Klanten willen tegenwoordig niet alleen perfect geholpen worden, maar ook makkelijk zelf zaken kunnen regelen. Niet voor niets schiet het aantal apps die door organisaties worden ontwikkeld als paddenstoelen uit de grond. De roep om apps legt een behoorlijke druk op bedrijven: deze apps zijn steeds vaker een hygiëne factor voor de tevredenheid van de klant. Aan organisaties is het daarom de uitdaging deze zo snel mogelijk te ontwikkelen.
Het ontwikkelen van apps was enkele jaren geleden nog een traag proces via de watervalmethode. Stap voor stap ontwikkelen en de app beschikbaar maken wanneer deze volledig voltooid is. Tegenwoordig moet het vooral agile zijn, waardoor functionaliteit bij iedere release kan worden toegevoegd. Agile betekent zoiets als snel, sneller, snelst. Het antwoord op deze uitdaging is gevonden in de vorm van de zogenoemde low-code-platformen. Deze platformen maken snelle oplevering van business-applicaties mogelijk, doordat er veel minder programmeercode aan te pas komt. Er komt dus weinig handmatig werk bij kijken.
Ideaal als u snel wilt ontwikkelen. Maar snelle ontwikkeling heeft als risico dat veiligheid niet direct of onvoldoende wordt meegenomen Terwijl veilige applicaties een must zijn, zeker met het oog op de AVG. Maar buiten wet- en regelgeving kunnen organisaties zich natuurlijk niet permitteren dat ze onzorgvuldig met klantdata om gaan. De uitdaging is hiermee voor organisaties nog een stuk groter gemaakt, want hoe ontwikkel je snel een veilige applicatie?
Hacks voorkomen in ontwerp
Allereerst is het belangrijk om van tevoren te bedenken wat een hacker allemaal gaat proberen om bij relevante informatie te komen of om door te dringen tot de infrastructuur van een organisatie. Een goede leidraad om mee te starten is het gebruik van de Owasp-richtlijnen. Dit is een vrij te gebruiken open standaard die wereldwijd wordt gebruikt en die jaarlijks wordt bijgewerkt om te beschermen tegen de nieuwste dreigingen. In de Owasp top 10 staan bijvoorbeeld richtlijnen voor het authenticatie mechanisme waarmee bruteforce aanvallen of identity-theft worden tegengegaan.
Een ander voorbeeld is de controle van invoervelden zodat er bijvoorbeeld geen scripts binnen een dergelijk veld kunnen worden uitgevoerd. Een laatste voorbeeld is het implementeren van voldoende logging en monitoring zodat mogelijk misbruik gedetecteerd kan worden. Ook het implementeren van bijvoorbeeld two-factor authenticatie (vaak een extra code via een mobiele telefoon) en het informeren van een gebruiker van een vreemde inlogpoging, zijn belangrijke onderdelen voor een veilig ontwerp.
Het is belangrijk om security-experts met verstand van applicatieontwikkeling te betrekken in het proces, zodat security een echt onderdeel wordt van het ontwerp. Dit hoeft niet veel tijd te kosten als er in het juiste platform wordt gebouwd en er veel kennis is van het veilig ontwikkelen van applicaties. Indien er op een agile manier wordt ontwikkeld, zijn er al diverse methodieken die direct tijdens de ontwikkeling informatiebeveiliging meenemen, zoals ‘SecDevOps’ en ‘Secure Scrum’.
Sleutel tot succes
Er zijn natuurlijk nog veel meer manieren voor een hacker om bij gevoelige gegevens in applicaties te komen. Daarom worden er steeds vaker op een snelle manier veilige apps ontwikkeld waarbij tevens een aanvullende vorm van security, namelijk monitoring, wordt ingebouwd. Dit betekent dat er wordt gemonitord op ‘abnormaal gedrag’. Bijvoorbeeld iemand die opeens tachtig verzoeken achter elkaar doet in een applicatie. Er gaan dan bij de organisatie diverse alarmbellen af, zodat de juiste maatregelen genomen kunnen worden.
Het resultaat? Steeds veiligere applicaties, die snel beschikbaar zijn voor consumenten. Houd bij het ontwerp van de applicatie en de benodigde security altijd de consument in gedachten. Immers de consument moet profiteren van een veilige en gebruiksvriendelijke applicatie.
