Rob van der Veer

Rob van der Veer

Software Improvement Group

Kwetsbare software: de achilleshiel van digitalisering.

Rob van der Veer is principal consultant bij de Software Improvement Group. In deze rol ziet hij dagelijks hoe business en softwarebouwers worstelen met het fenomeen ‘veilige software’.

De digitalisering brengt ons steeds verder, maar als we niet goed op de software letten graven we ons eigen graf. Er wordt namelijk steeds meer software gebouwd en daarbij kijken we vooral naar wat die software moet doen en weinig naar of het goed in elkaar is gezet. Hierdoor wordt die software steeds moeilijker aanpasbaar en kwetsbaarder. We lezen hierover elke dag in de krant: falende IT projecten, tekorten aan programmeurs en beveiligingsincidenten.

75% van cyberaanvallen en datalekken worden veroorzaakt door fouten tijdens het ontwikkelen van software. De kunst is om daar controle over te krijgen. Hoe maak je beveiliging zichtbaar? Hoe stuur je softwarebouwers aan?

fotomx-74

Verschillende factoren

In de praktijk ziet Rob dat er een vergrote kans is op risico’s door de volgende factoren:

  • Druk: ICT is duur en daardoor ligt er veel druk op ICT projecten
  • Haast: tijd is geld en software veroudert redelijk snel, dus is haast geboden. Druk en haast zorgen ervoor dat er concessies worden gedaan.
  • Afwezigheid beveiligingseisen: de opdrachtgever heeft vaak te weinig risico inzicht en weet niet welke beveiligingsrisico’s er bestaan.
  • Te weinig dialoog tussen bouwers en opdrachtgevers. Je ziet dat de opdracht wordt uitgezet en opgeleverd, beter zou zijn om tussendoor steeds met elkaar te communiceren.

Het advies is voldoende tijd te nemen om de juiste gegevens te verzamelen die inzicht geven in de risico’s. Daarna is het zaak om het verzamelen van gegevens te minimaliseren tot dat wat men nodig heeft en zolang men deze nodig heeft. Focus tijdens het maken van de software al op de beveiliging, vaak komt dit nu pas achteraf aan de orde.

fotomx-76