Goede applicatiebeveiliging wordt steeds belangrijker bij softwareontwikkeling. Veilig bouwen én veilig (onder)houden zijn belangrijke aandachtspunten. Ook bij het bouwen met een low-code platform zoals OutSystems is vaak wat extra aandacht nodig voor security. Zeker wanneer applicaties gekoppeld worden aan de eigen IT-omgeving is gebruik van security monitoring software essentieel. Het is ook een must voor belangrijke certificeringen en compliance (zoals NIS2 en SOC 2). Om het veilig bouwen én veilig houden goed te waarborgen, werkt Synobsys voor klanten steeds vaker integraal samen met security kennispartner Defenced.
Integrale applicatiebeveiliging
Goede applicatiebeveiliging is gericht op meerdere aandachtsgebieden. Bijvoorbeeld technische veiligheidsgebieden (zoals authenticatie, autorisatie, versleuteling en scripting) bij de bouw en het latere onderhoud van applicaties. Maar ook (pen)testen, security monitoring en risicobewustzijn bij de gebruikers in de bedrijfsomgeving zijn belangrijke aandachtsgebieden. “Een vroegtijdige integrale benadering voorkomt dat er lekken of gaten ontstaan in de applicatie en het achterliggende IT-landschap. Want uiteindelijk kan iedereen met een pc, laptop of ander mobiel apparaat anderen onbedoeld toegang geven tot je bedrijfsnetwerk. Dat begint heel vaak met een phising mail die ‘toch ergens doorheen’ glipt”, schetst cyber security specialist Dennis van Halteren van Defenced.
Kijk naar de hele IT-omgeving
Het is een misverstand dat applicaties die gebouwd worden met een low-code platform en in de cloud gehost worden ook automatisch helemaal veilig zijn. De basisbescherming van bijvoorbeeld OutSystems-applicaties is inderdaad goed gewaarborgd, benadrukt Pim van Westen (senior consultant) van Synobsys. “Maar vaak worden in een IT-omgeving meerdere applicaties of systemen gekoppeld en dan is aandacht voor de totale omgeving ook essentieel. Bijvoorbeeld door security monitoring. Want monitoring van afzonderlijke IT-componenten geeft een te beperkt beeld. Daarnaast zijn er tijdens de bouw van applicaties belangrijke aandachtspunten waar een ontwikkelteam op moet letten. Daarom adviseren wij altijd minimaal één security specialist te betrekken bij het ontwikkelteam.”
Samenwerking in alle fases
Om applicatie security op alle gebieden en in verschillende ontwikkelfases goed te waarborgen, werken applicatieontwikkelaar Synobsys en de security experts van Defenced regelmatig samen. Een waardevolle samenwerking voor klanten omdat de zusterbedrijven elkaar perfect aanvullen binnen de House of Clouds groep. Samen hebben ze alles in huis om applicaties veilig te bouwen en onderhouden. Van Halteren: “Bovendien komen onze klanten sterk overeen, variërend van mkb-bedrijven en organisaties met zo’n 200 tot 7000 medewerkers.”
De samenwerking voor applicatiebeveiliging kan al beginnen in de ontwerpfase om te zorgen voor een goed én veilig ontwerp (security by design). Daarna kan Defenced in de productiefase onder andere bijdragen met ‘pentesting’ om zwakke plekken op te sporen. Na de lancering moeten applicaties ook veilig blijven. Dan is security monitoring waardevol om risico’s en afwijkend verkeer in de IT-omgeving en applicatie te signaleren. Ook helpen de security experts met security awareness (o.a. e-learning en phishing simulaties) en advies voor bijvoorbeeld beleid of technische security vraagstukken.
Security monitoring voor NIS2 & SOC 2
Naast de bescherming van bedrijfsnetwerken en bedrijfsdata kan goede applicatiebeveiliging en monitoring ook verplicht zijn voor certificeringen en compliance. Bijvoorbeeld voor de EU-richtlijn NIS2 (Network & Information Security) die bedoeld is om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Organisaties die data van klanten beheren, moeten vaak SOC 2 compliant zijn. Dit betekent dat zij strikte procedures hebben ingericht voor onder andere privacy- en informatiebeveiliging.
Wat er precies nodig is voor deze kwaliteitsstandaarden kan uiteraard verschillen per organisatie en IT-omgeving. Wanneer het gaat om applicaties die gebouwd zijn met een low-code platform zijn de hosting en koppelingen met de IT-omgeving belangrijke aandachtspunten. Draait een applicatie bijvoorbeeld in de OutSystems cloud en is er geen koppeling met het eigen IT-landschap dan kan applicatie security monitoring meestal volstaan (naast de compliance-layer OutSystems Sentry). Zijn er wel koppelingen of draait de applicatie op eigen systemen dan is naast applicatie security monitoring vaak ook monitoring van de hele IT-omgeving belangrijk.
Meer weten?
Wilt u meer weten over applicatiebeveiliging of de samenwerking tussen Synobsys en Defenced hiervoor? Neem dan contact op met Pim van Westen of Dennis van Halteren.
