OWASP-richtlijnen steeds belangrijker - hoe veilig is jouw digitale oplossing?

Blog
OWASP-digitale-oplossing-veiligheid

Voldoen aan de OWASP-richtlijnen is steeds vaker een harde eis bij het ontwikkelen van een digitale oplossing. We zien dit bij E-sites al regelmatig terugkomen in briefings. En dat is een logische ontwikkeling. Steeds meer organisaties zijn zich ervan bewust dat goede beveiliging voor een nieuwe website, platform of app heel belangrijk is. 

Staat beveiliging bij jou ook hoog op de agenda? Wil je weten wat de OWASP-richtlijnen precies zijn? Of ben je benieuwd hoe wij hier bij E-sites als digitaal bureau mee omgaan? Ik neem je er graag in mee in dit artikel.

 

Waar staat OWASP voor?

OWASP staat voor Open Web Application Security Project en is een soort online community met experts uit de digitale industrie. Binnen deze community worden procedures, artikelen, methodes, technieken, documentatie en tools ter beschikking gesteld, waarmee je een website, platform, online omgeving of andere digitale tool zo goed mogelijk beveiligt. Er wordt breed gekeken naar veiligheid, bijvoorbeeld op het gebied van architectuur, ontwerp, development, implementatie en gebruik.

Bij veiligheid voor software kun je denken aan weerbaarheid tegen hackers en het voorkomen van datalekken. Maar ook aan de waarborging van privacy. In de OWASP-lijst staan risico’s genoemd als authenticatiefouten, falende controle op rollen en rechten, configuratiefouten en onvoldoende logging en monitoring. 

Bij E-sites volgen we deze informatie over veiligheid nauwlettend, omdat de mogelijkheden tot het waarborgen van veiligheid maar ook de gevaren en risico’s, zich continu blijven ontwikkelen. We werken ook veel voor de zorg, en dus met patiëntgegevens. We willen onze klanten kunnen verzekeren dat dit soort data veilig is. Voor ons is het garanderen van veiligheid bij de ontwikkeling van digitale oplossingen dus heel belangrijk, een basisvoorwaarde. Om die reden voldoet E-sites ook al enige tijd aan de ISO Normering

 
 
OWASP-Open-Web-Application-Security-Project-digitale-tool-software-beveiliging

OWASP-top 10 - gevaarlijke informatiebeveiligingsrisico’s

Om de beveiliging van een digitale oplossing op orde te krijgen wordt vaak de OWASP-top 10 gebruikt. Dit is een ranglijst met de 10 gevaarlijkste beveiligingsrisico’s. Deze lijst is in 2003 voor het eerst verschenen en samengesteld door experts uit de digitale industrie. Het doel van deze lijst is het bewustzijn over het belang van goede security verhogen. De ranglijst wordt bijna jaarlijks bijgewerkt.

De OWASP-top 10 is een standaarddocument en voor iedereen beschikbaar. Het document wordt vooral gebruikt door developers, ICT-managers en security officers; personen die zich bezighouden met de veiligheid van software. Op basis van de OWASP Risk Rating Methodology wordt voor elk punt in de top 10 beoordeeld wat de zwakte, detecteerbaarheid en de exploiteerbaarheid is. En ook wat de de ernst van de gevolgen is, als je er niet goed mee omgaat in je digitale oplossing.

 

 

Waarom beveiliging altijd op je agenda moet staan

Zowel bij de start als tijdens de ontwikkeling van je project, dient de beveiliging van je digitale oplossing en data een belangrijk onderwerp op je agenda te zijn. Je ontkomt er simpelweg niet meer aan, als je er zeker van wil zijn geen onderdeel te worden van een cyberaanval. En wil voorkomen dat data op straat komen te liggen. Het is van belang in de samenwerking goed af te stemmen hoe we omgaan met de security- en privacyrichtlijnen in het project. Want ook al is de OWASP-top 10 vrij duidelijk omschreven, de richtlijnen zijn vrij interpreteerbaar. Vraag je twee specialisten hoe zij omgaan met een topic uit de lijst, dan kunnen hun antwoorden zomaar heel verschillend zijn. Terwijl de uiteindelijke uitkomst hetzelfde blijkt. Kortom; discussie ligt op de loer. 

Blijf dus met elkaar in gesprek gaan. Wat is er precies vereist? Wat vind jouw organisatie belangrijk? Wat zijn de standaard beveiligingswerkzaamheden van het digitale bureau waarmee je samenwerkt? En hoe interpreteren jullie de OWASP-richtlijnen? Door dit vooraf goed met elkaar te bespreken, zorg je er samen voor dat de digitale oplossing volledig voldoet aan de gestelde eisen. En dat iedereen zich kan vinden in de oplossingen die hiervoor gekozen zijn. 

 
 
beveiliging-cyber-security-OWASP-digitale-oplossing

Aanpak E-sites voor beveiliging van software

Als digitaal bureau stellen wij voor onszelf ook eisen voor beveiliging en de OWASP-richtlijnen.

Vulnerability-scan

Voordat we een feature of digitale oplossing live zetten, doen we altijd een Vulnerability-scan. Hier zetten we Acunetix voor in. Acunetix is OWASP-compliant en controleert bij de Vulnerability-scans dus ook op de OWASP-richtlijnen. Uit zo’n scan komen resultaten, op drie niveaus: risico; laag, gemiddeld en hoog. Bevindingen in de categorie hoog pakken we bij E-sites altijd op. Samen met opdrachtgevers beoordelen we of we ook risico’s in de lagere categorieën oppakken. 

Zo doen wij er zoveel mogelijk aan om het voldoen aan de OWASP te standaardiseren in onze eigen werkwijzen en processen. Maar om daadwerkelijk een oplossing te ontwikkelen die volledig voldoet aan de OWASP-richtlijnen, is een oordeel nodig van een externe gespecialiseerde auditing partij. Kies je hier als opdrachtgever voor, dan voert deze partij de audit uit en wordt er een rapport opgeleverd. Wij stemmen dan samen met die partij en jou als opdrachtgever af hoe we omgaan met de resultaten van een rapport. We gaan met elkaar in gesprek over ‘hoe veilig’ we de oplossing maken. Want er blijven altijd verbeterpunten. Maar met een audit is iedereen er zeker van dat een oplossing voldoet aan de geldende standaarden. En dat is prettig!

beveiliging-cyber-security-OWASP-digitale-oplossing

Beveiliging data met classificatiematrix

Voor het veilig omgaan met data, maken we gebruik van een classificatiematrix. Dit is een matrix die inzichtelijk maakt of de informatie die moet worden opgeslagen, publiekelijk, vertrouwelijk of geheim is. Op basis hiervan wordt de juiste encryptie van de data bepaald.

Een gescheiden OTAP-omgeving

E-sites werkt met een gescheiden OTAP-omgeving. Dit betekent dat we voor de verschillende fases van de softwareontwikkeling de technische omgeving geschikt ingericht hebben. OTAP staat voor Ontwikkel-, Test-, Acceptatie- en Productieomgeving. De Ontwikkel- en Testomgeving zijn voor ons als bureau. De Acceptatie- en Productieomgeving voor jou als opdrachtgever. Op deze manier werken onze developers alleen met dummy-data. Wij hoeven dan niet binnen jullie omgeving te komen. En dat betekent dat alleen jullie in jullie eigen omgeving omgaan met belangrijke data, die voor ons niet beschikbaar zijn. 

OTAP-omgeving-software-data-belangerijke-data

Softwarebeveiliging: nooit klaar

Ben je klaar na het doorvoeren van de OWASP-richtlijnen? Nee, helaas. Zo eenvoudig is het zeker niet. Want ook al heb je hiermee goede stappen gezet, klaar ben je met beveiliging eigenlijk nooit. Er liggen altijd weer nieuwe gevaren op de loer. 

Kies je ervoor om je platform te laten auditen op veiligheid door een externe partij? Ook dan rekenen we op een verbeterrapport. Maar door goede afstemming en gecreëerde ruimte in het project voor beveiliging, is de kans erg groot dat er uit dit rapport geen grote issues meer komen. Een hele geruststelling dus. Met de eventuele kleine issues die naar voren komen, kun je direct aan de slag. Of je besluit ze op de backlog te zetten voor je volgende sprint. Want de waarborging van veiligheid is iets dat je blijvend aandacht verdient, iets waar je continu aan sleutelt. Beveiliging is nooit klaar.

 
softwarebeveiliging-OWASP-richtlijnen-beveiliging-software

Meer weten over OWASP, beveiligingsrisico’s of oplossingen?

Wil jij een veilige digitale oplossing ontwikkelen? De veiligheid van jouw oplossing controleren? Of heb je een andere vraag over de OWASP-richtlijnen of de waarborging van veiligheid? Laat zeker van je horen! Ik praat er graag met je over door.