IT diensten

IT Beheer

IT advies

Cloud computing

Security

Maak kennis

UW ICT & IT vragen bespreken?

IT diensten

IT Beheer

IT advies

Cloud computing

Security

Over ons

Contact

Blog

Maak kennis

UW ICT & IT vragen bespreken?

juni 05, 2023
By: Iwan Boutkan

Security by Design

We zijn steeds meer afhankelijk van onze digitale middelen wat als gevolg heeft dat cybersecurity een van de belangrijkste onderwerpen geworden is. Het beschermen van gegevens, apparaten en systemen tegen kwaadwillende aanvallen kan en mag niet onderschat worden. We horen steeds meer de term Security by Design. Maar wat is dat nou precies en hoe wordt dat toegepast? Middels deze blog zullen we de belangrijkste punten over Security by Design benoemen en aangeven waarom dat zo belangrijk is

Cloud computing

Wat is security by design?

Security by Design is het principe dat de beveiliging vanaf het allereerste begin wordt meegenomen bij het ontwerpen van ICT systemen, denk hierbij aan infrastructuur, software en applicaties. De beveiliging is vanaf de start van het ontwerp onderdeel van het ontwerpproces. Door het volgen van deze proactieve aanpak zorgt je ervoor dat je de risico’s op beveiligingslekken en kwetsbaarheden kan minimaliseren. Het achteraf implementeren van beveiligingsmaatregelen is risicovol en kostbaarder.

Beveiliging wordt daardoor in het fundament van het ontwerp van een ICT systeem (infrastructuur, software en applicaties) opgenomen. Door de beveiliging op dezelfde manier mee te nemen als de ontwikkeling van functionaliteit, gebruiksvriendelijkheid en schaalbaarheid van deze ICT systemen  wordt er altijd rekening gehouden met potentiële bedreigingen en aanvallen met als doel de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te waarborgen van het te ontwikkelen ICT systeem.

Welke principes gebruikt security by design?

  • Minimaliseer kwetsbaarheden: Beperk het aantal kwetsbaarheden en ingangen die kunnen worden gebruikt door kwaadwillende. Verwijder bijvoorbeeld onnodige functionaliteit, implementeer toegangscontroles en beperk externe afhankelijkheden.
  • De standaardinstellingen zijn veilig: Als je het ICT systeem standaard installeert of in gebruik neemt is deze direct veilig. De standaardinstellingen zijn daar uit principe al opgericht. Dit houdt in dat functies m.b.t. beveiliging standaard ingeschakeld zijn. Als er toegang tot deze beveiliginstellingen nodig is moeten deze rechten apart verleend worden.
  • Sterke authenticatie en autorisatie: Het ontwerp maakt gebruik van sterke methoden voor authenticatie en autorisatie. Het gebruik van sterke wachtwoorden, 2-factorauthenticatie en het principe van “least privilege”, dat wil zeggen dat gebruikers alleen de rechten binnen het ICT systeem krijgen die ze nodig hebben om hun taak uit te kunnen voeren.
  • Beveiligde communicatie: De communicatie, zowel intern als extern, wordt versleuteld om ervoor te zorgen dat gegevens niet kunnen worden onderschept of aangepast door kwaadwillende. Gebruik SSL/TLS-protocollen voor web verkeer en beveiligde netwerkverbindingen.
  • Continuïteit en herstel: Het ontwerp moet gericht zijn op het herstellen van beveiligingsincidenten om de impact te minimaliseren. Het regelmatig maken van back-ups van gegevens en het mogelijk maken van faillover technieken worden meegenomen in het ontwerp.

Waarom is security by design belangrijk?

Helaas horen we steeds vaker dat cybercriminelen overheden, bedrijven en personen als doelwit hebben. Door het toepassen van de Security by Design principes, vanaf het begin in het ontwerpproces beveiliging te integreren, worden veel potentiële beveiligingslekken en kwetsbaarheden voorkomen. Het vergroot ook het vertrouwen van klanten en gebruikers voor de veiligheid van hun ICT systemen (infrastructuur, software en applicaties) als ze weten dat het ontworpen is met deze principes.

Wanneer een organisatie getroffen wordt door een beveiligingsincident kan dat aanzienlijke schade aanrichten aan de organisatie zoals reputatie, financiële schade, juridisch conflict en het verliezen van klanten. Door zelf Security by Design toe te passen of laten toepassen door uw ICT leverancier kunnen organisaties proactief risico’s beperken.

Zoals je begrijpt is Security by Design een steeds belangrijkere benadering geworden voor het ontwikkeling van ICT systemen (infrastructuur, software en applicaties) omdat cyberdreigingen steeds meer toenemen. Door beveiliging vanaf het begin te integreren in het ontwerpproces kunnen organisaties de risico’s vooraf minimaliseren en de bescherming van gegevens beter waarborgen.

Wanneer is security by design belangrijk?

Hieronder volgen een aantal voorbeelden wanneer het toepassen van Security by Design van groot belang is:

  • Software en applicatie ontwikkeling: Neem in het ontwerp en de architectuur mee het vermijden van kwetsbaarheden zoals onjuiste invoervalidatie, onveilige gegevensopslag en authenticatie
  • IoT-apparaten: Met het toenemen van Internet of Things (IoT) is het belangrijk om de beveiliging te integreren in de ontwerpfase omdat deze apparaten vaak zijn verbonden met netwerken. Denk aan beveiligde communicatieprotocollen, sterke authenticatie en het minimaliseren van het aantal mogelijkheden waar kwaadwillende toegang kunnen krijgen tot het ICT systeem.
  • Netwerkinfrastructuur: Wanneer je een netwerkinfrastructuur ontwerpt en implementeert zoals firewalls, routers en switches, is Security by Design van groot belang. Het zorgen en borgen van de juiste configuratie(s), het segmenteren van het netwerk, het gebruik maken van sterke wachtwoorden en zorgen dat de bijbehorende firmware en software regelmatig van de juiste updates worden voorzien moeten worden meegenomen om de beveiliging te kunnen blijven waarborgen.
  • Cloud computing: Ook hier is Security by Design van groot belang. Wat voorbeelden van beveiligingsmaatregelen waar je bij het ontwerpen en implementeren rekening mee houdt zijn bijvoorbeeld; beveiligde toegangscontroles, het versleutelen van gegevens, het beheren van sleutels en het zorgen van de juiste scheiding van gegevens (data) tussen de verschillende gebruikers en organisaties die samenwerken.
  • Uw werkwijze , bedrijfsprocessen: Het gaat niet altijd direct om ICT systemen (infrastructuur, software of applicaties) maar ook over de werkwijze van het bedrijf, bedrijfsprocessen. Door het bedrijfsproces op te nemen in security by design worden beveiligingsmaatregelen opgenomen voor bijvoorbeeld de manier waarop gegevens worden verwerkt, toegangsrechten worden beheerd en vertrouwelijkheid wordt gehandhaafd. Zo kunnen ook deze risico’s worden beperkt.

Wanneer het bescherming van gegevens, systemen, apparaten en gebruikers een belangrijke prioriteit heeft moeten we dus zeggen dat security by design van groot belang is.

Hoe weet ik of security by design is toegepast?

Om te bepalen of security by design is toegepast, zijn er verschillende stappen die je kunt nemen:

  • Documentatie; Bekijk de ontwerpdocumenten en overige documentatie van het ICT systeem (infrastructuur, software of applicatie). Daarin kunnen de beveiligingsmaatregelen, beveiligingsrisico’s, ontwerprichtlijnen en beveiligingsdoelstellingen benoemd worden. Wanneer je dat in de documentatie tegenkomt is de kans groot dat er security by design is toegepast.
  • Vraag het na; Ga het gesprek aan met uw leverancier, ontwikkelaar of met de ontwerper die verantwoordelijk is voor het ICT systeem (infrastructuur, software of applicatie). Zij zouden je aan de hand van je vragen kunnen vertellen welke maatregelen ze hebben genomen voor welk type beveiligingsrisico tijdens het ontwerpen van het ICT systeem. Richt je vragen dan bijvoorbeeld op de maatregelen die betrekking hebben op; authenticatie, autorisatie, databescherming etc.
  • Architectuur beoordelen; Veel systemen hebben een architectuur document of architectuur plaat. Door het bestuderen en analyseren van de architectuur van het ICT systeem (infrastructuur, software of applicatie) kan je goed bepalen of de beveiliging in de ontwerpfase is meegenomen. Je kan dan zien of er op de verschillende beveiligingslagen maatregelen geïmplementeerd zijn. Denk hierbij aan versleutelingsmechanismen voor gegevens, toegangscontroles, demilitarized zones (DMZ) en hoe je het kan bewaken (monitoren).
  • Testen en beoordelen; Laat je ICT systeem (infrastructuur, software of applicatie) beoordelen en of testen door beveiligingsprofessionals. Denk hierbij aan penetratietesten en het laten controleren van de code op bekende kwetsbaarheden. Door dit te doen kan je de mate van beveiliging van het ICT systeem beoordelen.
  • Normen en certificering: Vaak worden er bepaalde beveiligingscertificeringen of normen gegeven aan het ICT systeem, hiermee kan je zien dat er een bepaald niveau van beveiliging is gerealiseerd voor het ICT systeem (infrastructuur, software of applicatie). Denk hierbij aan normen of certificeringen zoals ISO 27001, SOC 2, PCI DSS, HIPAA, GDPR, enzovoort. Let op, indien een ICT systeem gecertificeerd is wil dat niet zeggen dat ze het ontworpen hebben met de principes van security by design, maar ze geven wel een duidelijk beeld van de beveiligingsmaatregelen die geïmplementeerd zijn.

Security by design advies nodig?

Sta je als bedrijf op het punt om bijvoorbeeld je ICT infrastructuur te vernieuwen? Of wil je nieuwe software of een app laten ontwikkelen? Neem vrijblijvend contact op, Nedops kan je cybersecurity risico’s vooraf reduceren door advies, zo weet je dat er tijdens het ontwikkelen gelet wordt op de belangrijkste principes van Security By Design. Ook voor andere vragen m.b.t. ICT/IT zoals werken in de cloud, security, Microsoft 365 en hybride of on-premise infrastructuren kan je natuurlijk gewoon bij ons terecht.

Wilt u eerst meer lezen? Kijk dan op onze Security pagina. Neem gerust en vrijblijvend contact op, wij staan u graag te woord!

TAGS: cloudsecurity, ICT-security, IT-security, security, security-by-design

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Volg ons op LinkedIn