Nieuwe standaard voor de ontwikkelingen van veilige software

De onlangs opgerichte Secure Software Foundation lanceert een nieuwe standaard voor het ontwikkelen van veilige software. Met de nieuwe standaard hoopt de stichting een belangrijke stap te zetten in de strijd tegen cybercrime.

De standaard maakt het mogelijk aan de hand van de spelregels in het kader enerzijds veilige software te ontwikkelen en anderzijds de veiligheid van software te kunnen toetsen. Daarmee vormt de standaard een aanvulling op bestaande normen. "Een standaard gaat zeker helpen in de strijd tegen cybercrime", zegt interim bestuurslid Wim Goes van de foundation in oprichting. "Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we op doen voor de beveiliging."

Vrijheid terugdringen

Goes, behalve bestuurslid ook quality director bij SQS, denkt dat het goed is dat de vrijheid van software ontwikkelaars wat wordt terug gedrongen. "Dat is in het belang van de veiligheid. Je kunt je als bedrijf geen software incidenten veroorloven." Steeds meer bedrijfswaarde bevindt zich in software en de komende jaren neemt dit alleen maar toe.

Goes: "Hackers zijn er op uit om software te laten crashen. Op die manier krijgen ze informatie om te kunnen inbreken in systemen. Door volgens de standaard te werken, geef je ze gewoon minder kans. Of kun je bij een digitale aanval, bepaalde delen van je systeem met gevoelige informatie beter beschermen."

Betrouwbare software is van belang

Het belang van aantoonbaar betrouwbare software wordt steeds groter. Zowel in de Digitale Agenda als de Nationale Cyber Security Strategie van de overheid is de ontwikkeling van veilige software ter bestrijding van cybercriminaliteit een van de belangrijkste onderwerpen. De standaard vormt een leidraad voor de hele softwareketen, zoals opdrachtgevers, ontwerpers, ontwikkelaars en auditors.

Sandbrink trekt de vergelijking met het bouwen van een kantoor. "Daar weet je van tevoren hoeveel vierkante meter je nodig hebt, wat de architectonische kenmerken moeten zijn, hoe vluchtwegen lopen, noem maar op. Voor software security bestaan zulke eisen niet." "Het is een witte vlek in ICT-land", zegt Fred Hendriks van iComply, initiatiefnemer van de Secure Software Foundation. "Ontwikkelde software wordt pas bij oplevering getest op zwakke plekken en lekken."

Nu doorpakken

Toch is de strijd tegen cybercrime volgens de stichting nog lang niet gestreden. Wat tegen het nieuwe kader pleit is het feit dat het nog geen wereldwijde standaard is. "We willen wel voorop lopen. Daarom hebben we het kader in het Engels ontwikkeld", zegt Goes. Goes stelt dat het belangrijk nu snel door te pakken. "SQS is nauw bij de ontwikkeling van de standaard betrokken. Medewerkers zijn opgeleid om bij bedrijven te helpen het framework te implementeren en om de certificerings audits te doen. We lopen voorop en zijn een grote, internationale speler op het gebied van software quality en testen. Wij kunnen zorgen voor de afstemming tussen bedrijven."

De afgelopen periode is het ‘Framework Secure Software’ als pilot met succes getest bij diverse software- ontwikkelorganisaties. De standaard is bijna volledig gericht op het veilig produceren van het product, de applicatie, inclusief code, en is daarom aanvullend op bestaande (proces)normen zoals de ISO normen.

Dossiers
Lees ook
Sogeti benoemt Hans van Waayenburg tot wereldwijde CEO

Sogeti benoemt Hans van Waayenburg tot wereldwijde CEO

Sogeti Groep benoemt Hans van Waayenburg (57) tot wereldwijde CEO. Hierdoor komt voor het eerst een Nederlander aan de top te staan van de Franse IT-dienstverlener. Van Waayenburg volgt Luc-Francois Salvador op, die in de Capgemini Groep leiding gaat geven op het Aziatische continent. Van Waayenburg maakte tot voor kort in zijn functie als Chief O1

Appril, grootste festival over apps en mobiel internet in Nederland, trapt 1 april af

Appril, grootste festival over apps en mobiel internet in Nederland, trapt 1 april af

Appril, het grootste festival over apps en mobiel internet in Nederland, gaat 1 april van start. Gedurende de hele maand april vinden meer dan 100 workshops, lezingen en borrels plaats in Amsterdam, Utrecht, Den Haag, Rotterdam en Eindhoven. Appril is het platform waar pioniers, makers, gebruikers en groupies van apps en mobiele internet oplossing1

NAVO verhuist cyberdienst naar Den Haag

NAVO verhuist cyberdienst naar Den Haag

De NAVO verhuist haar activiteiten op het gebied van informatietechnologie, digitale beveiliging (cybersecurity) en raketafweer naar Den Haag. Het gaat om de locatie Waalsdorpervlakte, waar het NAVO communicatie- en informatieagentschap (NCIA) is gevestigd. De komende twee jaar zal de NAVO vijftig tot honderd medewerkers huisvesten in het pand van1