‘Security is (ook) een kwestie van gewoon beginnen’

  1. 24 jul 2014
  2. 0 reacties
cover sogeti boek

IT-beveiliging is voor veel organisaties een onderwerp dat steeds vaker op de agenda van de directie staat. Maar, zo bleek tijdens een rondetafeldiscussie die Sogeti onlangs organiseerde, in de traditionele manier van software ontwikkelen zit onveiligheid als het ware ingebakken. Er is dus een andere manier van werken nodig. Die is er, meent Sogeti, en die levert bovendien een betere kwaliteit IT-projecten op.

Security is nog veel te vaak een set van maatregelen die achteraf aan een IT-project wordt toegevoegd. Fout, meent Marinus Kuivenhoven, senior security specialist bij Sogeti. Beveiliging - of beter gezegd: een veilig product opleveren - dient volledig in de manier van werken van de IT-afdeling te zijn verweven.

Nationale IT-Security Monitor

Kuivenhoven was een van de sprekers tijdens een rondetafelsessie die Sogeti onlangs voor een aantal klanten organiseerde. Andere sprekers waren Bernard Barbier, voormalig topambtenaar bij het Franse Ministerie van Defensie en verantwoordelijk voor alle security-activiteiten van Sogeti en Peter Vermeulen, directeur van Pb7 Research. Dit onderzoeksbureau heeft onlangs in samenwerking met onder andere Sogeti en Infosecurity Magazine de eerste editie van de Nationale IT-Security Monitor uitgevoerd. Waar Barbier een high-level overzicht gaf van de schade die security-incidenten voor maatschappij en bedrijfsleven opleveren, gaf Vermeulen een duidelijk inzicht in de houding van Nederlandse organisaties ten aanzien van IT-security, de maatregelen die zij tot nu toe genomen hebben en de acties die zij voor komende jaren op de planning hebben staan.

Enabler

Natuurlijk heeft security met technologie te maken, maar het is eerst en vooral een houding en een mentaliteit. Kuivenhoven gaf in zijn presentatie aan dat een IT-afdeling die bij een project veilig werkt, al snel zal ontdekken dat de voordelen daarvan veel verder gaan dan - zeg maar - ‘enkel en alleen’een betere beveiliging. Security is namelijk ook een ‘enabler’om tot een betere kwaliteit programmatuur te komen en dus tot een betere IT-aanpak.

Sneller leren

Kuivenhoven is een van de auteurs van het boek ‘Staying Ahead in the Cyber Security Game’ (pdf). Hierin wordt uitgelegd dat onveiligheid bij applicaties in de meeste gevallen onvermijdelijk is. Althans, als we software blijven ontwikkelen zoals we dat tot nu toe vaak doen. Voor een adequate security zorgen is namelijk niet een taak die we bij IT moeten neerleggen. Bovendien moeten we af van het idee dat we cybercriminelen kunnen tegenhouden door almaar meer technische maatregelen te nemen. Natuurlijk moeten we maatregelen blijven nemen als firewalls en intrusion detection-systemen implementeren, maar de auteurs stellen in hun boek fijntjes vast dat cybercriminelen sneller blijken te leren dan de IT’ers die de beveiligingsmaatregelen nemen. Er is dus meer nodig.

Verloren strijd

Security wordt gewonnen of verloren in de ontwerpfase. Dat is op zich geen nieuw gegeven, maar hoe brengen we dit idee nu in de praktijk? Daarover handelt het boek waarvan Kuivenhoven een van de auteurs is. Hij gaf aan dat we al een goede stap zetten door alles wat we bij een IT-project doen in twijfel te trekken, waarbij we zowel naar het te automatiseren proces moeten kijken als naar de techniek waarmee we dat doen. Iedere individuele stap in het te automatiseren proces dient onderzocht te worden op doelmatigheid, efficiëntie en dergelijke en dus ook op de mate waarin met deze processtap wellicht ook andere dingen tot stand gebracht kunnen worden dan de opdrachtgever bedoelde. Anders gezegd: security als integraal onderdeel van het ontwerp van proces én applicatie.

Betere software

Een hier logisch uit voortvloeiend advies is dan uiteraard om IT-projecten in veel kleinere deelprojecten op te delen. Daarmee blijft het project overzichtelijk en zien we veel sneller de effecten van onze acties - ook die op het gebied van veiligheid. Dat leidt ook direct tot een betere kwaliteit software. We worden immers direct geconfronteerd met de consequenties van de aanpak die we hebben gekozen. Met andere woorden: met onze eigen acties en handelingen nog vers in het geheugen zien we de resultaten daarvan. Herstellen of verbeteren is dan veel makkelijker en leidt tot veel betere resultaten. Een dergelijke aanpak levert dus niet alleen veilig(er) software op, maar ook software van een betere kwaliteit.

Robbert Hoeffnagel