Wie is verantwoordelijk voor de beveiliging van apps?
2 november 2016 -
Vrijwel alle informatie die we gebruiken via de cloud, een mobiel of laptop benaderen we via een app. Hoe veilig is dit?
Uit onderzoek blijkt dat het merendeel van de security-investering naar netwerkbeveiliging gaat; de traditionele aanpak van het opwerpen van muren rondom gevoelige informatie. Maar er zijn een hoop poorten in die muren en die poorten heten apps. En kwetsbaarheden in een applicatie hebben mogelijk grotere impact op de bedrijfsprestaties, dan kwetsbaarheden in een netwerk. Niemand lijkt echter de verantwoordelijkheid voor applicatiebeveiliging op te pakken. Weet u wie er in uw organisatie verantwoordelijk is? Uit recent onderzoek van F5 en The Ponemon Institute blijkt dat 56 procent van de respondenten stelt dat de verantwoordelijkheid voor applicatiebeveiliging verschuift van IT naar de eindgebruiker of app-ontwikkelaar. René Oskam, directeur Nederland van F5, over wie de baas is over security van applicaties: "Er wordt vooral naar anderen gewezen, niemand pakt de verantwoordelijkheid op."
Uit het onderzoek blijkt dat 21 procent van de respondenten aangeeft dat de CIO of CTO aansprakelijk is. Niemand heeft volledig eigendom volgens tewintig procent, een andere twintigprocent vond dat de business unit verantwoordelijk is en negentien procent houdt het hoofd applicatieontwikkeling verantwoordelijk. Oskam: "Er zijn sterk uiteenlopende meningen die ook voldoende mensen ondersteunen; er is geen sprake van een minderheid of een bepaalde richting. Dat maakt de discussie lastig."
De noodzaak is er
Oskam beklemtoont dat de discussie wel degelijk gevoerd moet worden: "Bedrijven moeten hun beveiliging en de aandachtspunten daarbinnen serieus nemen, zeker nu de grens tussen zakelijke en persoonlijke IT vervaagt door alle mobiele apparatuur. Veel IT-afdelingen zijn momenteel onvoorbereid en beschikken over te weinig mensen en middelen om de juiste beveiligingsmaatregelen te nemen om bijvoorbeeld het Internet of Things, met miljoenen gekoppelde apparaten, het hoofd te bieden."
De cijfers over cybercrime ondersteunen de noodzaak. Uit onderzoek blijkt dat applicatie inderdaad vaker worden aangevallen, en deze aanvallen zijn ernstiger dan aanvallen op de netwerklaag. De security-incidenten die de laatste maanden het nieuws halen, omdat de omvang of schade zo groot is, waren in de meeste gevallen het gevolg van onveilige applicaties.
Meer inzicht krijgen
"IT-afdelingen kunnen de groei van het aantal applicaties in zakelijke omgevingen nauwelijks bijhouden," aldus Oskam. "Daarmee spelen we cybercrime in de kaart. Als u geen zicht hebt op wat er gebeurt, en als u niet weet wie er precies verantwoordelijk is, hoe kunt u dan snel reageren in geval van nood? Doordat het te laat wordt opgepakt, leiden aanvallen steeds vaker tot vertragingen in serviceniveaus of een grotere kwetsbaarheid van het bedrijf voor andere aanvallen."
Uit het onderzoek komt naar voren dat slechts 35 procent ruime maatregelen heeft getroffen om veiligheidsgaten in applicaties te detecteren. 30 procent stelt deze kwetsbaarheden te kunnen verhelpen. Oskam: "Toch blijven de investeringen nog volop naar de traditionele kostenposten hardware, bedrijfssoftware en apparatuur gaan. Die moet u zeker blijven updaten, maar applicatiebeveiliging mag daar aan toegevoegd worden. Hierbij helpt het als er helderheid en strategie in eigendomsbepaling is. Met meer inzicht voorkomt u onnodige downtime."
Oskam concludeert dat applicatiebeveiliging een zaak van ons allen is. "Alle belanghebbenden zoals IT-afdeling, ontwikkelaars, DevOps en CIO/CTO moeten meer middelen beschikbaar stellen om dit ook waar te maken. We moeten leren van de praktijk en samenwerken om belangrijke data op een veilige manier te gebruiken en cybercrime tegen te gaan. Niet met de vinger naar een ander wijzen, maar zelf de handschoen oppakken en gezamenlijk aan een veiligere werkomgeving werken."