Voor een volledige werking plaatst deze website cookies op uw computer. Daarnaast worden cookies geplaatst voor het bijhouden van bezoekersgedrag binnen Google Analytics. Deze informatie helpt ons bij het verbeteren van onze website. De cookies bevatten anonieme informatie en blijven maximaal 2 jaar in uw browser aanwezig. Lees meer
In een wereld waar digitale veiligheid cruciaal is, staat Security By Design centraal bij Enigmatry.
De kwaliteit van een applicatie, zegt niet zoveel over security. Om security goed te kunnen waarborgen moet je dit op alle lagen doorvoeren. Van het allereerste ontwerp, de architectuur, de code, het beheer en zelfs het gebruik. Bij Enigmatry hebben we hier flink in geïnvesteerd. Allereerst omdat we niet alleen mooie applicaties willen maken, maar ook veilige applicaties.
Zeker nu we voor een aantal grote opdrachtgevers werken, zoals de overheid, waar security een belangrijk onderdeel van de ontwikkeling is.
Onze kennis en ervaring hebben we gebundeld in een blueprint. Het vormt voor ons een basis waarop we elk gewenst project kunnen ontwikkelen, waarin tegelijkertijd op elke laag security is ingebouwd. Er zitten bijvoorbeeld standaard regels in over authenticatie- en autorisatie en we zorgen dat in de database al encryptie gebruikt wordt. Dit zijn een paar voorbeelden van de security blueprint die wij gebruiken, ook als we jouw applicatie ontwikkelen.
Ondanks onze ervaring en een goede basis, is een applicatie helemaal dichttimmeren moeilijk. Er zijn gelukkig wel een aantal stappen waar je als opdrachtgever of opdrachtnemer rekening mee kunt houden. En waarmee je security naar een hoger niveau kunt tillen.
Vroeger noemden we security by design ook wel defensief programmeren. Uiteindelijk komt het op hetzelfde neer. Wat vooral belangrijk is, is dat je de juiste mensen aan boord hebt. Een goede programmeur kan op alle lagen van een applicatie of project security inbouwen. Hij of zij wantrouwt elke stap en kijkt wat fout kan gaan. Dat vraagt tijd, kennis en ervaring.
Want gegevens zijn ontzettend waardevol en mogen nooit zomaar op straat komen te liggen.
- Enigmatry
Security is bij niet alle organisaties een vast onderdeel in de ontwikkeling. Wanneer je dus offertes gaat aanvragen, zorg dan dat security specifiek benoemd wordt. Vraag vooral ook naar de concrete acties die een ontwikkelpartij voor je gaat uitvoeren, om ervoor te zorgen dat jouw applicatie veilig is. Wordt het niet duidelijk hoe security wordt opgepakt of vind je de kosten opvallend laag, dat kan betekenen dat dit soort onderdelen eruit zijn gelaten of niet genoeg aandacht krijgen. Daarnaast is vragen naar een ISO certificaat niet voldoende, want een ISO certificaat gaat meer over hosting en het gebruik van de applicatie en minder over de kwaliteit van de applicatie zelf.
Security by design gaat niet alleen om de veiligheid aan de voorkant, je wilt dit op elke laag van een applicatie doorvoeren. Je kunt het formulier op een website goed inrichten maar kijk je dan ook naar de stap daarachter? De opdracht die naar de server wordt gestuurd, moet ook goed ingericht zijn. En stel dat deze twee stappen waterdicht zijn, dan kan het altijd nog fout gaat in de beheeromgeving. Het kan zelfs zo zijn dat er andere applicaties op dezelfde omgeving draaien, die niet veilig zijn en daarmee alsnog een zwakke schakel voor jouw applicatie vormen. En een zwakke plek, is alles wat hackers nodig hebben.
Een belangrijk aandachtspunt is bijvoorbeeld het doorvoeren van updates en patches. Als er veiligheidsrisico’s zijn worden die online snel gedeeld. Iedereen weet dat deze veiligheidsrisico’s er zijn, dus ook hackers. Zij gaan vervolgens het net afspeuren naar applicaties die de updates nog niet hebben doorgevoerd en hebben hiermee vrij eenvoudig een zwakke plek gevonden.
Schroom niet om een derde partij, een gespecialiseerd bedrijf met ethische hackers, een code review of penetratie test uit te laten voeren. Het kan een hoop problemen en veiligheidsissues voorkomen en is tegenwoordig heel gebruikelijk.
En als laatste, het gebruik. Als je applicatie, hosting en beheer aan alle voorwaarden voldoen, maar een medewerker hangt een post-it met wachtwoorden aan zijn of haar scherm, dan zit je zwakke schakel daar. Een ander voorbeeld is social hacking. Iemand die zich voordoet als een (nieuwe) collega en op die manier wachtwoorden of toegang tot applicatie verkrijgt. Zorg dus dat je security ook intern bespreekt en elkaar eventueel aanspreekt op zwakke plekken.
Wil je zelf al de veiligheid van jouw applicatie controleren, begin dan bij de OWASP top 10. Een lijst met daarop de meest voorkomende veiligheidsfouten die ook makkelijk voorkomen kunnen worden.
Meer weten over de OWASP Top 10, vraag onze whitepaper aan en lees meer over deze lijst en hoe je hem in kunt zetten.
Security valt of staat dus niet alleen met de kwaliteit van een applicatie. Om dit goed door te kunnen voeren heb je expertise en de juiste kennis nodig. Bij het ontwerp en de ontwikkeling van een applicatie moet security op elke laag zijn doorgevoerd. Daarvoor heb je een team met ontwikkelaars nodig die van A tot Z kunnen programmeren, maar daarbij ook het sociale aspect snappen. Die weten hoe de gebruiker kijkt naar een applicatie, welke fouten veel gemaakt worden en hoe je kunt voorkomen dat een ‘social hacker’ alsnog toegang krijgt tot waardevolle informatie.
Wil je meer weten over security by design of heb je een vraag over jouw applicatie? Plan hier een vrijblijvend kennismakingsgesprek in.
Meer lezen over dit onderwerp?
Lees hier alles over de security baseline of waarom jouw software veiliger moet zijn dan die van de buren. Ook vind je hier een handige checklist waaraan jouw software moet voldoen.
