Systems Development Lifecycle

De meeste organisaties hanteren een SDLC-methode (Systems Development Lifecycle) voor de ontwikkeling en implementatie van computersystemen. SDLC is een meerstaps levenscyclusproces om computersystemen te leveren om systemen van goede kwaliteit te garanderen die voldoen aan de specificaties en, binnen tijd- en kostenramingen.

Beveiliging versus kosten en bedrijfsprestaties

Hoewel de meeste organisaties erkennen dat beveiliging een belangrijke overweging is bij het ontwikkelen van computersystemen, hebben kosten en bedrijfsprestaties vaak voorrang boven beveiliging. Hoewel de bekendheid met beveiligingskwesties is toegenomen, richten de meeste organisaties zich alleen op het toepassen van beveiliging in de fase van ingebruikname van het systeem en proberen ze geforceerde beveiliging in te passen in het uiteindelijke ontwerp, wat resulteert in een ineffectieve toepassing van beveiliging.

Security-by-Design

Een efficiënte manier om computersystemen te beschermen tegen cyberaanvallen is om beveiliging te integreren in elke stap van de SDLC, vanaf de initiatie tot de ontwikkeling tot de implementatie en uiteindelijke verwijdering van het systeem. Deze benadering is de Security-by-Design (SBD) -benadering.

Security-by-Design is een benadering voor de ontwikkeling van software en hardware die systeemkwetsbaarheden tot een minimum beperkt en het aanvalsoppervlak verkleint door het ontwerpen en bouwen van beveiliging in elke fase van de SDLC.

Dit omvat het opnemen van beveiligingsspecificaties in het ontwerp, continue beveiligingsevaluatie in elke fase en het naleven van de beste werkwijzen. De waarden voor het integreren van beveiliging in SDLC omvatten:

• Vroege identificatie en beperking van beveiligingskwetsbaarheden en verkeerde configuraties van systemen.
• Identificatie van gedeelde beveiligingsdiensten en -hulpmiddelen om de kosten te verlagen, terwijl de beveiligingshouding wordt verbeterd door middel van beproefde methoden en technieken.
• Facilitering van geïnformeerde sleutelbeslissingen van belanghebbenden door middel van uitgebreid risicobeheer.
• Documentatie van belangrijke beveiligingsbeslissingen tijdens de gehele levenscyclus van het systeem, waarbij ervoor wordt gezorgd dat de beveiliging in alle fasen volledig in overweging werd genomen.
• Verbeterde operabiliteit van systemen die anders zou worden belemmerd door geïsoleerde beveiliging van systemen.

Specifiek voor beveiliging van de IT-omgeving gaat Security-by-Design in op de beveiligingsrisico’s gedurende de levenscyclus van een systeem. Dit omvat het beveiligingsontwerp specifiek voor de identificatie, bescherming, detectie, respons en herstelmogelijkheden om de beveiliging en weerbaarheid van het systeem en de daarin verwerkte data te versterken.

Wilt u daar meer over weten? Neem dan vrijblijvend contact op.