Cyber security, van uitgesteld probleem naar integrale ontwikkeling

De makkelijkste doelwitten voor cyberaanvallen zijn applicaties waarin er tijdens het ontwikkelproces weinig of geen aandacht aan beveiliging is besteed. Desondanks lijkt security binnen veel ontwikkelteams een optionele eis te zijn, in plaats van een basisvereiste van een goede applicatie. Dit lijkt vooral te komen door een groot tekort aan securityspecialisten. Maar hoe kan, ondanks dit kennistekort, security toch onderdeel zijn van een ontwikkeltraject? In dit artikel zoomen we hierop in.

De huidige situatie

In de huidige markt besteden applicatie-ontwikkelteams haar securitywerkzaamheden vaak uit aan securityspecialisten. Dit wordt onderschreven, doordat we zien dat organisaties erin slagen om één securityspecialist voor honderd applicatieontwikkelaars te hebben. Dit zijn te lage aantallen om alle ontwikkelteams voldoende te ondersteunen in de huidige manier van werken. In z’n algemeenheid is dit een kostbare, maar ook risicovolle strategie. Door securityspecialisten pas in de eindfase van een ontwikkelproces te betrekken loopt een applicatie onnodig risico op voorkombare kwetsbaarheden. Daarnaast zorgen de uitkomsten van een (te) late controle ervoor dat een applicatie niet naar productie kan. Hierdoor worden er te regelmatig concessies aan de veiligheid (“dat repareren we later wel”), met een technische c.q. security schuld als gevolg die mogelijk maar blijft groeien.

SALT Cyber Security

Haal het maximale uit bestaande investeringen op cybersecuritygebied.

Lees verder over Salt

De gewenste situatie

Ondanks de huidige situatie is er een uitweg: de eerste stap hierin is door de securityspecialist veel eerder bij het team te laten aansluiten. Dit zorgt voor meer aandacht voor het onderwerp alsmede ruimte voor de specialist, die geen stapels met controle to-do’s meer heeft. Door de druk op de individuele experts te verlagen, ontstaat er ruimte om een securityprogramma op te stellen. Iets waarmee over de gehele linie veiligheid sterker gegarandeerd kan worden.

Inhoudelijk wordt er hiermee ook een brug geslagen tussen ontwikkel- en securityteams. Waarin securityspecialisten de ontwikkelaars faciliteren met het inrichten van securityactiviteiten door het hele software-ontwikkelproces heen. Bij voorkeur zoveel mogelijk geautomatiseerd. Ontwikkelaars krijgen de feedback van securityactiviteiten gelijk tijdens het bouwen. Hiernaast leren zij van de securityspecialisten hoe die specifieke activiteiten vervolgens opgelost moeten worden. .

Benieuwd hoe beveiliging sterker geïntergreerd zou kunnen worden in de ontwikkel processen van uw applicatie?