Security vs innovatie: tussen development en wet- en regelgeving

Security vs innovatie: tussen development en wet- en regelgeving

17 September 2020 door in Development DevOps Security

Security hoeft innovatie niet in de weg te staan. Hoe overbrug je het spanningsveld tussen development en wet- en regelgeving? Hoe zorg je ervoor dat het niet security vs innovatie is, maar security en innovatie? Dit artikel is een samenvatting van onze seminar ‘Innoveren én voldoen aan strenge veiligheidsstandaarden: het kan!’. Je vind de seminar ook in dit artikel.

Snelheid en functionaliteit

Snelheid, complexiteit, anything as code, grip, privacy, veiligheid, zorgplicht, klantgedreven ontwikkeling. Als je kijkt naar huidige organisatie ontwikkel methodieken dan is eigenlijk alles vanaf dag 1 gericht op snelheid. Alles automatiseren zodat je sneller en zonder handmatige tussenkomst nieuwe versies van je applicaties kan uitrollen. Zodat je zoveel mogelijk tijd overhoudt om datgene te doen wat je belangrijk vindt: functionaliteit toevoegen voor je klanten.

Belang van security neemt toe

Tegelijkertijd leven we in een wereld waar veiligheid steeds belangrijker wordt. Het is meer in het nieuws en ook de overheid heeft de neiging om die veiligheid steeds meer in regels te willen drukken. Maar ook allerlei normeringen die je je feitelijk worden opgelegd. Hoe voorkom je dat dat een soort molensteen wordt voor je ontwikkeling?

Ruimte in de regels

Alleen aan de regels voldoen omdat het moet, is zinloos. Het niet slim integreren van deze regels in je ontwikkelproces zorgt dat er veel handmatige processen en andere obstakels om de hoek komen kijken. Toch hoeft niet alles negatief te zijn. De normen en regels zijn er niet voor niks. Het doel is dat je een vertrouwensrelatie aangaat met je klanten, dat zij weten dat je hun data veilig is, dat je processen in je bedrijf hebt om die veiligheid te borgen. Dat je accepteert dat 100% veiligheid niet bestaat, maar dat je niet accepteert dat je er niet alles aan hebt gedaan om misbruik tegen te gaan. Er is een bepaalde mate van vrijheid hoe je bijvoorbeeld de NEN 7510 norm implementeert. Je bent vrij om te bepalen hoe je dat regelt, en hoe je het slim invult.

Wat levert het voldoen aan normeringen en regels je op in de praktijk?

Stel dat je een datalek hebt waarbij identiteitsbewijzen op straat komen te liggen. Je hebt 5000 klanten en je weet, ‘ja er was een fileserver, daar stond iets op open, je kon in principe een paspoort downloaden.’ Maar je weet niet of het ook gebeurd is en, zo ja, van wie. Dan is er geen andere optie dan al je klanten vertellen dat er een kans is dat hun ID op straat ligt en dat er kans is op identiteitsfraude. Terwijl je eigenlijk wilt weten voor welk deel van je klanten het van toepassing is. Hoe preciezer je onderzoek uitvoert naar wat er gebeurd is, hoe beter en effectiever je met je klanten over het lek kan communiceren en aan de wet kan voldoen. Dat is op zijn minst schadebeperkend.

Je kan dan afvragen hoe het gebeurd is. Wie zet er dan ook een fileserver open? Dat gebeurt vaak niet expres, maar dat is een menselijke fout. Dat kan door iedereen gebeuren. Het gaat erom dat je een ecosysteem hebt, waarin dat naar voren komt. Dat jouw systeem je eigenlijk vertelt: ‘Let op, daar gebeurt wat vreemds. Er zijn allerlei gebruikers die geen token hebben, die opeens paspoorten kunnen downloaden. Daar is iets aan de hand!’ Hoe eerder je kan ingrijpen, hoe beter.

Kan je als organisatie accepteren dat je fouten maakt, dat er veiligheidslekken zijn? Maar kan je dan ook accepteren dat je daar in de basis wel wat aan moet doen?

Liever de webinar bekijken over Security vs Innovatie? Bekijk hem hier!


Meld je hier aan voor de live demo: Live demo SIEM WAF oplossing

Hoe los je het spanningsveld tussen security vs innovatie op?

Als compliance officer of CISO moet je ervoor zorgen dat veiligheid meeloopt in het ontwikkelproces. Het feit dat je veilig en compliant wilt zijn, moet intrinsiek aanwezig zijn binnen de organisatie. Niet achteraf, maar tijdens.

Van plicht naar tool

Hoe ga je van het moeten voldoen, naar het willen voldoen? Door het in het proces te integreren spreek je eigenlijk van DevSecOps. Probeer een stukje slimme automatisering van compliance en regelgeving mee te nemen in je ontwikkelproces. Denk aan automatische logreview, automatische opvolging van incidenten. Maar ook een dashboard, waar je aan niet IT-ers kan laten zien hoe je er aan voldoet.

Cyso design principles: Privacy, security en compliancy by design

Hoe kan je vanaf het begin nadenken over privacy, security en compliancy? Dat begint met een stukje basishygiëne. Zorg dat je up-to-date bent: niet alleen je laptop, maar ook je hosting omgeving en software. Richt disaster recovery in en doe integrity checks van je code. Weet je waar je kwetsbaarheden zijn en welke risico’s er zijn? Heb je malware en anti-virus detectie ingeregeld? Wat denk je van access management?

Natuurlijk is deze lijst niet volledig, denk ook aan:

  • Central logging vanaf het begin
  • End-to-end encryption
  • Het toevoegen van business logica toe aan de security rules
  • OWASP Top 10
  • Gebruik slimme tooling

    Gebruik een monitoringsysteem dat (deels geautomatiseerd) analyse doet op alle gegevensuitwisseling van je applicatie. Maar ook waar je een stukje business logica op kan toepassen. Zo behoedt het systeem je niet alleen voor standaard technisch gedreven zwakheden, maar ook misbruik door gebruikers. Bijvoorbeeld ingelogde gebruikers die verkeerde informatie opvragen of misbruik door een achterdeur, zoals een API.

    Hoe combineert Cyso security en innovatie? Machine learning in een WAF plus SIEM oplossing

    Cyso gebruikt machine learning in een slimme SIEM oplossing en combineert die met een WAF. Zo is Cyso in staat om incidenten geautomatiseerd te correleren. Zodat jij er niet 8000 incidenten moet bekijken, maar slechts 1. Vervolgens wordt het incident geautomatiseerd in jouw incident management systeem gezet. Misschien wil je wel dat een engineer er naar kijkt, dus dat het systeem er bijvoorbeeld een Slack bericht van maakt of een Jira issue. Dan maak je de compliance officer blij, want het is netjes in de juiste compliance tooling ingevoerd. Je bent effectief geweest doordat het geautomatiseerd is, en het gebeurt meteen. Je hoeft jouw engineer maar 1 incident te laten uitzoeken.


    Meld je hier aan voor de live demo: Live demo SIEM WAF oplossing


    Kwaliteit. Betrouwbaar. Betrokken.
    • 24/7 service support
    • Nederlandse datacenters
    • ISO 27001 gecertificeerd
    Bel me terug