Blog

security vs innocatie

Security vs innovatie: tussen development en wet- en regelgeving

Security hoeft innovatie niet in de weg te staan. Hoe overbrug je het spanningsveld tussen development en wet- en regelgeving? Hoe zorg je ervoor dat het niet security vs innovatie is, maar security én innovatie? Dit artikel is een samenvatting van onze seminar ‘Innoveren én voldoen aan strenge veiligheidsstandaarden: het kan!’. Je vindt de seminar ook in dit artikel.

SNELHEID EN FUNCTIONALITEIT

Snelheid, complexiteit, anything as code, grip, privacy, veiligheid, zorgplicht, klantgedreven ontwikkeling. Als je kijkt naar huidige organisatie ontwikkel methodieken dan is eigenlijk alles vanaf dag 1 gericht op snelheid. Alles automatiseren zodat je sneller en zonder handmatige tussenkomst nieuwe versies van je applicaties kan uitrollen. Zodat je zoveel mogelijk tijd overhoudt om datgene te doen wat je belangrijk vindt: functionaliteit toevoegen voor je klanten.

BELANG VAN SECURITY NEEMT TOE

Tegelijkertijd leven we in een wereld waar veiligheid steeds belangrijker wordt. Het is meer in het nieuws en ook de overheid heeft de neiging om die veiligheid steeds meer in regels te willen drukken. Maar ook allerlei normeringen die je je feitelijk worden opgelegd. Hoe voorkom je dat dat een soort molensteen wordt voor je ontwikkeling?

RUIMTE IN DE REGELS

Alleen aan de regels voldoen omdat het moet, is zinloos. Het niet slim integreren van deze regels in je ontwikkelproces zorgt dat er veel handmatige processen en andere obstakels om de hoek komen kijken. Toch hoeft niet alles negatief te zijn. De normen en regels zijn er niet voor niks. Het doel is dat je een vertrouwensrelatie aangaat met je klanten, dat zij weten dat je hun data veilig is, dat je processen in je bedrijf hebt om die veiligheid te borgen. Dat je accepteert dat 100% veiligheid niet bestaat, maar dat je niet accepteert dat je er niet alles aan hebt gedaan om misbruik tegen te gaan. Er is een bepaalde mate van vrijheid hoe je bijvoorbeeld de NEN 7510 norm implementeert. Je bent vrij om te bepalen hoe je dat regelt, en hoe je het slim invult.

WAT LEVERT HET VOLDOEN AAN NORMERINGEN EN REGELS JE OP IN DE PRAKTIJK?

Stel dat je een datalek hebt waarbij identiteitsbewijzen op straat komen te liggen. Je hebt 5.000 klanten en je weet, ‘ja er was een fileserver, daar stond iets op open, je kon in principe een paspoort downloaden.’ Maar je weet niet of het ook gebeurd is en, zo ja, van wie. Dan is er geen andere optie dan al je klanten vertellen dat er een kans is dat hun ID op straat ligt en dat er kans is op identiteitsfraude. Terwijl je eigenlijk wilt weten voor welk deel van je klanten het van toepassing is. Hoe preciezer je onderzoek uitvoert naar wat er gebeurd is, hoe beter en effectiever je met je klanten over het lek kan communiceren en aan de wet kan voldoen. Dat is op zijn minst schadebeperkend.

Je kan dan afvragen hoe het gebeurd is. Wie zet er dan ook een fileserver open? Dat gebeurt vaak niet expres, maar dat is een menselijke fout. Dat kan door iedereen gebeuren. Het gaat erom dat je een ecosysteem hebt, waarin dat naar voren komt. Dat jouw systeem je eigenlijk vertelt: ‘Let op, daar gebeurt wat vreemds. Er zijn allerlei gebruikers die geen token hebben, die opeens paspoorten kunnen downloaden. Daar is iets aan de hand!’ Hoe eerder je kan ingrijpen, hoe beter.

Kan je als organisatie accepteren dat je fouten maakt, dat er veiligheidslekken zijn? Maar kan je dan ook accepteren dat je daar in de basis wel wat aan moet doen?

LIEVER DE WEBINAR BEKIJKEN OVER SECURITY VS INNOVATIE? BEKIJK HEM HIER:

HOE LOS JE HET SPANNINGSVELD TUSSEN SECURITY VS INNOVATIE OP?

Als compliance officer of CISO moet je ervoor zorgen dat veiligheid meeloopt in het ontwikkelproces. Het feit dat je veilig en compliant wilt zijn, moet intrinsiek aanwezig zijn binnen de organisatie. Niet achteraf, maar tijdens.

VAN PLICHT NAAR TOOL

Hoe ga je van het moeten voldoen, naar het willen voldoen? Door het in het proces te integreren spreek je eigenlijk van DevSecOps. Probeer een stukje slimme automatisering van compliance en regelgeving mee te nemen in je ontwikkelproces. Denk aan automatische logreview, automatische opvolging van incidenten. Maar ook een dashboard, waar je aan niet IT-ers kan laten zien hoe je er aan voldoet.

CYSO DESIGN PRINCIPLES: PRIVACY, SECURITY EN COMPLIANCY BY DESIGN

Hoe kan je vanaf het begin nadenken over privacy, security en compliancy? Dat begint met een stukje basishygiëne. Zorg dat je up-to-date bent: niet alleen je laptop, maar ook je hosting omgeving en software. Richt disaster recovery in en doe integrity checks van je code. Weet je waar je kwetsbaarheden zijn en welke risico’s er zijn? Heb je malware en anti-virus detectie ingeregeld? Wat denk je van access management?

Natuurlijk is deze lijst niet volledig, denk ook aan:

  • Central logging vanaf het begin
  • End-to-end encryption
  • Het toevoegen van business logica toe aan de security rules
  • OWASP Top 10

GEBRUIK SLIMME TOOLING

Gebruik een monitoringsysteem dat (deels geautomatiseerd) analyse doet op alle gegevensuitwisseling van je applicatie. Maar ook waar je een stukje business logica op kan toepassen. Zo behoedt het systeem je niet alleen voor standaard technisch gedreven zwakheden, maar ook misbruik door gebruikers. Bijvoorbeeld ingelogde gebruikers die verkeerde informatie opvragen of misbruik door een achterdeur, zoals een API.

HOE COMBINEERT CYSO SECURITY EN INNOVATIE? MACHINE LEARNING IN EEN WAF PLUS SIEM OPLOSSING

Cyso gebruikt machine learning in een slimme SIEM oplossing en combineert die met een WAF. Zo is Cyso in staat om incidenten geautomatiseerd te correleren. Zodat jij er niet 8000 incidenten moet bekijken, maar slechts 1. Vervolgens wordt het incident geautomatiseerd in jouw incident management systeem gezet. Misschien wil je wel dat een engineer er naar kijkt, dus dat het systeem er bijvoorbeeld een Slack bericht van maakt of een Jira issue. Dan maak je de compliance officer blij, want het is netjes in de juiste compliance tooling ingevoerd. Je bent effectief geweest doordat het geautomatiseerd is, en het gebeurt meteen. Je hoeft jouw engineer maar 1 incident te laten uitzoeken.

MEER WETEN OVER SECURITY EN INNOVATIE?

Heb je vragen of wil je meer weten? Neem dan contact met ons op.

Wil je op de hoogte blijven van de laatste ontwikkelingen op IT gebied. Meld je dan hier aan voor de nieuwsbrief.

Benieuwd naar de mogelijkheden? Let’s talk!

Cyso stories

Public cloud basishygiëne
03/02/2021

Public cloud basishygiëne met cloud operations

Public cloud basishygiëne: onze professionals zorgen ervoor dat alle onderdelen die uitmaken van jouw platform onderhouden worden, in het datacenter of in de public cloud.
04/04/2019

ISO- en NEN-certificeringen van Cyso Group verlengd

Kwaliteit is in onze beleving een absolute voorwaarde voor ons bestaansrecht. En dat sluit aan bij de ISO-/NEN-certificeringsgedachte.
21/04/2020

Container and Kubernetes Security rapport – vijf bevindingen

Het Amerikaanse StackRox heeft onderzoek gedaan naar de adoptie van Kubernetes en security de 5 opvallendste bevindingen uit het rapport.

Interesse in een van onze diensten?

Wat is je vraag? Neem nu contact met ons op.

Wil je dat wij contact met jou opnemen? Laat je gegevens achter en wij bellen je terug.

Cyso contact