Meteen naar de inhoud

Security

Shift Left Security

Eerder nadenken over informatiebeveiliging is een mooi streven. Het voorkomt dat het werk achteraf opnieuw moet worden gedaan. Binnen softwareontwikkeling heeft dit de naam ‘Shift Left Security‘, omdat zo aan het begin van een proces (links) security aan bod komt.

Overigens hoeft het niet per se een technische discussie te zijn: belanghebbenden uit de business kunnen zelf ook een shift left maken door security op te nemen in beleid, acceptatiecriteria en checklists. Vanuit de Avg zijn privacy by design & default inmiddels bekende hieraan gerelateerde onderwerpen.

Starten met informatiebeveiliging

Beginnen met het verbeteren van de informatiebeveiliging kan een lastige opdracht zijn. Een hulpmiddel is het uitvoeren van een risicoanalyse. Deze doorloopt globaal gezien altijd de volgende fasen: (1) bepaal de belangrijkste informatiesystemen/stromen, (2) koppel de dreigingen en kwetsbaarheden, en (3) selecteer en pas de juiste maatregelen toe. Herhaal dit proces jaarlijks of bij veranderingen.

Het is gelukkig niet nodig om alles zelf te bedenken: gebruik bijvoorbeeld ‘SPARK‘ als model, ‘MAPGOOD‘ voor de dreigingen of ‘RAVIB‘ als complete tool voor een risicoanalyse.