Security by design

In de praktijk worden apps en websites vaak gewoon ontwikkeld en wordt er pas nadat het helemaal fout gaat, zoals recent bij testenvoorjereis.nl, nagedacht over beveiligingsrisico’s.

En dat terwijl de gevolgen van zo’n lek veel verder gaan dan mogelijke boetes vanuit de Autoriteit Persoonsgegevens. Denk bijvoorbeeld aan het verlies van autoriteit en geloofwaardigheid, het gevaar voor je concurrentiepositie en de risico’s die je gebruikers lopen als hun informatie in de verkeerde handen valt. Een datalek is de nachtmerrie van elke organisaties die met privacygevoelige informatie werkt. Alle reden dus om dit goed aan te pakken.

Daarom werken we bij Alion volgens het security by design principe. Dat betekent dat we van het startpunt van de ontwikkeling van jouw app of website al nadenken over de veiligheid ervan. Dat doen we aan de hand van wettelijke eisen, onze eigen aandachtspunten en richtlijnen en de zogenaamde OWASP top 10. We horen je denken: dat klinkt goed, maar wat betekent dat in de praktijk?

Allereerst natuurlijk dat de veiligheid van privacygevoelige gegevens van jouw gebruikers bij Alion in goede handen is. Dankzij onze ruime ervaring met het ontwikkelen van apps, websites en tools weten we alles over de bijbehorende kwaliteits- en veiligheidseisen. Veel veiligheidsmaatregelen pakken we inhouse op en wat we niet zelf kunnen besteden we, in overleg met jou, uit aan specialisten.

Bij aanvang van het project voeren we een security assessment uit. Na een schematische beschrijving van het ontwerp bepalen we waar de zwakheden zitten. Dat doen we aan de hand van een aantal vragen. Op basis van de antwoorden maken we een risico analyse waarmee we bepalen welke bedreigingen (threats) verminderd moeten worden. Om ervoor te zorgen dat de beveiliging van jouw app of website up-to-date blijft herhalen we zo’n security assessment periodiek.

Voordat we jouw oplossing opleveren laten we een zogenaamde pen-test uitvoeren. Tijdens zo’n pen-test gaan ethical hackers aan de slag om de kwetsbaarheid van jouw app of website te onderzoeken. Dat begint met het in kaart brengen van je systemen en aanvalsoppervlak. Vervolgens proberen de ethische hackers binnen te dringen, alsof ze kwaad willen. Lukt dit, dan gaan ze na welke privacygevoelige informatie kwaadwillende hackers zouden kunnen stelen. Zo leren we hoe en waar jouw app of website beter beveiligd moet worden. Ook deze test herhalen we periodiek.

Daarnaast zorgen we met behulp van programma’s zoals Secrethub dat aan een site gekoppelde secrets ten behoeve van encryptie, API access, ssl etc. op een veilige manier bewaard worden.

Natuurlijk zorgen we ook op organisatieniveau voor de nodige maatregelen. Zo zorgen we voor een goed securitybeleid en awareness. Daarbij kun je denken aan onze securitypolicy en bijvoorbeeld het gebruik van password management zoals 1Password en Lastpass. Aan onze leveranciers stellen we duidelijke eisen zodat ook in interactie met leveranciers de veiligheid gewaarborgd is.

Door onze organisatie in te stellen op het op peil houden van de veiligheid ben jij verzekerd van de bescherming van privacygevoelige gegevens van jouw gebruikers. Vanuit onze ervaring met sites, tools en applicaties voor de financiële en farmaceutische sector hebben we ruime ervaring met de kwaliteits- en veiligheidseisen. Lees meer over de veilige en robuuste technologie die Alion gebruikt.