insight 
De bedreigingen in de wereld van IT zijn steeds vaker in het nieuws, en ieder persoon en ieder bedrijf moet zich daartegen beveiligen. Wij hebben recentelijk ons hele bedrijfsproces (van ontwerpen tot ontwikkeling en van beheer tot gebruikersondersteuning) op ISO 27001 niveau gecertificeerd. Hiervoor hebben wij ons gehele ontwikkel- en beheerproces weer eens extra onder de loep genomen. Vanuit deze ervaring wil ik in dit blog op hoofdlijnen aangeven wat hierbij komt kijken, en hoe wij binnen ons Project- en Beheerteam invulling geven aan informatiebeveiliging.
u003cimg class=u0022alignnone wp-image-25091 u0022 src=u0022https://vxcompany.com/wp-content/uploads/2022/03/EIK_ISO27001_ZwartWit-300×222.pngu0022 alt=u0022u0022 width=u0022201u0022 height=u0022135u0022 /u003ernrnu003cspan data-contrast=u0022autou0022u003eVeiligheid van software en IT-voorzieningen kun je vaak prima borgen door te kiezen voor betrouwbare leveranciers en netjes bij te blijven met updates. Als je een courante Microsoft Surface Laptop hebt, met virusscanner en firewall en deze netjes bijwerkt met Windows Update dan ben je al een heel eind op weg. Als je dan ook nog eens gebruik maakt van Office/Microsoft 365 met Multi-Factor Authenticatie dan is je werkplek tegen veel voorkomende bedreigingen beschermd.u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003ernrnu003cspan data-contrast=u0022autou0022u003eVoor op maat gemaakte applicaties is het een stuk complexer om deze software (vaak essentieel voor het primaire proces van de organisatie) veilig te maken en veilig te houden. Wij maken onderscheid tussen verschillende dimensies van veiligheid:u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003ernu003culu003ern tu003cli data-leveltext=u0022u0022 data-font=u0022Symbolu0022 data-listid=u00224u0022 aria-setsize=u0022-1u0022 data-aria-posinset=u00221u0022 data-aria-level=u00221u0022u003eu003cbu003eu003cspan data-contrast=u0022autou0022u003eVeilige software en componenten in deze softwareu003c/spanu003eu003c/bu003ernu003cspan data-contrast=u0022autou0022u003eOp maat gemaakte software bestaat uit stukken broncode (door onze ontwikkelaars voor de klant geschreven) en uit componenten die ze gebruiken om de software te maken. Denk bij componenten bijvoorbeeld aan een functionaliteit om een bestand te ‘uploaden’, of aan functionaliteit waarmee je iets omzet naar een pdf-bestand.u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003eu003c/liu003ernu003c/ulu003ernu003culu003ern tu003cli data-leveltext=u0022u0022 data-font=u0022Symbolu0022 data-listid=u00224u0022 aria-setsize=u0022-1u0022 data-aria-posinset=u00221u0022 data-aria-level=u00221u0022u003eu003cbu003eu003cspan data-contrast=u0022autou0022u003eVeilige omgeving waar de software draait (de hosting)u003c/spanu003eu003c/bu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003ernu003c/spanu003eDe omgeving waar de software op draait bestaat uit hardware (de echte servers, harde schijven en netwerkbekabeling), maar ook uit de ruimte waarin die servers staan (een datacenter of serverruimte in een pand). Ook vallen de verbindingen met de buitenwereld (en bijbehorende firewalls en netwerkbewaking) hier onder.u003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559685u0026quot;:720,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003eu003c/liu003ernu003c/ulu003ernu003culu003ern tu003cli data-leveltext=u0022u0022 data-font=u0022Symbolu0022 data-listid=u00224u0022 aria-setsize=u0022-1u0022 data-aria-posinset=u00222u0022 data-aria-level=u00221u0022u003eu003cbu003eu003cspan data-contrast=u0022autou0022u003eProject- en beheerteam dat ook op organisatie en proces niveau veilig isu003c/spanu003eu003c/bu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003ernu003c/spanu003eDe organisatie die de software maakt moet natuurlijk ook op proces- en mensniveau aandacht hebben voor veiligheid. Denk aan de oplossingen van Huawei of van Kaspersky waarvan we de organisaties erachter niet helemaal meer vertrouwen.u003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559685u0026quot;:720,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003eu003c/liu003ernu003c/ulu003e
Veilige software en componenten in deze software
u003cspan data-contrast=u0022autou0022u003eWij zorgen ervoor dat onze ontwikkelaars, architecten en testers over de juiste kennis beschikken om veilige software te ontwikkelen. Naast aandacht voor trainingen en certificeringen verzorgen we ook regelmatig kennissessies om iedereen van de laatste inzichten te voorzien. u003c/spanu003ernrnu003cspan data-contrast=u0022autou0022u003eDe componenten die we gebruiken in de software worden (vooraf) door onze architecten beoordeeld op toekomstvastheid en veiligheid. Daarnaast bewaken we geautomatiseerd of er kwetsbaarheden worden gevonden in deze componenten. De controles doen we meerdere keren per dag voor alle componenten die ingezet zijn. De broncode die onze ontwikkelaars maken beoordelen we met geautomatiseerde controles op complexiteit, kwaliteit en veiligheid. Als hier iets niet goed is dan wordt de broncode niet opgeleverd, en als het wel goed is vindt er nog een handmatige QA-controle plaats door een andere ontwikkelaar of architect.u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003ernrnu003cspan data-contrast=u0022autou0022u003eAlle maatwerk software wordt ontwikkeld volgens het ‘vier ogen principe’, waarbij alle opgeleverde code door een tweede ontwikkelaar gereviewed wordt voor deze uitgerold wordt.u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003e
Veilige hosting-omgeving
u003cspan class=u0022TextRun SCXW222002953 BCX9u0022 lang=u0022NL-NLu0022 xml:lang=u0022NL-NLu0022 data-contrast=u0022autou0022u003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eWij maken gebruik van Microsoft u003c/spanu003eu003cspan class=u0022SpellingError SCXW222002953 BCX9u0022u003eAzureu003c/spanu003e u003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eals hostingpartij u003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eom u003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003ede u003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eapplicaties u003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003ete draaienu003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003e. Daarmeeu003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003e hebben u003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eweu003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003e in één klap een heleboel veiligheid geregeldu003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003e, zowel op het gebied van uitwijk en recovery als op het gebied van bescherming tegen aanvallen, u003c/spanu003eu003cspan class=u0022SpellingError SCXW222002953 BCX9u0022u003eransomwareu003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003e en bijvoorbeeld DDou003c/spanu003eu003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eSu003c/spanu003e u003cspan class=u0022NormalTextRun SCXW222002953 BCX9u0022u003eaanvallen.u003c/spanu003eu003c/spanu003eu003cspan class=u0022EOP SCXW222002953 BCX9u0022 data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003e
Project- en beheerteam dat ook op organisatie en proces niveau veilig is
u003cspan data-contrast=u0022autou0022u003eNaast alle technische beveiliging is het ook belangrijk dat je zakendoet met een organisatie die je kan vertrouwen. En dan niet alleen op de blauwe ogen van de manager, maar ook op een onafhankelijke controle van de organisatie. u003c/spanu003ernrnu003cspan data-contrast=u0022autou0022u003eWij zijn ISO-27001 gecertificeerd (voor het hele proces van ontwerp, tot bouw en van onderhoud tot beheer en ondersteuning), daarmee weet je zeker dat wij beveiliging op alle vlakken serieus nemen. Deze certificering bestrijkt namelijk niet alleen technische zaken, maar ook kennisopbouw, controlerende en ondersteunende processen (denk aan financiën en sales) en hoe we omgaan met het in dienst nemen van medewerkers. Dat betekent voor jou dat veiligheid in maatwerkontwikkeling en -beheer gegarandeerd is, een belangrijke zorg minder.u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003ernrnu003cspan data-contrast=u0022autou0022u003eWil je meer weten over hoe wij jouw organisatie kunnen helpen met software veilig(er) te maken en veilig te houden? Neem dan contact op met Erwin via onderstaande gegevens. u003c/spanu003eu003cspan data-ccp-props=u0022{u0026quot;201341983u0026quot;:0,u0026quot;335559739u0026quot;:160,u0026quot;335559740u0026quot;:259}u0022u003e u003c/spanu003e