Werk je bij een start-up of draaien er in jouw organisatie om andere redenen uitsluitend moderne applicaties, dan zit het met de beveiliging in de regel ook wel goed. Dat is anders wanneer er nog legacy-systemen actief zijn. Ook dan is er geen reden tot paniek. Door een reeks moderne security-maatregelen stapsgewijs door te voeren kan security namelijk alsnog naar een hoger plan worden getild.
Moderne security-maatregelen
We hebben heel bewust gekozen voor het woord ‘maatregelen’ en niet voor ‘tools’. Het beoogde beveiligingsniveau vraagt namelijk om een holistische en systematische aanpak en borging, en kan domweg niet worden behaald met wat ‘pleisters plakken’. Security by Design, want daar hebben we het over, loopt over de volgende zes schijven:
Beheer van vertrouwelijke informatie. Hierbij draait het om het beheer van vertrouwelijke informatie die nodig is om applicaties te ontwikkelen en goed te laten functioneren. Denk aan wachtwoorden en certificaten. Het laatste wat je wilt, en wat helaas nog steeds voorkomt, is dat codes en wachtwoorden open en bloot in publieke code terecht komen. Dit is eenvoudig op te lossen door wachtwoorden die bijvoorbeeld nodig zijn voor verbindingen tussen een applicatie en componenten of voor toegang tot een database in een digitale kluis (zoals Key Vault in Azure) op te slaan.
Betrouwbare componenten. Moderne softwareoplossingen maken intensief gebruik van externe (open source) libraries en componenten. Om mogelijke kwetsbaarheden en daarmee misbruik buiten de deur te houden, is ‘proactieve inspection tooling’ beschikbaar. Tip: gebruik alleen componenten van actieve of betaalde communities.
Code review. Om er zeker van te zijn dat ook de in eigen beheer ontwikkelde code geen kwetsbaarheden bevat, kun je naast kwaliteitsrichtlijnen en een project audit ook code reviews inzetten (vierogenprincipe). Dit werkt in de regel via een pull request, oftewel een verzoek voor het reviewen van gewijzigde code in een project.
Release management. Om te voorkomen dat er software wordt uitgebracht die niet correct en/of veilig functioneert, is het van belang dat het release-proces goed is ingericht. Hierbij wordt de kwaliteit continu gemonitord en gecontroleerd of de policies worden nageleefd. Met behulp van de juiste DevOps-tooling kan dit grotendeels geautomatiseerd worden afgedwongen.
Beveiliging data. Data wordt niet voor niets het nieuwe goud genoemd. Dus moet er alles aan worden gedaan om misbruik te voorkomen. Zowel opgeslagen data (data at rest) als data in ‘transit’ (bijvoorbeeld tijdens een transfer van een database naar een webapplicatie) moet daarom versleuteld worden. De sleutels voor het (ont)sleutelen worden bij voorkeur opgeslagen in eerder genoemde digitale kluis. Privacygevoelige persoonsgegevens dienen als zodanig expliciet te worden geclassificeerd (Privacy by Design) en selectief beschikbaar te worden gesteld volgens de regels van de AVG. Na classificatie kan diverse tooling worden geactiveerd om oneigenlijk gebruik te voorkomen.
Architectuur. Bij architectuur als security-maatregel moet je denken aan het beperken van toegangsrechten van gebruikers. Dat wil zeggen: wijs uitsluitend toe wat iemand voor de uitoefening van zijn of haar functie echt nodig heeft (Least Privilege). Een andere effectieve maatregel is dat alleen toegang kan worden verkregen via een formele security group en via aangewezen private endpoints.
ISO 27001-certificaat
Security rondom legacy apps is dus zeker geen abc’tje, maar met de juiste maatregelen en professionele hulp van een ervaringsdeskundige wel degelijk sluitend te krijgen. Delta-N heeft die ervaring volop in huis, zowel voor haar eigen ‘greenfield-applicaties’ als op het gebied van modernisering van verouderde applicaties van klanten. Dat we onlangs het ISO 27001-certificaat voor informatiebeveiliging hebben behaald, komt wat dat betreft ook niet uit de lucht vallen.
Maak je nog gebruik van Legacy applicaties en heb je vragen of twijfels over de security? Neem dan contact op met Heiko Wijtenburg via heikow@delta-n.nl of 085 487 52 21.
