(function(d,s,i,r) { if (d.getElementById(i)){return;} var n=d.createElement(s),e=d.getElementsByTagName(s)[0]; n.id=i;n.src='//js.hs-analytics.net/analytics/'+(Math.ceil(new Date()/r)*r)+'/554273.js'; e.parentNode.insertBefore(n, e); })(document,"script","hs-analytics",300000);

Security by Design: los problemen op vanaf de bron

Er is veel aandacht voor ICT security. Steeds meer organisaties gaan bewuster, volwassener en completer om met informatiebeveiliging en zetten de beschikbare maatregelen steeds meer in. Maar zijn die maatregelen geen pleisters op de eigenlijke wonden? 

Aandacht voor security

Zowel preventief, detectief als correctief en zowel technisch en fysiek als organisatorisch besteden organisaties er aandacht aan. Denk hierbij aan:

  • Het overwegen en implementeren van een responsible disclosure policy.
  • Het laten uitvoeren van pen-testen in een nieuwe of essentiële omgeving.
  • Het opzetten van security monitoring.
  • Het inregelen van volwaardige security incident response.

Aan (bijna) alle aspecten en lagen van de informatiebeveiliging wordt gewerkt. Ook van buitenaf worden organisaties ondersteund en gestimuleerd om voldoende aan informatiebeveiliging te doen. Denk aan nieuwe wet- en regelgeving zoals de meldplicht datalekken (WBP artikel 34a) die sinds 1 januari van kracht is, of de uitbreiding van bevoegdheden van de Autoriteit Persoonsgegeven (het voormalige CBP).

Secure development lifecycle.png

De bron van alle security ellende

Dat klinkt natuurlijk allemaal fantastisch, maar wat hier wel in opvalt is dat al deze maatregelen pleisters op de eigenlijke wonden zijn. Van pen-testen, een responsible disclosure policy en security monitoring tot aan wettelijke verplichtingen en hogere boetes. Uiteindelijk lost het de problemen niet op vanaf de bron, maar zorgt het vooral voor vroegtijdige detectie van (potentiële) security problemen. Wat is dan die bron van alle security ellende? Dat zijn de vele security bugs in software, de configuratie fouten in ICT omgevingen en andere menselijke tekortkomingen. Deze zaken maken alle lekken mogelijk.

Problemen oplossen vanaf de bron

Een betere oplossing is om problemen op te lossen vanaf de bron, dat wil zeggen tijdens de ontwikkeling en niet pas in een operationele situatie. Microsoft is daar, uit nood geboren, als eerste gestructureerd mee begonnen in 2004 met hun Security Development Lifecycle (SDL). Hierop volgend zijn nog enkele andere methodieken ontstaan voor security assurance in de ICT ontwikkeling zoals OpenSAMM en BSIMM. Waar deze modellen op software ontwikkeling gericht zijn is SSE-CMM (ISO 21827) een voorbeeld van een security assurance model dat op bredere ICT engineering is gericht.

In de masterclass leggen we precies uit hoe je security problematiek vanaf de bron oplost, welke methodieken en modellen hiervoor beschikbaar zijn, welke uitdagingen hierin zitten en of de inzet van een dergelijke methodiek zaligmakend is. Het antwoord op de laatste vraag: nee, sorry. Alle andersoortige security maatregelen blijven nog steeds nodig en van toegevoegde waarde, maar dat is geen reden om je ICT ontwikkeling niet ook volwassener te willen maken. Wij helpen je hierbij. 

BSIMM domeinen.png

Wapen je tegen de meldplicht datalekken!

Richt je zo snel mogelijk op de veiligheid van jouw bedrijfsgegevens en download het whitepaper met daarin alles wat je moet weten de meldplicht datalekken!

New Call-to-action

Gerelateerde artikelen