Redactie: Gerben de la Rambelje
Auteur: Shailendra Joeloemsing ● s.joeloemsing@dktp.nl
Het ontwikkelen van goede, veilige en gebruiksvriendelijke software blijkt anno 2015 nog steeds niet gemakkelijk te zijn. Natuurlijk is het onrealistisch om te verwachten dat we software kunnen ontwikkelen dat niet te hacken is. Niks is namelijk onbreekbaar. De uitdaging is om de kans op kwaadwillig misbruik zo klein mogelijk te maken.
Maar hoe bouw je nu ‘veilige’ software en hoe weet je nu of de software die je gebouwd hebt ook daadwerkelijk veilig is? Tegen iedereen die daar tegenwoordig slapeloze nachten van heeft, kan ik zeggen dat je niet de enige bent die momenteel druk worstelt met het bedenken van een oplossing op deze vraag.
Er zijn veel organisaties opgericht en initiatieven gestart die er voortdurend aan werken om software ‘veiliger’ te maken. Eén zo’n initiatief is de methode gericht op Secure Software Development (SSD), waarmee opdrachtgevers aantonen in hoeverre zij op de goede weg zijn met het ontwikkelen van veilige en gebruiksvriendelijke software.
Grip op SSD is het resultaat van marktbrede samenwerking tussen specialisten, opdrachtgevers en leveranciers, met als doel om gezamenlijk te zorgen voor adequaat beveiligde software. Het omvat een methode en een verzameling duidelijke en meetbare beveiligingseisen, alsmede trainingsmateriaal en contractteksten. De drie pijlers daarbij zijn:
1) standaard beveiligingseisen;
2) contactmomenten;
3) inrichten van SSD processen.
De SSD-methode verlangt van organisaties lef en daadkracht om invulling te geven aan informatiebeveiliging en privacy bescherming. Met SSD accepteer je geen zesjes cultuur en stel je eisen aan alle betrokkenen voor het optimaliseren van informatiebeveiliging en privacybescherming.
Steeds meer (overheid)organisaties implementeren de SSD-methode en beseffen dat de concrete en praktische handreikingen bijdragen tot een verbeterde kwaliteit en hoger volwassenheidsniveau.
Voordelen SSD methodiek
Het grootste voordeel van SSD is dat er vanaf het begin af aan heldere afspraken worden gemaakt over de gestelde beveiligingseisen
. SSD draagt ertoe bij dat men bewuster omgaat met gegevens en stimuleert dat alleen de juiste mensen toegang krijgen tot de voor hun bestemde informatie. Zo wordt voorkomen dat vertrouwelijke informatie onbedoeld gedeeld wordt.
Naast de functionele eisen vormen een gedegen risicoanalyse en privacybescherming een pijler in de methode. De bouwer, tester en klant weten dus vooraf waar het te leveren systeem aan moet voldoen.
Het gebruik van de methode en het inrichten van een dashboard zorgen voor meer duidelijkheid en overzicht voor het management. Het verantwoorden van de beveiliging wordt daarmee eenvoudiger. Door SSD toe te passen, wordt de schadekans steeds kleiner, wat in de loop van de tijd zou kunnen zorgen voor geldbesparing.
Wat kan een tester met deze informatie doen?
De voordelen van SSD lijken duidelijk, maar wat kun je met deze informatie als je als tester hiermee op een project aan de slag gaat?
Op het komende najaarsevenement van 14 oktober gaan de sprekers Arjan Janssen & Robert van der Veer, tijdens de avondsessie ‘SSD en de rol van de tester’ dieper in op de methode. De volgende onderwerpen zullen tijdens deze sessie de revue passeren: testopzet, beveiligingsnormen en Code Review. Aan het eind van de sessie weet jij als tester wat er van jou verwacht wordt binnen de SSD methode en heb je voldoende kennis opgedaan om op dit onderwerp in gesprekken aan te haken.
- Meer info over SSD: http://www.cip-overheid.nl/downloads/grip-op-ssd/
- Programma najaarsevenement 14 oktober: klik hier