management

Security verdient meer aandacht bij sourcing applicatiebouw

Drie kwart van de beveiligingsproblemen ontstaat door lekken in software. Nederlandse overheden hebben een praktische methode ontwikkeld waarmee opdrachtgevers bij de sourcing van hun applicatieontwikkeling leveranciers beter kunnen aansturen op een goede en inherente beveiliging van applicaties.

Marcel Koers van het UWV en Rob van der Veer van de Software Improvement Group hebben begin januari op het iBestuur Congres 2014 het doek gehaald van deze zogenaamde ‘Secure Software Development’ (SSD-)methode. Zij stonden aan de wieg van de SSD-methode die beschrijft hoe een opdrachtgever grip krijgt op het laten ontwikkelen van goed beveiligde software. Deze methode voor de bouw van veiliger applicaties komt voort uit het in 2012 begonnen Centrum Informatiebeveiliging en Privacybescherming (CIP). Bij dit samenwerkingsplatform binnen de overheid zijn uitvoerende overheidsorganisaties als UWV, Belastingdienst en DUO aangesloten om kennis op het gebied van informatiebeveiliging en privacybescherming te ontwikkelen en te delen. Ook is een veertig tal marktpartijen aangesloten als kennispartner.

Inregelen security
Volgens Ad Reuijl Directeur van het Centrum Informatiebeveiliging en Privacy (CIP), heeft de SSD-methode ook het Nederlandse bedrijfsleven heel wat te bieden. Opdrachtgever en leverancier vinden het vaak moeilijk om goed af te stemmen over beveiliging in software. “In de praktijk wordt er bij aanbestedingen en contracten over bouw en onderhoud van software vaak verwezen naar ISO 27002 of de Baseline Informatiebeveiliging Rijksdienst”, aldus Reuijl. “Dat zijn enorme pakken papier die op zich goed zijn, maar ook bossen waar je zo maar in verdwijnt. Het is de kunst om het specifiek te maken, zodat opdrachtgever en leverancier er praktisch mee aan de slag kunnen. Deze SSD-methode specificeert precies, wat anders abstract zou blijven. Neem bijvoorbeeld de beveiliging van formuliervelden op een website. Je wilt niet dat de achterliggende toepassing SQL-statements van een hacker direct op de database mogelijk maakt.”

Volgens Reuijl verdient deze methode ook aandacht buiten de overheid. “Ook in het bedrijfsleven is er behoefte aan meer handvaten om een strenger securitybeleid vorm te geven”, vervolgt Reuijl. “Bij sourcing van software-ontwikkeling wil kwaliteit nog wel eens kind van de rekening zijn. Als een uitbestedingsopdracht uitgeknepen is, zie je dat kwaliteit daar als eerste onder lijdt. Bij de SSD-methode kun je ervoor zorgen dat er juist concrete grip op de ontwikkeling van veilige software komt. Door bepaalde eisen als blokkerend te bestempelen en bij de leverancier aan te geven waar software op zijn minst aan moet voldoen kun je als opdrachtgever de leverancier op zijn gedrag en concrete producten aanspreken. Wellicht wordt de bouw van applicaties iets duurder daardoor, maar in de operationele fase zal deze gedegen aanpak zich dubbel en dwars terugbetalen doordat het veel security ellende voorkomt.”

Opzet
Het eerste deel van de methode geeft aan hoe leveranciers het beste aangestuurd kunnen worden. Het tweede deel bevat een normkader om productkwaliteit te kunnen beoordelen. De drie pijlers zijn standaard beveiligingseisen, contactmomenten en het inrichten van SSD-processen. De laatstgenoemde zijn processen voor onder meer het bijhouden van risico’s en standaard beveiligingseisen, en het doen groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd, met zeggingskracht voor zowel managers als security specialisten. De publicatie is te downloaden op de website van het CIP.

ADVERTORIAL

Palo Alto Networks and ICT Media are publishing a guide for the C-suite that includes advice and cybersecurity best practices from CEOs, CISOs, lawyers, consultants and government officials.

Join us for the launch event on 18 May from 2:30pm at the Scheepvaart Museum Amsterdam. There will be an interactive panel discussion with the authors, covering Cloud Security, Cyber Insurance, the GDPR, the NIS Directive, the next-generation CISO and Digital Transformation Trends.

You can register for the event here.

Van onze partners

Magazines

OM 2 - Cloud


Strategic sourcing gaat over het zoeken naar een evenwicht tussen uitbesteden en zelf doen, de mate van uitbesteding, de leveranciersselectie, samenwerken met partners, contractbeheer en de regievoering. Maar ook over standaardisatie, normalisatie, ecosystemen en cultuurveranderingen. Op een strategische manier uitbesteden verbetert de efficiency, bespaart kosten en versnelt productontwikkeling. Organisaties kunnen zich voortaan op hun kernactiviteiten concentreren. Strategic sourcing geeft toegang tot expertise, of tot extra productiecapaciteit waarover men zelf niet beschikt. In dit nummer belicht Outsource Magazine de ervaringen en vorderingen op dit gebied.


Naar alle magazines