Minder datalekken? Begin bij het begin!

Om tot de situatie te komen waarin software minder lekken vertoont, is het niet meer voldoende om te vertrouwen op een pentest aan het einde van een ontwikkelcyclus schrijft Jeroen Willemsen. Maar hoe komen we er dan wel vraagt hij zich af.

Gartner toont in zijn hype cycle een aantal trends in software ontwikkeling. Zo gaan steeds meer bedrijven helemaal over op het agile werken, verschijnen er steeds meer devops teams en implementeren steeds meer bedrijven continuous-delivery. Waarom? dit alles heeft verschillende voordelen: concepten kunnen eerder getest en bijgesteld worden, het eindproduct kan sneller live en de kosten omlaag.

Tegelijkertijd is er een trend zichtbaar, namelijk bedrijven willen graag voldoen aan de gebruikelijke voorschriften en ze willen eigenlijk niet verder gaan dan de standaarden. Dit is ook iets wat vaak terug komt in software ontwikkelingstrajecten: functionaliteiten eerst, beveiliging later, aldus Jeroen. Aan het einde van een lijstje requirements komt security aan de beurt in de vorm van de opmerking: “Oh, voor ik het vergeet: het moet wel veilig zijn”. Maar daar laten organisaties het dan ook bij; de verificatie van deze wens is vaak gebrekkig. Uit een studie blijkt dat veel bedrijven voornamelijk aan het einde van het ontwikkeltraject een pentest uitvoeren of zelfs dat niet. Ook blijkt dat er sprake is van een gebrek aan security kennis bij veel van de ondervraagde bedrijven.

Lees hier het hele artikel van Jeroen.