Applicatiebeveiliging: 3 aandachtspunten voor de business

  1. 3 sep 2019
  2. 0 reacties
Marc van Ierland

Marc van Ierland, Director Advanced Solutions bij Tech Data

In een wereld waarin software domineert, is applicatiebeveiliging belangrijker dan ooit. Informatietechnologie speelt daarbij een cruciale rol, maar minstens zo belangrijk is de sturing die ‘de business’ geeft aan securitymanagement. Wat zijn op dat vlak de belangrijkste bakens die helpen de organisatie in het juiste spoor te houden? 

Applicatiebeveiliging kent vele facetten. Het bestaat uit software, hardware en beleidsmaatregelen die de applicaties beschermen. Vanuit de techniek gezien loopt dat van ‘security by design’ in de ontwikkelfase tot aan de inzet van Web Application Firewalls (WAF’s), vulnerabilityscanners en Cloud Access Security Brokers (CASB’s) voor reeds draaiende (web)applicaties. 

Maar wat zijn de maatregelen die bovenaan het lijstje van de business horen te staan als het om applicatiebeveiliging gaat? Hier een top 3: 

  1. Investeer in security-awareness

Het belang van een goede security-awareness binnen alle geledingen van een organisatie staat buiten kijf. Er is in de loop der jaren al veel lippendienst aan bewezen. De vele geslaagde hacks gebaseerd op ‘social engineering’ laten echter keer op keer zien dat medewerkers doorgaans nog veel te weinig op hun hoede zijn. Ze geven inloggegevens voor belangrijke bedrijfsapplicaties soms kinderlijk eenvoudig prijs. Het is dan ook belangrijk om medewerkers te waarschuwen voor gevaren als phishing. 

Maar security-awareness kent nog veel meer aspecten die voortdurende aanscherping en training verlangen, ook bij het C-levelmanagement. Want hoe vaak komt het niet voor dat de security van een applicatie te wensen overlaat doordat het bedrijfsmanagement de snelheid van oplevering veel belangrijker vindt dan de veiligheid ervan? 

En denk als CTO of CISO vooral niet dat de nieuwe DevOps-aanpak de security verbetert. Dat bereik je alleen door DevOps en security bewust in elkaar te schuiven (DevSecOps). Bijvoorbeeld door ervoor te zorgen dat developers en securitymensen veel vaker – en vooral op het juiste moment – contact met elkaar hebben én elkaars taal leren spreken. Alleen zo bereik je dat security deel uitmaakt van iedere fase van het ontwikkelproces. Ook dát soort inzicht hoort bij een doortimmerde security-awarenessaanpak. 

  1. Zorg voor een geïntegreerde verdediging

Een tweede aandachtspunt is een geïntegreerde verdedigingsaanpak. Het gros van de moderne applicaties bestaat uit een veelvoud van losse componenten. Die onderdelen draaien allemaal in een eigen omgeving met eigen eisen en communiceren via infrastructuren die zich zowel in de cloud als in het eigen datacenter bevinden. Dat alles beveiligen, is een hele klus waarvoor een flexibele set eenvoudig te beheren verdedigingstools nodig is die goed met elkaar integreren. 

unsplash kantoor

Geheel zelf doen, is in deze geen optie meer. In de praktijk zie je dan ook dat doorgaans twee wegen worden bewandeld: óf bedrijven richten zélf hun applicatiebeveiliging in op basis van de grote, geïntegreerde securityplatformen van bijvoorbeeld IBM of Cisco, óf stappen voor applicatiebeveiliging over op de diensten van een moderne Managed Security Service Provider (MSSP). Een MSSP heeft er zijn vak van heeft gemaakt om zo’n set van geïntegreerde verdedigingstools (‘best of breed’) zelf samen te stellen uit het rijke aanbod van bekende securityleveranciers zoals Check Point, Trend Micro, RSA en Sophos. 

  1. Vergeet de noodscenario’s niet

Noodscenario’s zijn je laatste reddingsboei. Want iedere security-expert zal het beamen: hoe goed je je applicatiebescherming ook inricht, het gaat geheid een keer mis. Professioneel securitymanagement houdt ook rekening met dát scenario en maakt substantiële resources vrij voor het opstellen van gedetailleerde draaiboeken wat te doen om zo snel mogelijk weer terug in business te zijn. 

Ook dat moet geïmplementeerd worden op alle niveaus van de organisatie. Elke medewerker moet in dat geval zijn rol kennen en daarvoor getraind zijn. Bijkomend voordeel: prioriteit nummer één, de security-awareness, wordt hierdoor bij iedereen nog eens extra versterkt.