In een wereld waar software de basis vormt van bijna elk bedrijf, is beveiliging geen keuze meer, maar een must. Bij Blis Digital weten we dat als geen ander. Al bijna 20 jaar ontwikkelen we software voor web, mobile, cloud en AI. We gebruiken zowel full code als low code om op maat gemaakte oplossingen te bouwen. En hoewel technologie zich razendsnel blijft ontwikkelen, zijn veel security-risico’s van twintig jaar geleden nog steeds actueel. Elk jaar komen er nieuwe dreigingen bij, wat vraagt om een sterke, toekomstgerichte aanpak. Daarom is Secure Software Development (SSD) de kern van hoe wij werken en dé manier om veilige en duurzame software te maken. In deze blog vertel ik je hoe we dat aanpakken en welke stappen we volgen om veilige software te ontwikkelen.
De evolutie van softwarebeveiliging
In de afgelopen twintig jaar zijn cyberbedreigingen flink toegenomen. Neem bijvoorbeeld de OWASP Top-10, een lijst van veelvoorkomende kwetsbaarheden die sinds 2004 blijft groeien. Sommige risico’s zijn door de jaren heen verminderd. Zo was CSRF (Cross-Site Request Forgery) – een aanval waarbij een kwaadwillende gebruiker een slachtoffer misleidt om onbedoelde acties uit te voeren op een website waar diegene is ingelogd – ooit een groot probleem. Gelukkig hebben moderne webbrowsers en webapplicatie-frameworks dit risico effectief ingeperkt. Toch blijven veel beveiligingsproblemen hardnekkig terugkeren. Dit benadrukt dat goede beveiliging verder gaat dan het inzetten van een paar tools of tijdelijke oplossingen. Het vereist constante aandacht, expertise en een gestructureerde aanpak in elke fase van softwareontwikkeling.
Natuurlijk helpen tools zoals SAST (Static Application Security Testing) en AI-oplossingen zoals GitHub Copilot om sneller veilige software te bouwen. Maar zonder de juiste mindset en een goed proces, blijven er altijd kwetsbaarheden. Beveiliging is een cultuur die diepgeworteld moet zijn in elk ontwikkelteam.
Wat is het ‘Grip op Secure Software Development’ raamwerk?
Bij Blis Digital werken we al jaren met het “Grip op Secure Software Development” (SSD) raamwerk. Dit raamwerk, ontwikkeld door het Centrum Informatiebeveiliging en Privacybescherming (CIP), helpt bedrijven om software veilig te maken. Hoewel het framework niet meer actief wordt bijgewerkt, zijn de kernprincipes nog steeds actueel en waardevol.
Het SSD-raamwerk is opgebouwd rond drie pijlers:
- Contactmomenten: Vaste momenten tijdens het ontwikkelproces om de beveiliging te evalueren en bij te sturen.
- Standaard beveiligingseisen: Een set van eisen die als basis dient voor elke softwareontwikkeling.
- Grip op SSD-processen: Processen om risico’s bij te houden, beveiligingseisen up-to-date te houden en de beveiligingsaanpak van het team te verbeteren.
Dit raamwerk biedt een handige structuur zonder dat het onze manier van werken beperkt. Het helpt ons de juiste balans te vinden tussen veiligheid en flexibiliteit.
Ik licht hieronder de drie pijlers verder toe.
1. Contactmomenten: Veiligheid altijd op de agenda
Bij Blis Digital integreren we veiligheid vanaf het begin van elk project. We volgen vijf cruciale contactmomenten om ervoor te zorgen dat de software voldoet aan alle vereisten:
- Opstellen van beveiligingseisen: Voordat er ook maar een regel code wordt geschreven, analyseren we de risico’s en stellen we beveiligingseisen op.
- Code reviews: Regelmatige code-controles om kwetsbaarheden vroegtijdig te vinden.
- Security testen: Gedurende het project voeren we beveiligingstesten uit om te verifiëren of de software voldoet aan de eisen
- Acceptatie van risico’s: Soms kunnen niet alle beveiligingseisen direct worden geïmplementeerd. In dat geval bespreken we welke risico’s acceptabel zijn.
- Pentesten: Voordat de software in productie gaat, laten we penetratietesten uitvoeren om te controleren op kwetsbaarheden.
2. Standaard Beveiligingseisen: Een basis om op te bouwen
Door standaard beveiligingseisen in projecten te gebruiken, creëren we consistentie en hoeven we niet telkens dezelfde maatregelen opnieuw te bedenken. Onze baseline bestaat uit normen en best practices zoals OWASP ASVS (Application Security Verification Standard) en ISO/IEC 27002. Deze standaarden helpen ons om vanaf het begin beveiliging in te bouwen in het ontwerp van onze software. Zo helpt OWASP ASVS ons om veelvoorkomende kwetsbaarheden, zoals SQL-injecties waarbij aanvallers kwaadaardige code kunnen invoeren, te voorkomen. ISO/IEC 27002 biedt daarnaast richtlijnen voor zaken zoals toegangsbeheer en het trainen van medewerkers op het gebied van beveiliging.
Een veilige ontwikkelomgeving is daarbij net zo belangrijk als de beveiliging in de software, omdat deze ervoor zorgt dat onze ontwikkelaars in een gecontroleerde en beschermde omgeving kunnen werken aan een betrouwbaar product.
Daarnaast hanteren we een classificatiesysteem gebaseerd op Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Dit helpt ons om de juiste maatregelen te selecteren op basis van de gevoeligheid van de gegevens en de impact van de software.
3. SSD Processen: Procesbeheer en continu leren
Beveiliging is geen statisch doel, maar een continu proces. De SSD-processen bij Blis Digital zijn gericht op het verbeteren van onze werkwijze. We voeren regelmatige risicoanalyses uit en houden onze beveiligingseisen actueel door nieuwe dreigingen in de gaten te houden. Onze processen zijn gestructureerd om onze organisatie naar een hoger volwassenheidsniveau te tillen, zoals beschreven in het Capability Maturity Model (CMM), een raamwerk dat helpt bij het beoordelen van de volwassenheid van processen binnen een organisatie.
Een belangrijk onderdeel hiervan is het regelmatig uitvoeren van Business Impact Analyses (BIA) en Privacy Impact Analyses (PIA). Door deze analyses periodiek uit te voeren, zorgen we ervoor dat we continu voldoen aan zowel onze beveiligingseisen als wettelijke vereisten, zoals de AVG. Dit stelt ons in staat om beveiligingsrisico’s en privacy-kwesties tijdig te identificeren en aan te pakken, waardoor onze aanpak steeds up-to-date blijft.
Beveiliging begint bij gezond verstand
Hoewel tools zoals SAST en DAST (Dynamic Application Security Testing) ons helpen om beveiligingseisen technisch te controleren, ligt de kern van goede beveiliging bij een grondige risicobeoordeling en gezond verstand. Soms kan de eenvoudigste oplossing, zoals het minimaliseren van dataopslag, het meest effectief zijn. Bijvoorbeeld, een ogenschijnlijk onschuldige functie zoals het exporteren van data naar Excel kan onbedoeld leiden tot datalekken als die data op meerdere computers terechtkomt.
Conclusie: Veiligheid als kernwaarde
Bij Blis Digital begrijpen we dat de digitale wereld vol risico’s zit, maar we zien het ook als onze verantwoordelijkheid om die risico’s beheersbaar te maken. Door veilige software te ontwikkelen, zorgen we ervoor dat onze klanten zich kunnen concentreren op hun kernactiviteiten zonder zorgen over beveiligingsproblemen.
Beveiliging is geen sprint, maar een marathon. Met een gestructureerde aanpak zoals SSD zorgen we ervoor dat we stap voor stap, met de juiste tools, in een veilige omgeving én met gezond verstand, veilige software kunnen blijven ontwikkelen. Want om software veilig te ontwikkelen, moet je software veilig ontwikkelen.
Meer weten?
Wil je meer weten over Secure Software Development? Neem dan gerust contact met ons op. We vertellen je er graag meer over. Je kunt hier alvast meer lezen over hoe wij software moderniseren.
