September 10, 2024

De termen Security by Design en Security by Default komen steeds vaker op de proppen wanneer het gaat om de strijd tegen cybercriminaliteit. Wat is dit en waarom is dit nodig?

Lucratieve cyberaanvallen

Cybercriminelen blijven op zoek naar bronnen van inkomsten en zij voeren steeds vaker cyberaanvallen uit. Dit is lucratief omdat de beveiliging helaas regelmatig faalt. Ransomware is bijvoorbeeld momenteel big business. Enerzijds door datalekken en anderzijds door het overnemen van systemen. Tegelijk komen er steeds meer computers die met internet verbonden zijn. Denk bijvoorbeeld aan cloud en IoT. Dit maakt de ‘speeltuin’ voor cybercriminelen alleen maar groter.

Menselijk falen

Als we kijken naar hoe beveiliging faalt, zien we dat het meeste volgt uit de ‘human factor’: menselijk falen. Voorbeelden van menselijk falen zijn bijvoorbeeld: onbedoelde softwarefouten (door mensen geprogrammeerd), configuratiefouten (ook door mensen gedaan) of incorrect handelen (als gevolg van social engineering). Het spreekt voor zich dat hoe meer grip een bedrijf heeft op de oorzaak van falen, hoe kleiner de kans wordt dat het falen zich daadwerkelijk voordoet. Processen naar een hoger volwassenheidsniveau brengen, kan volgens geaccepteerde normen zoals bijvoorbeeld het Capability Maturity Model (CMM). De veranderprocessen in de Software Development Life Cycle (SDLC) kunnen naar geaccepteerde normen als bijvoorbeeld Secure Software Development (SSD) groeien. De combinatie van enerzijds volwassenere processen en anderzijds beter programmeren en configureren levert Security by Default op.

Procesvolwassenheid

Wat zijn hierbij de processen en waarom zijn die er? Een bedrijfsproces dient vanzelfsprekend een bedrijfsdoel. Het nut van het proces is dat de inspanning die geleverd moet worden vaststaat en er niet steeds opnieuw bedacht hoeft te worden wat de benodigde inspanningen zijn om het bedrijfsdoel te behalen. Een ander nut van een proces is dat je hierin op een dwingende manier zaken kunt opnemen. Bijvoorbeeld om de kwaliteit van het resultaat op een zeker niveau te krijgen of te houden, aan wetgeving te voldoen en natuurlijk voor beveiliging. Weer een ander nut is dat processen meetbaar zijn op aspecten als kwaliteit, kwantiteit, compliance en security. Dit geeft de bedrijfsleiding inzicht in kosten, efficiency en effectiviteit van het proces. Hoe meer van deze aspecten je vastlegt en onderdeel maakt van het vastgelegde, uitgevoerde en gemeten proces, hoe volwassener het proces en de organisatie is. Het CMM-model (Capability Maturity Model) kent vijf volwassenheidsniveaus voor processen: informeel, beheerst, vastgesteld, voorspelbaar en optimaal. In iedere opvolgende stap komt er meer herhaalbaarheid en zekerheid in het proces.

Veilige software

Wat is dan veilige software? Er zijn meerdere manieren om softwarebeveiliging te verbeteren. Testen is een veelgebruikte, goede manier om kwetsbaarheden te ontdekken maar dit is reactief. De voorkeur gaat uit naar een preventieve inspanning, dus eerder in het ontwikkelproces. Nog beter is curatief. Curatief is gericht op anders omgaan met het totale ontwikkelproces, vanuit een ander gezichtspunt. Hetzelfde doen geeft immers hetzelfde resultaat. Dit betekent dat security in alle processen en systemen het uitgangspunt en geïmplementeerd onderdeel is van het geheel. Iedere organisatie heeft ongeacht de projectmethodiek ongeveer dezelfde stappen in het ontwikkelproces: 

  • Initiatie
  • Requirements
  • Ontwerpen
  • Bouwen
  • Uitrollen
  • Onderhouden (inclusief een verbeterproces)

Veilige bedrijfsvoering

Security by Default ontstaat door alle processen naar een hoger volwassenheidsniveau te brengen en tegelijk in alle fasen alle security-uitgangspunten van de bedrijfssecurity policy in te richten. Alles tegelijk veranderen is niet haalbaar maar is ook niet nodig aangezien steeds per procesfase de volwassenheid gemeten kan worden. Vervolgens volgt een plan en uitvoering om de volwassenheid één stap te verhogen. Op deze wijze kan stapsgwijs en beheerst de organisatie naar een Secure by Default-status groeien.

Erwin
Erwin Riemersma