In dit blogartikel leer je hoe je handig én effectief je security inbed in de IT-architectuur van je organisatie.
Hoewel cybersecurity een steeds belangrijker onderwerp wordt zien we toch vaak dat het nog niet is ingebed in de IT-architectuur. De meeste organisaties nemen het slechts gedeeltelijk mee: in het ontwerp van nieuwe systemen wordt bijvoorbeeld wel rekening met security gehouden, maar dan missen vervolgens de protocollen om het ontwerp te valideren of om securityonderhoud te verrichten. En dan zijn er natuurlijk ook organisaties waarin de security compleet overgeslagen wordt.
Maar hoe doe je dat handig én effectief – het inbedden van security in je IT-architectuur? Dat lees je in dit blogartikel.
Hoe integreer je security in je IT-architectuur?
Om je security te integreren is het belangrijk dat het een vast onderdeel wordt van elke wijziging en elk project in de organisatie. Dat begint met het opzetten van een securitybeleid en dat je dit beleid ook “respecteert” door de security bij elke wijziging en in elk project te valideren.
Dus stel je wil applicatie A met B koppelen, dan is het essentieel dat een security architect kijkt of het kan, of het veilig is én dat deze na de tijd ook valideert of het daadwerkelijk veilig is gedaan. En hoewel zulke koppelingen of het openzetten van een poortje in de firewall vaak wel gedegen wordt gedaan, worden triviale vragen om een eigen laptop te verbinden met het netwerk al gauw over het hoofd gezien. Toch is het belangrijk om ook zulke vragen aan een expert voor te leggen en hier een protocol voor op te zetten. Hackers komen namelijk juist je netwerk binnen via end-devices en voor je het weet is er per ongeluk een achterdeur opengezet of opengelaten.
IT & Security bij softwareontwikkeling
Als je eigen software ontwikkeld (of laten ontwikkelen) geldt eigenlijk hetzelfde verhaal. Hierbij moet je security afspraken vooraf maken en deze in het ontwerp meenemen (“security by design”) én deze valideren en testen voordat het project wordt afgerond. Op deze manier maak je security een vast onderdeel van je life-cycle management.
Tegenwoordig gebruiken veel organisaties DevOps methodes om te ontwikkelen. Met deze methode wordt in een hoog tempo nieuwe stukjes software ontwikkeld en uitgebracht in de organisatie. De security van deze ontwikkeling en implementatie moet je in het proces borgen middels een combinatieperspectief van development & security, ofwel “DevSecOps”.
Gebruik dit perspectief ook bij de architectuur die je inkoopt, want ook daar kun je vaak van alles configureren en het zo open of gesloten maken als je zelf wil. We zien namelijk vaak dat als ingekochte software “even niet werkt” tijdens de implementatie, dat de configuratie van het systeem verder wordt geopend totdat het wel werkt. Daarna krijg je een houding van “niet meer aanzitten want zo werkt het”, zonder dat er gecheckt wordt of deze configuratie wel veilig is. Iedere wijziging in de configuratie van een (nieuw) systeem moet dus gevalideerd worden door een professional die daar kennis van heeft.
Hoe ga je direct met de security in jouw IT-architectuur aan de slag?
Begin met het schrijven van je securitybeleid. Ga hiervoor samenzitten met een professional en maak tijd vrij om alle facetten van de organisatie door te nemen. Vervolgens implementeer je dit beleid in je life-cycle Management: maak hierbij security een vast onderdeel bij alle fases: bij het ontwerp, de ontwikkeling, implementatie en tijdens het onderhoud. Tot slot is het belangrijk dat je security ook een onderdeel maakt van het uitfaseren van software en systemen: wis de data en maak gedegen back-ups voordat je de systemen uitfaseert en het project als afgerond bestempelt.