Gedurende de lunch dacht ik: daar wil ik wel iets meer van weten. We raakten aan de praat en ik vroeg naar haar rol.

    Lees verder
  • Round Table Scaling Agile zeer succesvol

    Op 5 oktober jl. vond op het landgoed ‘Zonheuvel’ een Round Table plaats met als thema: ‘Scaling Agile: Boardroom besluit of IT feestje?” O.l.v. Marco de Jong en Brian Teunissen werd deze vraag bediscussieerd door 16 genodigden van uiteenlopende organisaties.

    Lees verder
  • Agile transformatie: het slechten van de grenzen

    "De agile en digital coaches en consultants van inspearit helpen de huidige grenzen aan agility te slechten en deze tot enablers te maken. Wij maken bij onze klanten aan den lijve mee wat het betekent om een organisatie te veranderen", blogt Sandra Schreppers.

    Lees verder
  • Agile productiviteit

    Agile kan een enorme boost geven in de productiviteit.

    Lees verder
  • Faalangst-cultuur

    Gaat Agile tot een teleurstelling leiden als het organisaties niet lukt om hun faalangst-cultuur om te buigen?

    Lees verder
  • De scholingsvouchers van het UWV zijn helaas op, maar...

    De scholingsvouchers van het UWV zijn helaas op! Maar ben je werkzoekend en wil je je carrière vervolgen in de IT en heb je net misgegrepen? Wij helpen je toch graag verder.

    Lees verder
  • In the cloud we trust?

    Het nieuws dat de zgn. Safe Harbor Agreement door het Europese hof ongeldig is verklaard heeft voor een ware schokgolf gezorgd in de privacy- en informatiebeveiligingswereld.

    Lees verder
  • Kerstwensboom

    December is dé maand om stil te staan bij het afgelopen jaar en vooruit te blikken op de toekomst. Maar ook om iets bijzonders te doen voor een ander. Wie in jouw omgeving wil jij verrassen met een opleiding naar keuze bij cibit academy?

    Lees verder
  • (ISC)² vernieuwt CISSP examen

    Belangrijk nieuws voor iedereen die aan het leren is voor het (ISC)² CISSP examen. Lees verder.

    Lees verder
  • cibit academy steunt stichting Edukans

    Het afgelopen jaar hebben we veel porisitieve ervaringen binnen gekregen en gemiddeld scoren we een 8,6! Voor elke ervaring doneren wij net als springest €1 euro aan stichting Edukans!

    Lees verder
  • Is Agile werken voorspelbaar?

    Is Agile werken voorspelbaar? "Ja en nee", vindt Brian Teunissen.

    Lees verder
  • Paasactie

    Paasactie!  We hebben goed nieuws voor iedereen die zich wil versterken met een opleiding of cursus van cibit academy. 

    .

    Lees verder
  • MOOC - Agile4All (For free)

    In the coming weeks we will offer several MOOC modules around Agile4All. These modules are created in the innovative learning platform "Curatr", which is based on modern learning principles, such as content creation, gamification, and social learning.

    Lees verder
  • Autorisaties binnen agile teams

    Michiel Broekhuijsen blogt over een oplossing voor dit veelgehoorde pijnpunt.

    Lees verder
  • Kennissessies bij inspearit | cibit academy

    In nauwe samenwerking met de Management of Change Community organiseert  inspearit | cibit academy in 2018 een reeks van kennissessies voor alle (oud)cursisten en klanten van inspearit | cibit academy en belangstellenden

    Lees verder
  • Over apen, leiderschap en betrokkenheid

    Op 23 januari vond bij inspearit | cibit academy een kennissessie plaats over apen, leiderschap en betrokkenheid.

    Lees verder
  • Kennissessies bij inspearit | cibit academy

    In nauwe samenwerking met de Management of Change Community organiseert  inspearit | cibit academy in 2018 een reeks van kennissessies voor alle (oud)cursisten en klanten van inspearit | cibit academy en belangstellenden.

    Lees verder
  • Stop de excuuscultuur!

    Het is 10.13 uur als de laatste deelnemer aan de meeting binnen komt lopen, 13 minuten later dan de bedoeling was. Met een net getapte geurende koffie in zijn ene hand en een stapel papieren in zijn andere hand schuift hij aan tafel. Terwijl de voorzitter verder wil gaan met zijn punt, komt de volgende opmerking over tafel: "Ja, sorry dat ik te laat was, ik moest nog even bellen."

    Lees verder
  • Aankondiging nieuwe cursussen Privacy en persoonsgegevens

    Om de ‘nieuwe’ Europese verordening gegevensbescherming (AVG) te kunnen vertalen naar de dagelijkse praktijk bieden we binnenkort twee nieuwe cursussen.

    Lees verder
  • Privacy

    Toen mijn grootmoeder mijn vader kwam inschrijven bij de burgerlijke stand, werd zijn achternaam voorgoed veranderd vanwege een defecte typemachine. De letter "Y" deed het niet meer, waarop de beste ambtenaar (behulpzaam als hij was) de letters "IJ" in plaats daarvan gebruikte (je hoort het verschil toch niet). Daarmee werd figuurlijk gezien een streep gezet door mijn familie stamboom.

    Lees verder
  • TOGAF: radioactief materiaal voor organisaties?

    Ik geef al jaren les in TOGAF en dat kent een interessant aanvangspatroon. Op de eerste dag kom ik binnen met een hele grote doos met die vuistdikke TOGAF boeken.

    Lees verder
  • Back to Basics

    In deze blogpost kijken we naar de complexiteit van het toevoegen van Inspect & Adapt binnen bestaande organisaties en gaan we daarom terug naar de absolute basis van een lerende organisatie.

    Lees verder
  • Hoe overleef ik een digitale transformatie? Deel 4: Treinreis of eindstation?

    Ik zie veel organisaties worstelen met dat “digitaal worden”. Wat betekent dat? Wat zijn de gevolgen? Wie moet ik aannemen? Van wie moet ik afscheid nemen? Is het echt zo erg? Is het “all or nothing”?  Deze keer probeer ik een antwoord te formuleren op de vraag: “Waarom eigenlijk?”.

    Lees verder
  • Hoe overleef ik een digitale transformatie?! (Deel 3)

    Elke moderne organisatie zal mee moeten in de vaart der volkeren die Digitalisering heet. Maar wat betekent dat nu voor jouw baan, jouw werk, jouw skills, jouw mogelijkheden in die digitaal getransformeerde organisatie? Vandaag één van de lastigste aspecten in die transitie: over team diversiteit.

    Lees verder
  • Agile Consortium - Belonen? Dat doe je zelf!

    Tijdens het Agile Consortium op 2 november j.l. heeft inspearit een workshop gegeven waar in het paradigma Agile HR werd belicht. Lees verder.

    Lees verder
  • Werken Agile teams ook internationaal?

    Erik Borgers Blogt: Het toepassen van agile is vaak een stuk lastiger in grote internationale organisaties.Voor mij gaat het echt te ver als de globalisering dwars door teams gaat lopen.

    Lees verder
  • De Agile Architect: de ultieme klimgeit?

    Agile werken lijkt voor de IT eerder regel dan uitzondering te worden. Maar bedreigen die "agile teams" het zo zorgvuldig door enterprise architecten bewaakte gedachtengoed niet? Hoe zorgen architecten ervoor dat de uiteindelijke architectuurdoelen anno 2013 geborgd blijven? In deze blog wil ik daar mijn inzichten met u over delen.

    Lees verder
  • ​Agile Assessments: heaven or hell?

    Erik Borgers vertelt in zijn blog hoe een agile assessment best ingewikkeld kan zijn als je écht iets aan de resultaten wilt hebben.

    Lees verder
  • Het effectief meten van Agile teams (deel 1)

    Als het gaat om het inzichtelijk maken van de volwassenheid van Agile teams, zitten Agile coaches veelal tussen twee vuren ingesloten. Aan de ene kant hebben zij "de organisatie" die graag wil weten hoe hun Agile teams het doen en aan de andere kant "de Agile teams" die zelf verantwoordelijk zouden moeten zijn voor hun continue verbetering.


    Lees verder
  • 10 eenvoudige verbetervoorstellen voor Agile architectenteams

    Ben je architect en doe je (in teamverband) voorbereidend werk voor één of meer Scrum ontwikkelteams? Hierbij 10 concrete tips die jou en je architectenteam verder helpen te verbeteren.

    Lees verder
  • Scaling Agile, van trend naar gevestigde orde

    Blog van Brian Teunissen met zijn visie op de agile trend en de verschillende scaling frameworks

    Lees verder
  • Paradigmaverschuivingen bij Scaling Agile

    Brian Teunissen: In deze blog geef ik een overzicht van paradigma verschuivingen die een organisatie door moet bij het opschalen van agile werken

    Lees verder
  • De taaie kant van Scaling Agile

    Agile organisatiebreed implementeren is een hele kluif. Brian Teunissen raadt iedereen die van start gaat met het opschalen van Agile aan om zich vooral ook te verdiepen in verandermanagement.

    Lees verder
  • Van Scrum team naar agile organisatie - vijfde ontwikkelingsfase

    Brian Teunissen blogt over de laatste van de vijf ontwikkelingsfasen om van Scrum team door te groeien naar een Agile organisatie.

    Lees verder
  • Van Scrum team naar agile organisatie - vierde ontwikkelingsfase

    Ditmaal beschrijft Brian Teunissen de vierde ontwikkelfase om van Scrum team tot Agile organisatie te komen.

    Lees verder
  • Van Scrum team naar agile organisatie - derde ontwikkelingsfase

    Brian Teunissen vertelt over ontwikkelingsfase 3: fysieke product of domein afdelingen, al dan niet aangevuld met Operations.

    Lees verder
  • Van Scrum team naar agile organisatie - tweede ontwikkelingsfase

    Brian Teunissen beschrijft Agile ontwikkelingsfase 2: virtuele product teams over functie afdelingen heen.

    Lees verder
  • Van Scrum team naar agile organisatie - eerste ontwikkelingsfase

    In een serie van 5 blogs gaat Brian Teunissen in op de ontwikkelingsfasen waarmee een (organisatie)structuur zich aan kan passen aan een agile werkwijze.

    Lees verder
  • 5 tips om je agile transformatie te laten mislukken

    In deze blog een vijftal concrete tips om de kans op een geslaagde agile transformatie flink te verkleinen of vertragen. Tip: stuur deze blog door naar je grootste concurrent! Of lees 'm zelf nog eens na voor alle zekerheid...

    Lees verder
  • De Agile Architectuur Pizza

    Als agile architectuurcoach is er voor mij niets leukers om mensen met agile Frameworks te leren werken en daartoe soms diepgaande discussies te voeren over WIP limieten en WSJF-en.

    Lees verder
  • Agile: oude wijn in nieuwe zakken?

    Agile principes waren ver voor de 21e eeuw al bekend. Waarom werken de Agile principes vandaag de dag wel en niet in de tijd waarin ze afkomstig waren?

    Lees verder
  • Eerste antipatronen bij Scaling Agile

    Brian Teunissen vertelt over hoe in de praktijk de voordelen van SAFe worden ondermijnd door drie grote antipatronen.

    Lees verder
  • Het effectief meten van Agile teams (deel 2)

    Blog van Jurjen de Groot en Marco de Jong. In dit vervolg gaan we in op de vraag “hoe” teams een goed inzicht kunnen geven in hun volwassenheid.

    Lees verder
  • Wat Agile teams kunnen leren van de American Football World Champions

    Marco de Jong ziet 10 belangrijke lessen voor Agile teams in de successen van zijn favoriete Football team.

    Lees verder
  • Scrum voor informatiemanagement: 5 hindernissen om te overkomen

    Ik coach informatiemanagement om Scrum te gebruiken. De verschillende rollen hebben elkaar veel te bieden en samen kunnen ze fantastische producten maken. De praktijk is echter weerbarstig. Wat zijn typische belemmeringen en wat doe je er tegen?

    Lees verder
  • Het fysieke Kanban of Scrum bord

    Is er in een wereld met verregaande automatisering nog wel ruimte voor fysieke Kanban of Scrum borden? Dat is een vraag die ik mij regelmatig stel.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 5) - Onderscheid ‘Business operation’ value stream en de ‘IT life cycle’

    In dit 5e deel van een serie blogs over SAFe 4.0 laat ik zien dat er nu beter onderscheid wordt gemaakt tussen de ‘Business operation’ value stream en de ‘IT life cycle’ value stream.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 4) - Kanban op alle lagen

    De definitie van Kanban uit wikipedia luidt: Kanban (van het Japanse kan ‘visueel’ en ban ‘kaart of bord’) is een concept gebruikt in lean manufacturing en just-in-timeproductie.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 3) - Meer flexibiliteit met het 'Spanning palette'

    Brian Teunissen vertelt over het palet aan resources en items binnen SAFe die niet aan één team kunnen worden toegewezen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 2) - 'Solution intent’

    In dit tweede deel van mijn serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreek ik een voor mij ondergeschoven kindje in agile: ‘Solution intent’.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 1) - 'Value Stream'

    In dit 1e deel van een serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreekt Brian de meest significante vernieuwing van deze versie; de 'Value Stream' laag.

    Lees verder
  • De noodzaak van een lerende organisatie

    Hoe beter je als organisatie kunt leren, hoe effectiever je in staat bent om te plannen. Het lerend vermogen van jouw organisatie staat gelijk aan de wendbaarheid van jouw organisatie. In deze serie van blogs kijken we daarom naar de essentiële aspecten van het creëren van een wendbare, lerende organisatie.

    Lees verder
  • Zin en onzin van documentatie

    Willen jullie meer of minder documentatie? Minder! Minder! Minder! Lees verder.

    Lees verder
  • Architectuur veert weer op!

    In november vond het jaarlijkse LAC congres plaats. "Meestal kom ik terug met de conclusie: er waren wel enkele aardige presentaties, vele bekende gezichten, prima verzorgd. Dit jaar was het echter anders", blogt Serge Bouwens. Lees verder.

    Lees verder
  • Digital Transformation en Business Analyse

    inspearit sponsorde het IIBA jaarcongres 2017. Het werd afgelopen dinsdag 14 november een goed bezochte en interessante bijeenkomst. Het thema: ‘Digital Transformation en Business Analyse’. Het vraagstuk werd door de sprekers uit verschillende invalshoeken belicht. 

    Lees verder
  • LeSS principes leggen de basis voor het Scaled Agile Model bij de Nationale Politie

    inspearit heeft samen met de Nationale Politie een agile samenwerkingsmodel ontwikkeld gericht op snelheid en wendbaarheid in een continue verbetercyclus.

    Lees verder
  • “Hoe laat gaan we verder met die transformatie?”

    Als we a priori al geen tijd kunnen maken voor een vervolgafspraak en/of er moeilijk over doen, is de transitie gedoemd te mislukken. In deze blog vind je een en 5-stappenplan om een vast moment in de week te selecteren.

    Lees verder
  • Round Table “De waarde van Agile: wie bepaalt dat?”

    Op donderdag 29 juni vond in Kasteel Sterkenburg een geslaagde Round Table discussie plaats rondom het thema “De waarde van Agile: wie bepaalt dat?”.

    Lees verder
  • Patching: Theoretisch niet moeilijk

    Hét proces voor het op orde houden van de updates op al je machines. In elke norm voor informatie-beveiliging (ISO27001, BIR, BIG, NEN7510) komt patching terug en ook bij de DigiD-audit wordt de patching gecontroleerd. Hoe kan je in jouw organisatie ook dit proces voldoende op orde krijgen?

    Lees verder
  • Op weg naar een High Performance Overheid

    Op initiatief van projectmanagers van UWV, de Belastingdienst, DUO en I-Interim Rijk werd op 10 mei jl. het seminar ‘op weg naar een High Performance Overheid’ gehouden voor medewerkers van de overheid.


    Lees verder
  • ​Informatiebeveiliging versus Privacymanagement, wie wint de slag?

    In dit (gratis) event zullen de tegenstellingen tussen privacy - en informatiebeveiligingsmanagement onder een vergrootglas worden gelegd.

    Lees verder
  • TDWI vernieuwt de CBIP examens

    Afgelopen januari heeft TDWI één van de grootste veranderingen in de geschiedenis van haar CBIP-certificeringstraject doorgevoerd. En ondanks dat cibit academy voor haar cursisten heeft kunnen zorgen dat de oude examens nog tot en met juni gedaan kunnen worden, komt nu toch het moment dat het nieuwe certificeringstraject van TDWI wordt ingevoerd.

    Lees verder
  • Decision Driven Architecture

    Met een Decision Driven Architectuur ben je in staat optimaal mee te leven met wat de organisatie belangrijk vindt, nu én in de toekomst. Dat lijkt me een vereiste in deze agile tijden blogt Serge Bouwens.

    Lees verder
  • Versterk je leerrendement met persoonlijke coaching!

    Het leren stopt niet nadat je het klaslokaal hebt verlaten. Sterker nog, 70% van het leren gebeurt op de werkvloer.

    Lees verder
  • Nieuwe opleidingslocaties!

    Ook wij vinden reizen zonde van onze tijd en snappen dat je je tijd wel nuttiger kunt besteden. Om jou beter van dienst te zijn gingen we op zoek naar diverse opleidingslocaties verspreid over het gehele land.

    Lees verder
  • Wij nemen jouw privacy serieus!

    Lees onze aangepaste privacy policy.

    Lees verder