Sivarama Subramanian, CISM
In een wereld waarin alles steeds meer digitaal met elkaar in verbinding staat, is informatie het meest waardevolle bedrijfsmiddel. Webapplicaties vormen de toegangspoort tot informatie en bestaan al lang niet meer alleen uit een eenvoudige browserinterface die kan worden geopend op een laptop of desktopcomputer. Dankzij het gebruik van smartphones en smart-TV’s (televisies met een Wi-Fi of netwerkverbinding) en apparaten zijn applicaties overal toegankelijk.
Hierdoor rust een grote verantwoordelijkheid op de schouders van de beveiligingsgemeenschap, die de belangen van belanghebbenden en de informatie die wordt uitgewisseld via webapplicaties moet beschermen. De beveiligingsgemeenschap1 heeft aanbevolen werkwijzen gepubliceerd, evenals richtlijnen en checklists voor het inbouwen van beveiliging in webtoepassingen. Een van de aanbevolen werkwijzen is bijvoorbeeld specifiek voor te schrijven hoe een SQL-injectie moet worden afgehandeld of hoe cross-site scripting te verwerken in het ontwerpdocument zelf, zodat de beveiliging al in de code is ingebouwd op het moment dat ontwikkelaars het ontwerp implementeren. Beveiliging van de System Development Life Cycle (SDLC) is geen losstaande activiteit meer.
Hoe kunt u de effectiviteit van applicatiebeveiliging waarborgen? Hoe wordt het effect van beveiligingsinitiatieven die de risico’s en dreigingen van hackers minimaliseren gemeten? In dit artikel wordt geprobeerd meetgegevens te definiëren voor het meten van de effectiviteit van applicatiebeveiliging in een organisatie.
Meetgegevens zijn de belangrijkste indicatoren voor managementinitiatieven in elke organisatie. Organisaties ervaren een geleidelijke, maar aanhoudende toename in de behoefte aan informatiebeveiliging binnen de organisatie. In veel organisaties heeft informatiebeveiliging een redelijke mate van ontwikkeling bereikt. De beveiliging van webapplicaties, als onderdeel van het algehele informatiebeveiligingsprogramma, speelt een belangrijke rol bij het beveiligen van waardevolle informatie. Het beste moment om meetgegevens te definiëren is daarom aan het begin van het applicatiebeveiligingsprogramma.
De best mogelijke benadering is:
De geselecteerde meetgegevens moeten nuttig zijn voor het meten van de effectiviteit van het beveiligingsprogramma en duidelijk maken waar in de toekomst verbeteringen kunnen worden aangebracht.
Er zijn twee brede categorieën meetgegevens die kunnen worden vastgelegd voor applicatiebeveiliging. De eerste set meetgegevens heeft betrekking op incidenten en kwetsbaarheden (afbeelding 1), en de tweede set is bedoeld voor het applicatiebeveiligingsprogramma zelf (afbeelding 2).
De gegevens voor de meetgegevens moeten doorlopend worden verzameld (bijvoorbeeld wekelijks of per gebeurtenis). Het sjabloon voor gegevensverzameling moet worden opgesteld en op een centrale plaats worden bewaard. Zodra de evaluaties zijn uitgevoerd, kunnen de evaluatiecijfers worden bijgewerkt op het gegevensverzamelingssjabloon.
De gegevens over het incident kunnen worden opgehaald in de incidentendatabase. De kwetsbaarheden en inspanningen kunnen worden verkregen van het projectteam. De evaluaties en opmerkingen moeten worden bijgewerkt op een gedeelde locatie en de gegevens moeten worden gemeld vanaf de gedeelde locatie.
Aan het einde van de maand, of op de met het projectteam afgesproken datum, kunnen de gegevens worden geordend en gepresenteerd. Enkele voorbeelden van presentaties zijn te zien in afbeelding 3 en 4.
In het volgende gedeelte wordt een beknopt praktijkvoorbeeld van applicatiebeveiliging gegeven.
Formulering van het probleemHet probleem is in het geval van het praktijkvoorbeeld als volgt geformuleerd: beheren van de applicatiebeveiliging voor e-commerce applicaties van een farmaceutisch bedrijf door de belangrijkste meetgegevens te meten die zijn geassocieerd met applicatiebeveiliging.
De belangrijkste meetgegevens die in overleg voor de meting zijn geselecteerd, zijn:
ImplementatieNadat de belangrijkste meetgegevens waren goedgekeurd door het hogere managementteam, werd de eerste vergadering met de projectleiding belegd. De meetgegevens werden uitgelegd aan het team, en er werd gekozen voor een maandelijks meetvenster. De technieken voor gegevensverzameling werden uitgelegd en het schema werd gegeven aan de projectleiders.
Aan het einde van de eerste metingencyclus werden de gegevens verzameld en geordend zoals weergegeven in afbeelding 5.
Zakelijke voordelenDe meetgegevens werden gepresenteerd tijdens de projectevaluatiebijeenkomst, en de projectmanager keurde de gegevens goed. Afbeelding 5 laat zien dat het evaluatieproces van de beveiligde code moet worden geformaliseerd; hierdoor kan het projectteam correctieve maatregelen nemen en verdere kwestbaarheden verminderen. Het is echter noodzakelijk meetgegevens voor opvolgende maanden te verzamelen om inzicht te verkrijgen in trends voor de langere termijn.
Nu strengere beveiligingsmechanismen worden toegepast voor de infrastructuur en netwerken van organisaties, verleggen hackers hun aandacht naar webapplicaties. Door kwetsbaarheden in webapplicaties kan de veiligheid van het netwerk en de infrastructuur worden aangetast. Het toegenomen gebruik van cloud computing heeft ertoe geleid dat meer aandacht wordt geschonken aan applicatiebeveiliging. De meetgegevens die in dit artikel worden besproken kunnen organisaties helpen de status van de beveiliging van hun applicaties te meten. In dit informatietijdperk zijn organisaties genoodzaakt hun informatie te beschermen om een voorsprong te kunnen nemen op de concurrentie en het vertrouwen van belangrijke belanghebbenden te kunnen winnen.
1 Met “beveiligingsgemeenschap” verwijst de auteur naar groepen als het Open Web Application Security Project (OWASP), de Cloud Security Alliance en sociale mediaportals.
Sivarama Subramanian, CISMis Senior Architect of Technology bij Cognizant Technology Solutions, waar hij momenteel de leiding heeft over beveiligingsinitiatieven voor detailhandel- en e-commerceprojecten. Subramanian is lid van de afdeling ISACA Chennai, India en is te bereiken via sivaramasubramanian.kailasam@cognizant.com.