menu
sluiten
terug naar overzicht
Erwin de Rijk, VX Company

Erwin de Rijk

+31 6 46 90 95 76


24/03/22

Drie randvoorwaarden voor veilige maatwerk applicaties

De bedreigingen in de wereld van IT zijn steeds vaker in het nieuws, en ieder persoon en ieder bedrijf moet zich daartegen beveiligen. Wij hebben recentelijk ons hele bedrijfsproces (van ontwerpen tot ontwikkeling en van beheer tot gebruikersondersteuning) op ISO 27001 niveau gecertificeerd. Hiervoor hebben wij ons gehele ontwikkel- en beheerproces weer eens extra onder de loep genomen. Vanuit deze ervaring wil ik in dit blog op hoofdlijnen aangeven wat hierbij komt kijken, en hoe wij binnen ons Project- en Beheerteam invulling geven aan informatiebeveiliging.

Veiligheid van software en IT-voorzieningen kun je vaak prima borgen door te kiezen voor betrouwbare leveranciers en netjes bij te blijven met updates. Als je een courante Microsoft Surface Laptop hebt, met virusscanner en firewall en deze netjes bijwerkt met Windows Update dan ben je al een heel eind op weg. Als je dan ook nog eens gebruik maakt van Office/Microsoft 365 met Multi-Factor Authenticatie dan is je werkplek tegen veel voorkomende bedreigingen beschermd. 

Voor op maat gemaakte applicaties is het een stuk complexer om deze software (vaak essentieel voor het primaire proces van de organisatie) veilig te maken en veilig te houden. Wij maken onderscheid tussen verschillende dimensies van veiligheid: 

  • Veilige software en componenten in deze software
    Op maat gemaakte software bestaat uit stukken broncode (door onze ontwikkelaars voor de klant geschreven) en uit componenten die ze gebruiken om de software te maken. Denk bij componenten bijvoorbeeld aan een functionaliteit om een bestand te ‘uploaden’, of aan functionaliteit waarmee je iets omzet naar een pdf-bestand. 
  • Veilige omgeving waar de software draait (de hosting)
    De omgeving waar de software op draait bestaat uit hardware (de echte servers, harde schijven en netwerkbekabeling), maar ook uit de ruimte waarin die servers staan (een datacenter of serverruimte in een pand). Ook vallen de verbindingen met de buitenwereld (en bijbehorende firewalls en netwerkbewaking) hier onder. 
  • Project- en beheerteam dat ook op organisatie en proces niveau veilig is
    De organisatie die de software maakt moet natuurlijk ook op proces- en mensniveau aandacht hebben voor veiligheid. Denk aan de oplossingen van Huawei of van Kaspersky waarvan we de organisaties erachter niet helemaal meer vertrouwen. 
Veilige software en componenten in deze software

Wij zorgen ervoor dat onze ontwikkelaars, architecten en testers over de juiste kennis beschikken om veilige software te ontwikkelen. Naast aandacht voor trainingen en certificeringen verzorgen we ook regelmatig kennissessies om iedereen van de laatste inzichten te voorzien.

De componenten die we gebruiken in de software worden (vooraf) door onze architecten beoordeeld op toekomstvastheid en veiligheid. Daarnaast bewaken we geautomatiseerd of er kwetsbaarheden worden gevonden in deze componenten. De controles doen we meerdere keren per dag voor alle componenten die ingezet zijn. De broncode die onze ontwikkelaars maken beoordelen we met geautomatiseerde controles op complexiteit, kwaliteit en veiligheid. Als hier iets niet goed is dan wordt de broncode niet opgeleverd, en als het wel goed is vindt er nog een handmatige QA-controle plaats door een andere ontwikkelaar of architect. 

Alle maatwerk software wordt ontwikkeld volgens het ‘vier ogen principe’, waarbij alle opgeleverde code door een tweede ontwikkelaar gereviewed wordt voor deze uitgerold wordt. 

Veilige hosting-omgeving

Wij maken gebruik van Microsoft Azure als hostingpartij om de applicaties te draaien. Daarmee hebben we in één klap een heleboel veiligheid geregeld, zowel op het gebied van uitwijk en recovery als op het gebied van bescherming tegen aanvallen, ransomware en bijvoorbeeld DDoS aanvallen. 

Project- en beheerteam dat ook op organisatie en proces niveau veilig is

Naast alle technische beveiliging is het ook belangrijk dat je zakendoet met een organisatie die je kan vertrouwen. En dan niet alleen op de blauwe ogen van de manager, maar ook op een onafhankelijke controle van de organisatie.

Wij zijn ISO-27001 gecertificeerd (voor het hele proces van ontwerp, tot bouw en van onderhoud tot beheer en ondersteuning), daarmee weet je zeker dat wij beveiliging op alle vlakken serieus nemen. Deze certificering bestrijkt namelijk niet alleen technische zaken, maar ook kennisopbouw, controlerende en ondersteunende processen (denk aan financiën en sales) en hoe we omgaan met het in dienst nemen van medewerkers. Dat betekent voor jou dat veiligheid in maatwerkontwikkeling en -beheer gegarandeerd is, een belangrijke zorg minder. 

Wil je meer weten over hoe wij jouw organisatie kunnen helpen met software veilig(er) te maken en veilig te houden? Neem dan contact op met Erwin via onderstaande gegevens.  

Delen

Meer weten over veilige maatwerk software?

Erwin de Rijk, VX Company
Neem contact op met Erwin de Rijk
overleg werknemers achter computer, vx company