Schade voorkomen met veilige software
Informatiebeveiliging is een belangrijk speerpunt. Data die over je klanten en processen gaat dient natuurlijk met de grootste zorg beschermd te worden. Maar een hack kan ook zorgen voor financiële schade, wanneer je website onbereikbaar is en je omzet misloopt. Daarnaast bestaat er het risico op imagoschade. Als het vertrouwen in je organisatie geschaad wordt, kan je daar tot op lange termijn nog schade van ondervinden.
Veilige software ontwikkelen
Veiligheid en betrouwbaarheid zit in ons DNA. We werken onder andere voor organisaties in de zorg en financiële wereld, waar veiligheid prioriteit nummer één is. Vanaf de start van elk project zorgen wij dat de beveiliging van de applicatie van het hoogste niveau is.
Het verantwoordelijkheidsgevoel hiervoor is dan ook bij al onze medewerkers verankerd. Daarnaast heeft onze security officer verstand van alle wet- en regelgeving op het gebied van informatiebeveiliging. Hij zorgt ervoor dat alle facetten van informatieverwerking in de organisatie worden overzien én ziet welke impact deze informatie kan hebben op processen, mensen of derden. Uiteraard moet de security officer ook bekend zijn met alle relevante wet- en regelgeving. Daarnaast wordt nog verwacht dat hij/ zij verstand heeft van fysieke, technische en organisatorische beveiligingsmaatregelen en dus kan inschatten of afdoende maatregelen zijn genomen.
Security by design
Security by design betekent dat je tijdens het ontwerp van een nieuwe applicatie of ICT-omgeving rekening houdt met de beveiliging van persoonsgegevens. En dus niet zoals nu het geval is: dat er weinig aandacht aan wordt besteed en achteraf patches toegepast moeten worden. Beide zijn wettelijke verplichtingen waaraan in het GDPR voldaan moet worden. Bedrijven moeten security by design en security by default aan kunnen tonen. Die plicht is onderdeel van het accountability en compliancy beginsel waar het GDPR op gestoeld is.
Naast de veiligheid van applicaties, zijn wij en onze datacenters ISO20071, ISO9001 en NEN7510 beveiligd. Deze normen tonen aan dat we informatiebeveiliging hoog in het vaandel hebben staan.
Veiligheidsrisico’s voor software
Als softwareontwikkelaars nemen wij verschillende maatregelen om software te beveiligen. De non-profit organisatie OWASP (Open Web Application Security Project) beschrijft tien belangrijke richtlijnen voor deze beveiliging:
Injection
Injection gaat over het injecteren van niet-geverifieerde data door een hacker. Deze data kan commando’s uitvoeren of hackers toegang verschaffen tot gegevens.
Broken Authentication
In het geval van Broken Authentication worden Authenticatiecontrolemechanismes niet correct geïmplementeerd waardoor een identiteit door iemand anders overgenomen kan worden.
Sensitive Data Exposure
Vaak zijn applicaties onvoldoende ontwikkeld op het beschermen van gegevens. Hierdoor kunnen persoonsgegevens, documenten en autorisatiegegevens gestolen of gewijzigd worden.
XML External Entities (XXE)
Vaak staan verouderde XML-verwerkers het laden van externe entiteiten toe. Kwaadwillenden kunnen dan toegang krijgen tot lokale bestanden, of DoS-situaties creëren.
Broken Access Control
Broken Access Control houdt in dat gebruikersrechten niet of de juiste manier staan ingesteld. Hierdoor kunnen hackers gebruikersrechten wijzigen, waardoor je zelf geen toegang meer hebt tot de applicatie.
Security Misconfiguration
Wanneer een web- of applicatieserver gedateerd is kan dit ook tot onveilige situaties leiden. Een goede beveiliging vereist een juiste configuratie.
Cross-Site Scripting (XSS)
Een XSS-injectie vindt plaats wanneer een applicatie gegevens zonder filtering naar een browser stuurt. Dit stelt hackers in staat om websites te beschadigen.
Insecure Deserialization
Insecure Deserialization ontstaat wanneer een applicatie onveilig objecten converteert. Hackers kunnen op afstand de applicatie aanpassen.
Using Components with Known Vulnerabilities
Wanneer componenten zoals frameworks en libraries gebruikt worden die in eerste instantie veilig lijken, maar later toch onveilig blijken, kan dit leiden tot dataverlies.
Insufficient Logging & Monitoring
Hierbij wordt onvoldoende bijgehouden of er ongeautoriseerde handelingen hebben plaatsgevonden. Dit geeft aanvallers de mogelijkheid om voor een langere periode aanvallen uit te voeren.
