Beginnen met veiligheid

een handig startpunt

Geschreven door: op
We weten allemaal dat een website of webapplicatie veilig moet zijn. Het is echter wat anders om je website ook echt veilig te maken. Wat is een handig startpunt?

Veiligheid begint allereerst in je hoofd. Je moet je bewust zijn van de gevoeligheid van je eigen oplossing en afvragen welke gegevens voor hackers interessant kunnen zijn. Bewaar je NAW gegevens, adressen of ordergegevens? Dan is je informatie in ieder geval interessant, want dit geeft bijvoorbeeld inzicht in je interesses en uitgaven. Laat je een pakje op bepaalde dagen op kantoor afleveren? Dan weet de hacker ook wanneer je hoogstwaarschijnlijk niet thuis bent.

Social Media
De eerste stap van veiligheid pas je al toe met je eigen social media. Wanneer post je welke update en aan wie laat je deze zien. Is je Facebook profiel volledig zichtbaar zonder dat je vrienden bent en heb je al eens alle veiligheidsinstellingen nagelopen? Op zich heeft dit niet met je eigen oplossing te maken, maar wel met je bewustzijn over veiligheid. Het is daarom zaak om hierbij stil te staan wanneer je dit op het internet zet.

Eigen oplossing
Hoe je naar social media kijkt kun je ook naar je eigen oplossing kijken. Wanneer een hacker hier toegang tot krijgt is je oplossing namelijk net zo publiek als een normale website. Vaak gaat een hacker ook nog verder en kan hij bij de gegevens die alleen jij normaal in je backoffice ziet. Welke informatie is dit en wat kan dit voor je bedrijf betekenen wanneer deze gegevens op straat komen te liggen? Uiteraard is een website minder gevoelig dan een webshop, maar ook hier kan een intranet aan vast zitten of een intern document aanwezig zijn welke pas na login te benaderen is. Wellicht geven de databasegegevens toegang tot andere databases welke op dezelfde server staan. Is dit het geval, dan is je website net zo interessant voor een hacker als een webshop. Dan gaat hij echter 'bij de buurman' naar binnen om zijn doel te bereiken.

OWASP
Vanuit het Open Web Application Security Project (OWASP) is er veel gedocumenteerd over de belangrijkste veiligheidsrisico's en wat de impact kan zijn op je applicatie. Er is zelfs een top 10 met beveiligingsrisico's waarnaar gekeken kan worden door je ontwikkelpartij. Uiteraard houdt het daarbij niet op, maar het is wel een mooi (technisch) startpunt. Hieronder vind je de link naar deze top 10.

Bekijk hier de Top 10 beveiligingsrisico's vanuit de OWASP.

Het beste is om direct vanaf het begin van de ontwikkeling rekening te houden met deze beveiligingsrisico's. Achteraf implementeren kan veel rework opleveren aangezien sommige onderdelen wellicht heel anders moeten worden opgezet. Het kan soms zelfs voordeliger zijn om een onderdeel opnieuw te bouwen dan een bestaand onderdeel aan te passen. Bespreek daarom met je softwareleverancier wat verstandig is en hou niet altijd vast aan het bestaande.

Test in de praktijk
Wanneer je applicatie is opgeleverd of je hebt al een bestaande applicatie, dan is het verstandig om deze eens goed door te laten testen. Je hebt hier gespecialiseerde bedrijven voor die over tools beschikken die door je hele website lopen en op zoek gaan naar de beveiligingsrisico's. Deze tools zijn vaak te duur om zelf aan te schaffen, maar via een specialist heb je dan toch toegang tot deze techniek. Het eindresultaat is een compleet overzicht voor zowel jezelf als je softwareleverancier waaruit een routeplan gemaakt kan worden voor verbetering van de veiligheid. Belangrijke risico's moet je natuurlijk direct aanpakken.

Een bedrijf welke actief is binnen deze sector en interessant blogs post over veiligheid is Sebyde. Een link naar hun bedrijfsprofiel op LinkedIn vind je hier.

Niet eenmalig
Als je alle bovenstaande stappen hebt gehad ben je er nog steeds niet. Een applicatie is niet statisch, maar voortdurend onderhevig aan veranderingen. Maak je zelf geen functionele wijzigingen, dan doet de partij die je Operating System (OS) zoals Windows Server beheerd dit wel. Je website draait op een OS met een platform om je applicatie te draaien. Bijna wekelijks komen hier updates voor binnen en worden deze op je server geïnstalleerd zonder dat je dit door hebt. Daarnaast komen er ieder jaar weer nieuwe browsers en browserversies op de markt. Je bent zelf wellicht niet actief met veranderen, maar alle andere partijen welke software aan je leveren wel! Het houdt daarom niet op bij enkel implementatie, maar het betekend ook regelmatig onderhoud.

Indien er ook aan je eigen applicatie wordt gesleuteld, dan is de noodzaak dat je niet alleen onderhoud uitvoert, maar ook actief de beveiligingsrisico's bij het aftesten van de nieuwe versie meeneemt. Iedere nieuwe functionaliteit is onderhevig aan dezelfde risico's en iedere wijziging op bestaande functionaliteit is een risico op zichzelf. Leg daarom de nadruk niet alleen bij de initiële ontwikkeling, maar ook bij de doorontwikkeling van je applicatie.

2015
Komend jaar zal de nadruk op beveiliging wederom toenemen. Waar uit budgetoverwegingen dit punt voorheen nog als kleine eis op de agenda stond zal het nu een speerpunt worden voor iedere organisatie. Is dit niet het geval, dan zul je wellicht je strategie toch nog een keer moeten herzien.

De maatschappij gaat digitaal en ook de overheid zal deze stap verder gaan nemen. Verdere kostenbesparingen vanuit bedrijven wijzen ook direct naar het digitale landschap en met de huidige bezettingsgraad van het internet in Nederland zullen weinig mensen hier problemen mee hebben. Dit betekent echter wel dat je gegevens op steeds meer plekken bewaard wordt en door steeds meer instanties. Dan wordt het succes van je applicatie o.a. het vertrouwen wat je hen kunt geven over de opslag en veiligheid van hun gegevens. Naast het feit dat goede beveiliging vanuit je organisatie een must zou moeten zijn, kan het goed zijn dat dit op zeer korte termijn een must wordt vanuit je eigen klant.

Beginnen met veiligheid Aantal keer bekeken: 3.739