sfeerbeeld security afdeling netvlies

Waarom security een vast onderdeel van onze projecten is en hoe we dit aanpakken

datum

auteurHugo van Velzen

De laatste jaren is de bewustwording rondom beveiliging van persoonsgegevens toegenomen. Met bijvoorbeeld de nieuwe AVG-wet als gevolg. Bij elke oplossing die wij voor onze klanten bouwen, of het nu om een website, webshop of webapplicatie gaat, spelen (persoons)gegevens en security een rol. Wij vinden het belangrijk om vanaf de start van een project ook te starten met de implementatie van de juiste security maatregelen. In dit blog leg ik uit waarom dit belangrijk is en hoe we dit aanpakken.

Collega's in overleg over website security

Als security niet vanaf het begin wordt meegenomen, is de kans groot dat een oplossing niet voldoet aan alle wet- en regelgeving en er achteraf ‘iets voor de security’ wordt ingericht. Je bent dan afhankelijk van wat je al hebt gebouwd en moet achteraf nog maatregelen implementeren, wat vaak lastig is als bepaalde keuzes al zijn genomen. In de markt wordt de term ‘security by design’ dan ook vaak gebruikt om aan te geven dat er vanaf het begin rekening wordt gehouden met security. Zodra je website, webshop of webapplicatie live is, moet je de genomen security maatregelen blijven monitoren en updaten. Als je aan het begin niet alles goed hebt weggezet, blijf je mogelijk doorbouwen op een slechte basis.

Onze aanpak

Voordat we met een project aan de slag gaan, gaan onze DevOps engineers met de klant in gesprek. Samen stemmen we af wat de minimale security-eisen zijn. Zelf hebben we een aantal basiseisen vastgelegd op het gebied van servers, monitoring en compliancy:

  • we werken met de meest up-to-date versie van het platform en de server;
  • de oplossing heeft een TLS certificering en de juiste security headers;
  • we leggen vast hoe we periodiek onderhoud aan het platform en de server verzorgen;
  • we leggen vast hoe we de oplossing periodiek testen;
  • we leggen vast hoe we omgaan met verkeer dat niet op de oplossing thuishoort;
  • we leggen vast hoe we omgaan met ddos aanvallen;
  • we kijken hoe we aan de security protocollen van jouw business kunnen voldoen;
  • we leggen vast aan welke wet- en regelgeving moet worden voldaan door Netvlies en de klant;
  • en we leggen vast hoe we bewaken dat we hieraan blijven voldoen.

We hebben in deze fase nog geen code geschreven, maar een fundament gelegd waarmee we de security in de basis goed kunnen wegzetten.

Platform keuze

We bespreken altijd met onze klant welk type oplossing we gaan bouwen en voor welk platform we kiezen. We brengen de zwaktes en sterktes van het platform in kaart. Vervolgens kijken we hoe zwaktes kunnen worden ondervangen en zorgen we dat sterktes ook sterktes blijven.

Gegevens

De volgende stap is kijken naar de gegevens. Welke gegevens worden op de oplossing verzameld en hoe lang en op welke manier bewaren we deze. Zelfs bij een simpel contactformulier, bijvoorbeeld met alleen naam en e-mailadres, moet de security goed ingericht zijn. Waarom verzamel je de gegevens, hoe verzamel je ze, hoe lang bewaar je de gegevens en hoe sla je ze op (bijvoorbeeld encrypted). Dit zijn belangrijke vragen waar je, voor je het formulier gaat bouwen, over na moet denken. Bij een zorginstelling heb je te maken met gevoelige data zoals BSN-nummers en gegevens over medicatie en gezondheidstoestand. Vanwege koppelingen tussen systemen, de kans op een lek of hack en de in impact hiervan, moet deze gevoelige data goed beveiligd worden. Je moet voorkomen dat mensen bij deze gegevens kunnen komen en als ze er dan toch bij kunnen, wil je dat ze niks met de gegevens kunnen doen. Daarom zijn hier andere maatregelen vereist dan bij een tuinmeubelen webshop. Ditzelfde geldt voor een webapplicatie met HR-gegevens, want ook hier heb je te maken met uitgebreide persoonsgegevens.

Wet- en regelgeving

Met onze klanten bespreken we ook aan welke wet- en regelgeving moet worden voldaan en hoe we de security op basis hiervan moeten en kunnen inrichten. Wij zijn geen experts in alle wet- en regelgeving binnen elke denkbare branche. Daarom werken we samen met inhoudelijke experts van de klant. Door hier samen over te sparren worden beide expertises, en daarmee krachten, gebundeld. Uiteindelijk zijn klanten zelf verantwoordelijk voor het correct toepassen en voldoen aan wet- en regelgeving van hun branche. Netvlies helpt en ondersteunt klanten as-a-service om hierover na te denken en dit te bereiken. We gaan met elkaar in gesprek en scheppen basisvoorwaarden waaraan de security van een oplossing moet voldoen zonder dat de werking in het geding komt.

Testen

Voordat we de oplossing gaan bouwen, leggen we vast hoe we de oplossing tijdens en na het bouwen gaan testen, welke kritieke processen we testen en hoe vaak.

Automatisch testen

Tijdens het bouwen van een oplossing worden automatische testen uitgevoerd waarbij de code wordt getest. Hierdoor kunnen we telkens als een nieuw stukje van de oplossing is ontwikkeld, zien of dit geen gevolgen heeft voor de security. Zo hebben we vooraf mogelijke security issues inzichtelijk en kunnen we hier meteen op anticiperen. Ook na de livegang kunnen we door middel van automatische testen blijven volgen of de security op orde is.

Pentest

Tijdens een pentest faken we een aanval om te zien of we zelf beveiligingsissues tegenkomen. Mocht dit het geval zijn, dan kunnen we deze dichten voordat iemand met slechte bedoelingen ze vindt.

Monitoring na de livegang

Als een oplossing live staat, betekent dit niet het einde van het security traject. We blijven actief monitoren op vooraf vastgestelde parameters. Dit doen we om mogelijke zwakheden makkelijker en sneller te herkennen. Hier kunnen we dan weer op anticiperen. We monitoren standaard een aantal zaken:

  • verkeer dat er niet mag zijn;
  • ddos aanval;
  • actieve crawlers;
  • TLS certificering, wat voor type certificaat, hoe lang is deze geldig en wanneer wordt hij vervangen;
  • security updates van platform en servers;
  • en of de security nog voldoet aan de nieuwste standaarden en regels.

Daarnaast kunnen in overleg met de klant een aantal kritieke processen meegenomen worden in de monitoring.

Na de livegang blijven we aanspreekpunt voor onze klanten. Bij nieuwe of wijziging in wet- en regelgeving gaan we weer samen aan tafel. Wat houden de wijzigingen in en hoe moeten we deze toepassen?

ISO certified

Netvlies is ISO27001:2013 certified en voldoet hiermee aan een aantal eisen rondom informatiebeveiliging. Deze certificering heeft ons relevante inzichten opgeleverd in onze processen, waardoor we makkelijker en beter kunnen monitoren en bijsturen. Inzichten die we gebruiken in onze adviezen aan klanten en de hierboven beschreven aanpak.

Een sterk fundament

Dankzij onze aanpak kunnen we samen met onze klanten een sterk fundament wegzetten, bewaken en up-to-date houden. Plannen om een website, webshop of webapplicatie te laten bouwen? Wellicht helpt onze aanpak hierbij. Wij denken natuurlijk ook graag met je mee. [/text][/vc_column][/vc_row]

 

Waarom stoppen met lezen...

Collega analyseert de continuïteit

blog

Wat business continuity betekent voor de veiligheid van jouw website

Lees de blog
websiteapplicatie sfeerbeeld

blog

Hoe updates en upgrades ervoor zorgen dat je software langer mee gaat

Lees de blog
Tester aan het werk.

blog

Waarom je je website, webshop of webapplicatie beter kunt laten testen door een tester

Lees de blog