Van veilige code naar een Safer Internet met veilige applicaties

Dit artikel is eerder gepubliceerd op TechVisor.nl. Auteur: Johan Hoek, Senior Developer bij Winvision

Safer Internet Day staat in het teken van een veiligere online omgeving. Het internet is steeds groter en allesomvattend geworden. Veel applicaties zijn inmiddels via het web te bereiken, een trend die dankzij de pandemie nog een extra zetje heeft gekregen. Kinderen volgen online les en hun ouders werken vanuit huis. Met Safer Internet hebben we het dus niet alleen meer over websites, maar ook over applicaties. En bij het ontwikkelen daarvan is er nog een wereld te winnen voor een veiliger internet, niet alleen voor kinderen maar ook voor volwassen. Veel ontwikkelplatformen hebben security intrinsiek geborgd. Dit betekent dat er automatisch audits uitgevoerd worden en er dus enkele mate van beveiliging geïntegreerd is. Dit beschermt echter niet als je data van buiten de applicatie nodig hebt. En zodra er eigen code wordt toegevoegd, heb je nog minder aan die intrinsieke security. Daar wringt nu juist de schoen. In deze blog deel ik drie tips voor het veilig laten ontwikkelen van applicaties.

1. Security by design

De afgelopen jaren heeft in development vooral de focus gelegen op functionaliteiten en gebruiksgemak. Businessdoelen en user experience zijn de basis voor het bouwen van een applicatie. Een developer kijkt daarbij vooral naar de mogelijkheden van de techniek. Het veilig laten werken van een applicatie middels security by design vereist een andere benadering. Security-denken zit namelijk niet alleen in het toevoegen van code, maar ook in het gebruik van de applicatie. Het gaat om vragen als:

  • Hoe wordt de applicatie ontsloten naar het internet?
  • Welke cybersecurityoplossing heeft een organisatie al in gebruik?
  • Hoe gevoelig is de informatie die de applicatie gaat bevatten?
  • Dit zijn belangrijke zaken om mee te nemen bij de ontwikkeling van applicaties en bepaalt de benodigde hoeveelheid security.

2. Balans

Natuurlijk blijft er ook bij security by design een spanningsveld bestaan tussen gebruiksgemak en security. Als je over de code van de applicatie ook nog veel securitycode moet zetten, dan wordt de code dus langer en de applicatie trager. Het is daarom belangrijk met de developmentpartij af te stemmen hoe belangrijk security is in de applicatie en eventuele risico’s te bespreken. De ene applicatie heeft voldoende aan een basisniveau security vanuit het platform, waar bij de ander veel meer security nodig is.

3. Securitypet

Als organisatie is het belangrijk bij de selectiecriteria voor de keuze van een developmentpartij waarde toe te kennen aan security. Naast het vooraf nadenken over de benodigde security, is het in dienst hebben van een developer gespecialiseerd in security noodzakelijk. Deze securityspecialist denkt vooraf met de developers mee over de benodigde security, kijkt tijdens de bouw met een kritisch oog en voert diverse checks uit. Deze checks worden uitgevoerd op basis van een aantal scripts die uitwijzen of er potentiële lekken in de applicatie aanwezig zijn. Als organisatie wil je de zekerheid dat er een veilige applicatie is opgeleverd.

Kortom, je moet het gesprek aangaan over security in het proces met een developmentpartij zodat je bewust keuzes kunt maken. Risico nemen met security mag, maar dit moet een weloverwogen beslissing zijn. Ik hoop dat we binnen een paar jaar geen Safer Internet Day meer nodig hebben. Safer internet realiseren we samen.