Veiligheid: Preventieve maatregelen

Risicoanalyse

Veiligheid begint met weten waar de risico’s liggen. Daarom is een zorgvuldige risicoanalyse altijd belangrijk om het veiligheidsproces mee te beginnen. Daarbij wordt ook stilgestaan bij de soort gegevens die beschermd moeten worden. Gaat het bijvoorbeeld om een informatieve website of worden er vertrouwelijke documenten gedeeld? De risico’s van webapplicaties zijn zeer verschillend en veiligheidseisen tellen voor de ene applicatie zwaarder dan voor de ander.

Om een beeld te geven van veel voorkomende risico’s noemen we een aantal voorbeelden:

• Out-of-date software door het niet regelmatig uitvoeren van updates.
• Veiligheidslekken in gebruikte of verouderde software.
• Niet versleutelde data versturen.

Specifieke risico’s die voor sommige webapplicaties gelden kunnen zijn;

• Vervuilde gebruikersdata, bijvoorbeeld door toegang voor gebruikers die geen klant meer zijn.
• Gevoelige documenten die uitsluitend door specifieke gebruikers gedownload mogen worden.
• Teveel onnodige data opslaan, waardoor een veiligheidslek kan ontstaan.

Tijdens een risicoanalyse wordt er per webapplicatie in kaart gebracht waar de aandachtspunten zitten. Aan de hand daarvan worden er op maat preventieve veiligheidsmaatregelen genomen. Het uitvoeren van een risicoanalyse gebeurt tijdens de ontwikkelfase van een webapplicatie, maar ook periodiek. Zeker wanneer we een webapplicatie nog doorontwikkelen, veranderen de veiligheidsrisico’s mee.

Regelmaat en procedures

Zoals tijdens het vorige onderwerp al even genoemd werd, veiligheid is een doorlopend proces. Het internet blijft in beweging en de risico’s schuiven daarin mee. Eenmalig een veilige website bouwen is helaas niet voldoende om ook op de lange termijn de veiligheid te waarborgen. Hiervoor zijn gestroomlijnde procedures nodig die periodiek worden uitgevoerd en zorgvuldig worden nageleefd. Zoals het maken van back-ups en het updaten van server en applicatie. Het continu op de hoogte zijn van wat er speelt is hierbij essentieel. Snel reageren op ontwikkelingen en gemelde kwetsbaarheden in gebruikte technieken, of het direct reageren op veiligheidsupdates is onmisbaar voor de veiligheid van webapplicaties. Periodieke monitoring, oftewel het toezicht houden op het functioneren van een webapplicatie, is een belangrijk aspect van het waarborgen van de veiligheid. Hier zullen wij in een toekomstig artikel nog een uitgebreid op terugkomen. 

Testen en kwaliteitsbewaking

Na het uitvoeren van een risicoanalyse en het naleven van periodieke procedures ontstaan de meeste veiligheidsrisico’s toch door menselijke fouten. Daarom is het belangrijk dat de veiligheid van een webapplicatie altijd door meerdere personen gecontroleerd wordt. Het laten uitvoeren van code review door verschillende developers of het laten uitvoeren van testen zijn onmisbaar om veiligheid in een webapplicatie te kunnen waarborgen. Alle updates en aanpassingen dienen zorgvuldig getest en gecontroleerd te worden. Het uitvoeren van dit soort veiligheidstesten gebeurt in een testomgeving, voordat een update daadwerkelijk online gaat in een productieomgeving. Hoe risicovoller een project, hoe veelzijdiger deze testen worden uitgevoerd. Bij een gevoelige case zullen er strengere testmaatregelen getroffen worden zoals het gebruik maken van geautomatiseerde testen en het opstellen van een testplan. 

Veiligheid is voor ons een belangrijke waarde. Met onze code richtlijnen en beleid voor kwaliteitsbewaking proberen we deze waarde te betrachten. De doorontwikkeling en handhaving van veiligheid zal altijd één van onze hoogste prioriteiten zijn. 

Lees meer over onze veiligheidsmaatregelen.