Wat maakt security by design & security by default ook voor jou van cruciaal belang?
Security is vandaag de dag voor ieder bedrijf onmisbaar. Het is dan ook opvallend dat bij de ontwikkeling van veel applicaties security slechts een relatief beperkte rol speelt. De aandacht voor security groeit gelukkig, onder meer door de grote hoeveelheid datalekken en security-incidenten waarmee bedrijven worden geconfronteerd.
‘Security by design’ en ‘security by default’ zijn begrippen die je steeds vaker voorbij ziet komen. Wat betekenen deze begrippen precies, hoe kun je ze toepassen en welke winst leveren zij op?
Security by design en security by default
Traditioneel speelde security bij softwareontwikkeling een relatief kleine rol. Ontwikkelaars stemden een applicatie vooral af op de wensen en behoeften van bijvoorbeeld de business. Het beveiligen van de applicatie kreeg uiteraard aandacht, maar was geen hoofdfocus. Door de jaren heen is de hoeveelheid security-incidenten echter snel gegroeid. Zo blijkt uit cijfers van het Openbaar Ministerie dat het aantal zaken waarbij cybercriminaliteit een rol speelt in 2020 met 127% is gestegen ten opzichte van een jaar eerder. Security speelt vandaag de dag dan ook een veel grotere rol bij softwareontwikkelaars. Steeds vaker worden applicaties vanaf de basis ontwikkeld met security in het achterhoofd. Dit wordt ook wel security by design genoemd.
Lees ook: "Security trends van dit moment"
Security by default is een begrip dat gelieerd is aan security by design. Deze term omschrijft een werkwijze waarbij de standaardconfiguratie van software de meest veilige instellingen omvat. Dit betekent in de praktijk dat gebruikers die niet omkijken naar de configuratie van een applicatie, desondanks kunnen vertrouwen op de veiligheid hiervan. Een belangrijke bijdrage aan de concepten security by default en security by design is geleverd door de top 10 meest voorkomende beveiligingsproblemen van het Open Web Application Security Project (OWASP).
Wat is OWASP?
Bij veel cyberaanvallen maken aanvallers misbruik van veelvoorkomende problemen in software. Het gaat hierbij om kleine fouten in de broncode waaruit een applicatie is opgebouwd. Deze fouten geven aanvallers onbedoeld ruimte voor het opzetten van aanvallen op onder meer webapplicaties, webservers en websites. Het tegengaan van de meest veelvoorkomende problemen in softwarecode kan dan ook veel security-incidenten voorkomen.
Het OWASP helpt ontwikkelaars hierbij. Het project stelt onder meer een top 10 met de meest voorkomende beveiligingsproblemen beschikbaar. Ontwikkelaars kunnen met behulp van deze top 10 het beveiligingsniveau van hun applicaties naar een hoger niveau tillen.
Drie ontwerpprincipes
Bij het ontwerpen van een veilige applicatie op basis van security by design & security by default adviseert OWASP het hanteren van een drietal ontwerpprincipes: vertrouwelijkheid, integriteit en beschikbaarheid.
Vertrouwelijkheid
Vertrouwelijkheid betekent hierbij dat gegevens uitsluitend toegankelijk zijn voor gebruikers die hiervoor expliciet toestemming hebben. Alle andere gebruikers kunnen niet bij de data. Onder meer role-based access control draagt hieraan bij, dat de toegang tot informatiesystemen afschermt op basis van functie. Zo weet je zeker dat gebruikers alleen bij gegevens kunnen die zij daadwerkelijk nodig hebben. Andere data blijven afgeschermd.
Integriteit
Integriteit heeft betrekking op de integriteit van data. Zo is van het cruciaal belang dat gegevens niet kunnen worden gemanipuleerd of gewijzigd door ongeautoriseerde partijen. Alleen dan kan de business daadwerkelijk op data vertrouwen. Denk hierbij aan autorisatie, zodat alleen geauthentiseerde gebruikers toegang krijgen tot gegevens. Denk echter ook aan twee-factor authenticatie, wat misbruik van gestolen of uitgelekte inloggegevens voorkomt en manipulatie van gegevens door kwaadwillende voorkomt.
Beschikbaarheid
Gebruikers zijn vandaag de dag voor veel werkzaamheden in belangrijke mate afhankelijk van de beschikbaarheid van gegevens. Stel daarom zeker dat data, de systemen waarin deze zijn opgeslagen en oplossingen waarmee gegevens worden verwerkt altijd beschikbaar zijn voor geautoriseerde gebruikers die hieraan behoefte hebben. Onder meer het automatisch schalen van de infrastructuur waarop data en oplossingen zijn gehost speelt hierbij een rol. Zo kunnen prestatieproblemen van systemen en tools de toegang tot gegevens beperken en daarmee de productiviteit aantasten.
Integreer security in het ontwerp
Security speelt idealiter in het ontwerp en tijdens de ontwikkeling van een applicatie al een centrale rol. Dit zorgt dat security geïntegreerd is in de applicatie, beveiligingsmaatregelen optimaal aansluiten bij de toepassing en tijdens het ontwerp van de applicaties voldoende aandacht is voor securityafwegingen.
Het kan natuurlijk goed zijn dat jouw organisatie gebruik maakt van applicaties waarbij security tijdens de ontwikkeling minder centraal stond. Breng in zo’n geval het veiligheidsniveau van een applicatie in kaart en identificeer zwakke plekken. Zo kun je gericht te werk gaan bij het verbeteren van de beveiliging.
