management

Security verdient meer aandacht bij sourcing applicatiebouw

Drie kwart van de beveiligingsproblemen ontstaat door lekken in software. Nederlandse overheden hebben een praktische methode ontwikkeld waarmee opdrachtgevers bij de sourcing van hun applicatieontwikkeling leveranciers beter kunnen aansturen op een goede en inherente beveiliging van applicaties.

Marcel Koers van het UWV en Rob van der Veer van de Software Improvement Group hebben begin januari op het iBestuur Congres 2014 het doek gehaald van deze zogenaamde ‘Secure Software Development’ (SSD-)methode. Zij stonden aan de wieg van de SSD-methode die beschrijft hoe een opdrachtgever grip krijgt op het laten ontwikkelen van goed beveiligde software. Deze methode voor de bouw van veiliger applicaties komt voort uit het in 2012 begonnen Centrum Informatiebeveiliging en Privacybescherming (CIP). Bij dit samenwerkingsplatform binnen de overheid zijn uitvoerende overheidsorganisaties als UWV, Belastingdienst en DUO aangesloten om kennis op het gebied van informatiebeveiliging en privacybescherming te ontwikkelen en te delen. Ook is een veertig tal marktpartijen aangesloten als kennispartner.

Inregelen security
Volgens Ad Reuijl Directeur van het Centrum Informatiebeveiliging en Privacy (CIP), heeft de SSD-methode ook het Nederlandse bedrijfsleven heel wat te bieden. Opdrachtgever en leverancier vinden het vaak moeilijk om goed af te stemmen over beveiliging in software. “In de praktijk wordt er bij aanbestedingen en contracten over bouw en onderhoud van software vaak verwezen naar ISO 27002 of de Baseline Informatiebeveiliging Rijksdienst”, aldus Reuijl. “Dat zijn enorme pakken papier die op zich goed zijn, maar ook bossen waar je zo maar in verdwijnt. Het is de kunst om het specifiek te maken, zodat opdrachtgever en leverancier er praktisch mee aan de slag kunnen. Deze SSD-methode specificeert precies, wat anders abstract zou blijven. Neem bijvoorbeeld de beveiliging van formuliervelden op een website. Je wilt niet dat de achterliggende toepassing SQL-statements van een hacker direct op de database mogelijk maakt.”

Volgens Reuijl verdient deze methode ook aandacht buiten de overheid. “Ook in het bedrijfsleven is er behoefte aan meer handvaten om een strenger securitybeleid vorm te geven”, vervolgt Reuijl. “Bij sourcing van software-ontwikkeling wil kwaliteit nog wel eens kind van de rekening zijn. Als een uitbestedingsopdracht uitgeknepen is, zie je dat kwaliteit daar als eerste onder lijdt. Bij de SSD-methode kun je ervoor zorgen dat er juist concrete grip op de ontwikkeling van veilige software komt. Door bepaalde eisen als blokkerend te bestempelen en bij de leverancier aan te geven waar software op zijn minst aan moet voldoen kun je als opdrachtgever de leverancier op zijn gedrag en concrete producten aanspreken. Wellicht wordt de bouw van applicaties iets duurder daardoor, maar in de operationele fase zal deze gedegen aanpak zich dubbel en dwars terugbetalen doordat het veel security ellende voorkomt.”

Opzet
Het eerste deel van de methode geeft aan hoe leveranciers het beste aangestuurd kunnen worden. Het tweede deel bevat een normkader om productkwaliteit te kunnen beoordelen. De drie pijlers zijn standaard beveiligingseisen, contactmomenten en het inrichten van SSD-processen. De laatstgenoemde zijn processen voor onder meer het bijhouden van risico’s en standaard beveiligingseisen, en het doen groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd, met zeggingskracht voor zowel managers als security specialisten. De publicatie is te downloaden op de website van het CIP.

ADVERTENTIE

partner content

Magazines

TITM Analytics 2

In dit themanummer van TITM, gewijd aan BI en analytics, laten we zien hoe Office Depot groot zakelijk voordeel behaalt door productdatamanagement op een (veel) hoger plan te brengen.

In dit nummer o.a.:

  • Jos Schreurs over masterdatamanagement bij Office Depot
  • Realtime analytics
  • Analist George Lawrie: ‘Vrijwel alles wordt hardware’

naar alle magazines