TechNight: Compliance Automatisering - host Kevin Boots

Compliancy is (rightfully) a major concern for nearly every company, especially in times where the world around us changes faster han we might be able to keep up with. Whether it’s internal rules & principles or regulations from external stakeholders: Just focussing on IT teams for a second, especially on the topics of ‘when is good good enough?’ and generating + delivering evidence, development teams might get stuck for weeks on end to ensure compliancy standards are being met.
Examples of this could be things like the ‘four-eye-principle’, principles of Least Privilege and more.
But the other side of the coin, specifically roles like compliance officers, IT Risk and security specialists run into problems all the same. The coordination and performing of controls on this front cost enormous amounts of time on both sides. These activities are nearly always done by hand and take the form of huge, dreaded checklists in Excel.
This takes time. Time that they’d rather spend on other initiatives. Time that can be spent making an actual difference for their customers. Not to mention….it’s (human) error prone and risky. Kind of the reverse of what we want….
So let’s get some automation into the picture, yeah?
In this talk I want to take people along in a case study, demonstrating various tools, techniques and patterns that could help companies of various sizes help automate a host of compliancy (IT) controls.
Think of topics like:
- BDD style testing (‘Given, When, Then’) using Python & behave, to write acceptance tests on whether we are actually compliant

• Setting up a Compliance/Evidence API that can be used to store and tag evidence, with the goal of making the storage behind it a ‘Self Service Evidence Store’
• Building a reactive architecture with tools like Azure Event Grid to respond to actions within your landscape; e.g. provisioning development resources to be compliant-by-design, reverting settings that do not conform with our standards, and automatically generating helpful additions to existing resources like self-service access profiles or pipeline building blocks (compliancy does not have to exclude development enablement, after all!)

Let’s see if this toolbox can help you slowly but surely make compliancy robust yet easy, and ‘just another step’ in your pipelines!

----------------------------------------------------------------------------------------

Op 30 november organiseren wij weer onze welbekende TechNight, dit keer hebben wij Kevin Boots uitgenodigd. Dit zal tevens de laatste talk zijn van dit jaar, in 2023 gaan we uiteraard weer verder.

Locatie: Stadionweg 57c, Rotterdam
Programma
17:30-18:30 inloop, buffet en drankjes
18:30-19:30 TechTalk
19:30 Borrel

Compliancy is (terecht) een grote zorg van veel bedrijven, gezien hoe hard de wereld om ons heen verandert. Of het nou gaat om eigen eisen of die opgelegd door externe partijen: Alleen al binnen IT, en met name op het front van ‘wat is goed genoeg’ en het leveren van bewijs, kunnen development teams soms weken kwijt zijn aan compliancy. Denk hierbij aan controles zoals het ‘vier-ogen-principe’, ‘least-privilege-principe’ en meer.

Maar ook aan de zijde van Compliance Officers, IT Risk & Security specialisten kan het coördineren en controleren van deze controles, vaak handmatig en in de vorm van enorme checklists, veel tijd kosten die ze liever aan andere initiatieven besteden. Zaken waar beide partijen een echt verschil maken voor hun klanten.

Zou automatisering hier uitkomst kunnen bieden? Absoluut!

In deze talk neem ik mensen mee in een case study, waarin ik meerdere tools/technieken en patronen laat zien die bedrijven kunnen helpen compliance controls te automatiseren. Denk hierbij aan:

• BDD-style testing (‘Given, When, Then’) in Python & behave, als acceptatie testen of we inderdaad compliant zijn
• Opzetten van een ‘Compliance API’ die nodige evidence opslaat voor auditors/compliance officers als een soort ‘Self-Service Evidence Store’
• Opzetten van een reactieve architectuur w/ Azure Event Grid & Azure Functions die reageert op acties van je gebruikers —> bv voorkomen van non-compliant settings of gebruikers helpen compliant te worden, en automatisch bijv. toegangsprofielen te genereren

Als het ware een soort toolbox om langzaam maar zeker ook het automatiseren van de gevreesde ‘compliance checklists’ op te nemen in onze pipelines!