Home / Blog / Beveiligingsnormen waaraan high-level techbedrijf moet voldoen

Beveiligingsnormen waaraan high-level techbedrijf moet voldoen

Dmitry Isichko

Dmitry Isichko

Linkedin October 1, 2022

Beveiliging is het meest cruciale element van de ontwikkelingscyclus, vooral als het gaat om IT-outsourcing. Wanneer u een contract tekent met een outsourcer, moet u er zeker van zijn dat de partner uw gegevens en product zal beschermen. Het is de taak van het ontwikkelingsbedrijf om u een behoorlijk niveau van infrastructuur-, proces- en codebeveiliging te garanderen. Hieronder bespreken we elk punt in meer detail en vertellen we u hoe het team in dit of dat geval moet handelen.

cyber security for applications

Uitbesteding van ontwikkelingsbeveiliging: 3 belangrijke gebieden

Beveiliging van de IT-infrastructuur

In het algemeen verwijst IT-infrastructuur naar een reeks onderling verbonden elementen voor het organiseren en beheren van de informatieomgeving. Deze componenten worden gebruikt voor bedrijfsinteractie en dienstverlening op tech-bedrijfsniveau.

Uit welke onderdelen deze infrastructuur bestaat:

  • hardware: het fysieke gedeelte (servers, pc's, routers);
  • software: apps voor interne bedrijfsdoeleinden en diensten (OS, CMS, CRM, webservers, bedrijfspost);
  • netwerk: hardware- en software-elementen die verantwoordelijk zijn voor de werking en bescherming van het netwerk (switches, routers, firewalls, servers).

Deze componenten moeten stabiel zijn en beschermd tegen mogelijke risico's. Hoe groter het aantal infrastructuurcomponenten, hoe groter de kans op problemen. Dus als indringers een deel van het systeem van het outsourcende bedrijf aanvallen, zal dat ook gevolgen hebben voor de rest van de componenten en de ontwikkeling van uw product.

Wat zijn de risico's voor de infrastructuur van een technologiebedrijf?

  1. Phishing - ongeoorloofde gegevensverwerving kan worden gebruikt om in het systeem te komen.
  2. Digitale ransomware - gegevens versleutelen (of het apparaat vergrendelen) en vervolgens losgeld eisen;
  3. DDoS (Distributed Denial of Service) - het opzettelijk overbelasten van het systeem door meerdere verzoeken van meerdere hosts.
  4. Fysieke inbraak - frauduleuze manipulatie van apparatuur door diefstal of inbraak.

Het binnendringen van aanvallers in de digitale ruimte van de outsourcer gaat gepaard met technische storingen en lekken van gegevens met betrekking tot uw bedrijf en project. Overhaast geen contract totdat u weet dat uw toekomstige partner dergelijke aanvallen kan voorkomen. Vraag de manager in de overlegfase om u vertrouwd te maken met de huidige beschermingsmaatregelen.

Welke vragen u kunt (en moet) stellen aan de outsourcer:

  • Wordt van alle systemen en gegevens (inclusief klantgegevens) een back-up gemaakt?
  • Hoe vaak wordt de beveiliging van alle componenten getest en gescand op kwetsbaarheden?
  • Wordt de code voor het product dat wordt ontwikkeld gecontroleerd op naleving van de veiligheidsvoorschriften?
  • Zijn gevoelige gegevens gecodeerd om frauduleuze toegang te voorkomen?
  • Hoe strikt wordt de toegang van werknemers tot klantgegevens gecontroleerd (authenticatie, autorisatie, gebruikersrollen, enz.)?

Dit zijn basisregels die elk bedrijf dat zichzelf en zijn klanten respecteert, moet volgen. Anders wordt de infrastructuur (en daarmee uw gegevens) een doelwit voor aanvallers. Maar vergeet niet de andere risico's van interne processen.

De meeste cloudproviders (AWS, GCloud, Microsoft Azure) bieden een oplossing voor de meeste problemen met de beveiliging van infrastructuurhardware. De rest wordt opgelost met behulp van de juiste software en een goede professionele configuratie.

Bij Moqod proberen wij de kracht van AWS optimaal te benutten voor het maken van automatische back-ups, data-encryptie, logging, DoS- en Brute Force-bescherming, gebruikersmachtigingen en rolbeheer. De rest van de uitdagingen wordt goed aangepakt door automatische code analyzers en software vulnerability checkers.

Processen Beveiliging

Informatiebeveiliging hangt grotendeels af van het personeel van het bedrijf. Vraag voordat u met een outsourcer in zee gaat of de medewerkers bekend zijn met de nuances van beveiliging. Vergeet niet dat de oorzaak van ernstige datalekken vaak te maken heeft met social engineering. Het begint allemaal met een "aanval op de persoon", dat wil zeggen met psychologische manipulatie.

Bedenk dat alle leden van het IT-team (ontwikkelaars, QA, managers en bedrijfsanalisten) op de een of andere manier toegang hebben tot uw gegevens. Dit is een noodzaak voor het werken aan een project. En dan blijft het risico van ongeautoriseerde toegang via apparaten van medewerkers bestaan. Het is uw taak om bij een outsourcer na te gaan of het bedrijf informatiebeveiligingseisen heeft voor werknemers. Zo ja, welke?

Aan welke IB-eisen het personeel moet voldoen:

  • updaten van het OS naar de laatste versie, wat de afwezigheid van bugs en kwetsbaarheden garandeert;
  • het verbieden van de installatie van oplossingen zonder licentie, omdat gehackte en illegaal gekopieerde software het risico op besmetting met virussen verhoogt;
  • Omzetting van de gegevens op de schijf in onleesbare code om te voorkomen dat onbevoegde gebruikers er toegang toe krijgen;
  • veilige aanmelding (sterke wachtwoorden, authenticatie met twee factoren) om de risico's van hacken te minimaliseren;
  • gebruik van antivirus en firewall als maatregelen om potentiële externe bedreigingen te voorkomen;
  • betere beveiliging van het thuisnetwerk voor personeel dat op afstand werkt.

Bedrijfsmedewerkers moeten verantwoordelijkheid nemen voor gegevensgerelateerde processen, inclusief hun bedrijfsaccounts. Het kan precies het zwakke punt zijn dat een fraudeur gebruikt om in te breken. Een dergelijk geval deed zich onlangs voor bij LastPass, een top wachtwoordbeheerder met een publiek van meer dan 30 miljoen mensen.

Bloomberg meldt dat hackers hebben ingebroken op het account van een ontwikkelaar. Als gevolg daarvan werden een deel van de broncode en wat technische informatie gestolen. Het bedrijf zei dat het incident de ontwikkelomgeving betrof, en dat de gebruikersinformatie beschermd blijft. Dat is mogelijk dankzij het Zero Knowledge-model. Alleen de klant heeft toegang tot de ontcijfering van zijn gegevens, die zich in de repository bevinden.

In deze situatie speelde een robuuste industriearchitectuur met een privaat hoofdwachtwoord een belangrijke rol. Hoewel aanvallers geen toegang hadden tot de wachtwoorden, konden ze wel de broncode bemachtigen. Dat is de fout van de ontwikkelaars. Wat als een werkende laptop was gestolen? Zelfs het versleutelen van de schijf zou niet garanderen dat de informatie intact zou blijven. Het is dan ook niet verwonderlijk dat veel bedrijven een andere regel voor werknemers opstellen: geen apparatuur meenemen buiten kantoor.

In het algemeen hangt de veiligheid van het hele product af van het professionalisme en de verantwoordelijkheid van de specialisten die zich met de code bezighouden.

Om mogelijke veiligheidsproblemen op het gebied van processen te voorkomen, volgen wij en voldoen wij aan de beveiligingsprincipes die zijn vastgelegd in de ISO 27001-norm. De ontwikkelaars van Moqod hebben bijvoorbeeld geen toegang tot de productiegegevens van de klanten en beperken zich alleen tot de testgegevens of speciaal geprepareerde datasets die geanonimiseerd zijn en zoveel mogelijk overeenkomen met de productieversie. Ook de verplichte versleuteling van werkcomputers en het incidentenbeheer zijn essentieel. Beide kunnen het uitlekken van gegevens in een vroeg stadium voorkomen wanneer werkapparatuur verloren gaat of wordt gestolen.

Code Veiligheid

De basis voor beveiliging wordt gelegd tijdens de plannings-, ontwikkelings- en implementatiefase. Laten we zeggen dat u een beroep hebt gedaan op een outsourcer om een webapp te maken. Zoek uit hoe het werk aan het project wordt gestructureerd. Welke aanpak (Agile, Waterval) en DevOps-praktijken kiest het team? Is er een persoon verantwoordelijk voor IS? Welke metrieken worden gebruikt om potentiële risico's te identificeren? En tot slot, wordt de code gecontroleerd op veiligheid? De laatste vraag vraagt speciale aandacht.

Welke code analyzers kan de ontwikkelaar gebruiken:

  • statisch - zoeken naar fouten in de broncode zonder dat de eigenlijke uitvoering van het programma wordt gecontroleerd;
  • dynamisch - analyse van de gereedstaande code tijdens de werkelijke uitvoering van het programma (in de regel webapps);
  • geïntegreerd in CI - scannen toegepast op statische en dynamische code;
  • pentesting tools - controleren op kwetsbaarheden door activiteiten van aanvallers te simuleren.

Dit zijn de primaire technische middelen waarmee IT-teams bepalen hoe groot de kans is dat code een doelwit wordt voor een hacker.

Bij Moqod volgen wij alle bovengenoemde praktijken voor het schrijven en voorbereiden van code voor implementatie. Wij hebben gemerkt dat het volgen van automatische code-analyzers, verplichte code-reviews en afhankelijkheidscontroles op kwetsbaarheden ons in staat stelt het product zo effectief mogelijk voor te bereiden op latere penetratietests en veilige producten aan onze klanten te leveren.

Toepassingsbeveiliging Testen

Vaak worden deskundigen van derden bij de tests betrokken om de objectiviteit van de analyse te waarborgen. Het testen is dus een belangrijke fase van de crashtest van een product. Volgens onze waarnemingen doorstaan apps die in een 100% veilige omgeving zijn ontwikkeld met succes de tests.

Bestudering van kwesties met betrekking tot ontwikkeling en testen geeft u een idee van hoe een bedrijf in elke fase van de levenscyclus zorg draagt voor veiligheid. Een verantwoordelijke professional zal nooit een product in productie nemen dat de robuustheidstest niet heeft doorstaan en zelfs minimale gebreken in de code vertoont. Immers, volgens de statistieken is 72% van de kwetsbaarheden in webapps te wijten aan bugs in de code.

Conclusie

Uw project loopt gevaar als de ontwikkelaar de infrastructuur, processen en code niet beveiligt. Vraag de outsourcer naar alle beveiligingsnormen die het team volgt. Zorg ervoor dat uw project in goede handen is voordat u besluit een partner te worden.

Volg ons
Succesvol product bouwen: van idee tot lancering & financiering
Neem contact op

Contact

Meer artikelen

close

Hoe u een VR/AR-ontwikkelingsteam inhuurt

Nu downloaden PDF