Het is inmiddels eind juni en de intelligente lock-down om verspreiding van COVID-19 te beperken ligt al enkele weken achter ons. Het massale thuiswerken in deze periode bracht het aantal woninginbraken bijna logischerwijs drastisch terug. Maar daarentegen steeg in diezelfde periode het aantal cybersecurity incidentmeldingen.
Securitybewijs voor onze klanten
IT en security zijn al jaren onlosmakelijk met elkaar verbonden en de recente geschiedenis laat zien hoe vaak het nog (bijna) mis kan gaan. Ontwikkelaars en (systeem)beheerders zijn weliswaar in de regel bewust met security bezig en nemen veelal voorzorgsmaatregelen, maar zonder een objectieve, externe controle van de getroffen security voorzorgsmaatregelen blijft het de slager die zijn eigen vlees keurt…
Steeds vaker merken we dat ook onze klanten of partners vragen om een (erkend) “securitybewijs”; iets dat aantoont dat onze applicaties en de softwareontwikkelingsprocedures en beleidsregels voldoen aan een (bepaalde) security standaard.
Beveiligingseisen: OWASP en ASVS
Eind 2019 zijn we daarom samen met onze partner in IT security Securesult een project gestart om te kunnen aantonen dat onze applicaties en systemen aan de vereiste hedendaagse informatie beveiligingseisen voldoen. Daarbij hebben we gekozen voor de OWASP (Open Web Application Security Project) methode. Dit is een open source computerbeveiligingsmethodiek met een sterke focus op web applicaties die daarmee goed aansluit op onze AFAS Profit integraties en maatwerk web applicaties. Binnen deze methodiek gebruiken we ASVS (Application Security Verification Standard), een internationaal erkende standaard op het gebied van (web)applicaties.
We hebben onszelf ten doel gesteld om minimaal ASVS level 2 compliant te zijn; een niveau dat aanbevolen is voor veruit de meeste applicaties. Maar let wel, ASVS level 2 kent maar liefst 286 normen gegroepeerd in 14 onderwerpen. Level 3 bevat daarbovenop nog eens 19 additionele normen. Dat maakt ASVS level 2 compliant al een aardige ambitie.
ConneXtor en PURE
Twee van onze standaardoplossingen, ConneXtor en PURE hebben we daarbij in een aantal sessies grondig geïnspecteerd aan de hand van de ASVS checklijsten om zo voor beide applicaties de uitgangssituatie te bepalen – de zogenaamde 0 meting. Vervolgens zijn de noodzakelijke stappen bepaald om vanuit de 0 meting level 2 compliant te worden.
Begin 2020 hebben ontwikkelaars, systeembeheerders en kwaliteitsmedewerkers alle bevindingen om ASVS level 2 compliant te worden verder uitgewerkt in nieuwe versies van de ConneXtor en PURE en bijgewerkte procedures en beleidsregels voor softwareontwikkeling.
In februari 2020 zijn de nieuwste versies van de ConneXtor en PURE, samen met de bijgewerkte procedures en beleidsregels in een paar intensieve dagen met Agile PENtesten getoetst aan ASVS Level 2. Een Agile PEN test kenmerkt zich door een nauwe samenwerking tussen onze senior ontwikkelaars en de securitytesters. Bevindingen werden direct besproken en waar nodig mogelijk direct opgelost en hertest. Punten die niet ter plekke konden worden opgelost zijn na de PENtesten opgelost en alsnog in maart 2020 hertest en compliant bevonden.
Security in Control
Het harde werk kent zijn beloning, want eind maart 2020 leverde ons dit project een mooie “SECURITY IN CONTROL” verklaring op voor de ConneXtor en PURE, een bewijs van veilige en betrouwbare applicaties voor onze klanten.
IT security doorlopend onze zorg
Voor ons zit de spin-off in de STAY in control. Want een PENtest is en blijft een momentopname maar IT security blijft onze doorlopende zorg. Zoals het hoort.
Wij hebben er veel van geleerd! Met deze ervaring en kennis hebben we weer een extra tool die wij blijven inzetten bij onze projecten. Hiermee toetsen wij onze applicaties en systemen continue aan de vereiste security normen!
Wil je meer weten over de certificering van onze koppelingen of het onderzoek. Of ben je benieuwd naar hoe onze koppelingen jou verder helpen in je werk? Neem dan contact op.