+31 35 543 1000 info@kza.nl

Security Services

sep 6, 2016 | KZA Blogs, Security

Security begint bij jezelf.

Bij KZA Security Services komen regelmatig vragen over het testen van security. Veelal in de vorm van een penetratietest. Wanneer we dan een kwetsbaarheid (vulnerability) vinden, krijg ik wel eens de vraag ‘Hoe hadden we dit nou kunnen voorkomen?’ Voorkomen is namelijk een stuk beter dan genezen.

SDLC

Security begint eigenlijk zoals elk project: op papier. Nou zullen de meeste IT’ers bekend zijn met een ‘Software Development Life Cycle’ (SDLC). Dit is de manier waarop je een applicatie ontwikkeld, van het begin tot het eind. Op welke manier je ook ontwikkeld, vaak zit daar een aantal universele fases in: Planning en requirements, coderen en testen. De huidig standaard voor SDLC is bij jullie wellicht beter bekend als ‘Agile’. Wij houden van agile. Agile zorgt er namelijk voor dat je regelmatig en vroeg feedback krijgt op je product. En door parallel te coderen en te testen kan er snel geschakeld worden. We vinden bugs eerder en kunnen sneller, beter, en goedkoper een product naar de markt brengen. IT blij, business blij, iedereen blij. Bye bye curve van Boehm. Right?

WRONG! Wat je nog vaak ziet is dat er één onderdeel compleet buiten scope gelaten wordt.  Security! Wanneer de applicatie bijna live gaat, wordt er dan nog ‘eventjes’ een penetratie test uitgevoerd, want je moet toch wat met security. In het slechtste geval wordt er een ernstig lek gevonden dat veroorzaakt wordt door een foutje in de architectuur. Terug naar de tekentafel. Doet dit je ook zo denken aan de ouderwetse waterval ontwikkeling?

SSDLC

Gelukkig betekent dit dat de oplossing ook voorhanden is: in een vroeg stadium beginnen met security en regelmatig feedback ophalen over de veiligheid van je applicatie. Dit noemen we ook ‘Secure Software Development Life Cycle’ (SSDLC). Hierbij is security verweven in het ontwikkelproces. Iedereen is zich bewust van security (secure aware), risico analyses worden uitgevoerd, er worden security requirrments geschreven, er wordt op security getest en security is opgenomen in de Definition Of Done.

Dit proces begint bij een bewustwording. Vraag de volgende sprint planning eens wat de security requirements zijn voor een bepaalde story. Of breng een story in puur gebaseerd op het verbeteren van de informatie veiligheid. Wanneer deze vragen regelmatig gesteld worden, en security op het gezamenlijke netvlies zit van je team dan ben je een heel eind.

Het adresseren van security alleen al, zorgt voor onderscheidend vermogen. Het stellen van de juiste vragen is iets waar KZA veel waarde aan hecht. Onze 8+ testspecialisten worden daarom ook allemaal getraind in security en het testen van de (algehele) veiligheid van een applicatie. Bewustwording is de helft van het werk. De Romeinen zeiden niet voor niets al: Een veiligere applicatie begint bij jezelf.

Wil jij ook secure aware worden? KZA organiseert 14 september een kennissessie over security, waarin we je alle basics bijbrengen en hands on aan de slag gaan met hacken. Je kan je opgeven via chogerhuis@kza.nl