Het is erg gemakkelijk gezegd tegen teams dat ze veilige software moeten opleveren veel moeilijker is de uitvoering van deze opdracht. Het opleveren van veilige software is in grote organisaties of organisaties die aan allerlei wet en regelgeving vallen soms een worsteling.
Teams in mijn omgeving zie ik ook worstelen met de vraag wat veilige software dan eigenlijk is. Als je streeft naar autonome teams zul je ze ook maximaal verantwoordelijk moeten maken voor de veiligheid van hun software en omgeving. Maar hoe kun je ze verantwoordelijk maken als je niet eens weet wat er allemaal speelt of als je niet weet hoe alle driecijferige afkortingen gerelateerd zijn aan elkaar. Ik maakte een eenvoudig overzicht van de meest belangrijke zaken.
Creating the software
Het maken van software is een proces waar veiligheid een cruciale rol speelt. Het 4-ogen principe voordat je code merged naar je master branch en Static Code Analysis gericht op secure code zijn twee belangrijke aspecten. Ik heb hierover diverse blogs geschreven (1.Drie belangrijke ingrediënten 2.Vijf reden voor Continuous Compliance)
Running the software and the environment
Als de software eenmaal in productie draait is het zaak dat je dit ook continu controleert. Een pentest gericht op je applicatie, database, middleware en infrastructuur kunnen je hier elk half jaar in ondersteunen. Continue je omgeving scannen met een vulnerability scanning geeft je inzicht in mogelijk zwakheden. (overigens moeten teams hier ook hun footprint proberen te minimaliseren, wat je niet gebruikt zet je uit).
Security Event Monitoring en Technical State Compliancy Monitoring zorgen ervoor dat je weet wie wat wijzigt en geen oneigenlijke wijzigingen worden doorgevoerd. De integriteit en betrouwbaarheid worden hierdoor gewaarborgd.
Van groot belang is dat wachtwoorden die niet gekoppeld zitten aan personen (Non Personal Accounts) netjes zitten opgeborgen in een digitale kluis. Heb je ze nodig dat is een eenvoudig goedkeuringsproces nodig om een wachtwoord vrij te geven.
Controlling the software and be compliant
Tenslotte is er nog een lastig stuk. Het control framework, helaas is deze nog met regelmaat een papieren tijger waar stap voor stap verbetering nodig is. User Access Management (UAM) een Disaster Recovery test, Backup and Restore zijn zomaar wat elementen die je op orde moet hebben.
Elk jaar komt de auditor langs en hebben we te maken met Key Control Testing. Applicaties worden gekozen en alle bewijslast moet worden overhandigd. Het is ons streven teams meer bewust te maken en veel vaker feedback te ontvangen op de aspecten van Key Control. Elk kwartaal een aantal pretest zorgen voor voortdurende verbetering.
Hoe zorg jij ervoor dat teams kunnen groeien in hun autonomie als het om de veiligheid van applicaties gaat?
Wil je een WhatsApp bericht ontvangen bij een nieuwe blog?
Stuur dan even een berichtje naar +31645112490