Softwarebeveiliging is hot en bepaald niet zonder reden. Omdat applicaties binnen IT-landschappen steeds meer gebruik maken van deeloplossingen, zoals PaaS- en SaaS-diensten, componenten en libraries, wordt de keten steeds complexer. En daarmee ook kwetsbaarder. Alles volledig dichttimmeren is, met het oog op kosten en gebruiksvriendelijkheid, ook niet de oplossing. Je voorziet de koektrommel thuis per slot van rekening ook niet van biometrische authenticatie. Maar waar leg je de grens?
Proportionaliteit
Om die grens weloverwogen te bepalen, werken wij zelf langs de lijn van risk-based security. In deze aanpak speelt het zogenoemde proportionaliteitsbeginsel een belangrijke rol. Simpel gezegd komt dit erop neer dat je de mate van beveiliging laat afhangen van het belang van applicaties en data. Of, anders gezegd, van de mogelijke consequenties wanneer applicaties of data oneigenlijk worden gebruikt. Dat kan door zowel goed- als kwaadwillenden gebeuren. Zo maakt het nogal verschil of je praat over een onepager met algemene bedrijfsinformatie of over een app voor internetbankieren of een elektronisch patiëntendossier. Daarnaast speelt de kans dat er een keer iets mis gaat en de schade die dat kan berokkenen ook mee.
Risicoclassificatie
Om de benodigde security-maatregelen vast te stellen, delen we de applicatie in een risicoklasse in. Om het enigszins behapbaar te houden, hanteren we een drietal klassen. Welke klasse van toepassing is, hangt af van meerdere parameters, zoals:
- De betreffende architectuurdomeinen;
- De infrastructuur (context; data; proces; infrastructuur).
- De kans op een incident (van minimaal tot zeer hoog);
- De te verwachten impact van inbreuk/schade;
- De mate van ‘trust’ bij de betrokken partners (ook beveiliging is even sterk als de zwakste schakel).
Balans tussen maatregelen en werkbaarheid
Voor de basisomgeving waarin software bij ons ontwikkeld en beheerd wordt, gelden de hoogste security-eisen. Dit leidt tot een veilige werkomgeving. Voor de individuele applicaties geldt: hoe hoger de risicoklasse, hoe strenger de set aan beveiligingsmaatregelen die wij hanteren. Dit geldt voor zowel de realisatie- als de beheerfase van het product.
Automatiseren waar mogelijk
Door de beveiligingsmaatregelen zoveel mogelijk te automatiseren, kan de balans tussen security-maatregelen en gebruikersvriendelijkheid verder worden geoptimaliseerd. Veel waarborgen zijn in te bouwen tijdens het ontwikkeltraject, zoals het controleren van de code op kwetsbaarheden (OWASP). Maar ook tijdens de beheerfase zijn er verregaande mogelijkheden om het monitoren grotendeels geautomatiseerd te laten verlopen, waarbij support medewerkers proactief kunnen inspelen op verdachte situaties.
Met risk-based security zoeken, en vinden, we de juiste balans tussen beveiliging en compliance enerzijds en werkbaarheid en kosten anderzijds.
Meer weten over de beveiligingsaanpak en de set maatregelen die wij bij onze projecten hanteren? Neem dan contact op via 085 - 487 52 00 of info@delta-n.nl.
