De juiste mate van informatiebeveiliging is een belangrijke voorwaarde voor het bewaken van de continuïteit van een organisatie. Een tekort aan beveiliging levert de nodige risico’s op, terwijl een teveel onnodige kosten met zich meebrengt. Wet- en regelgeving vereist bovendien een adequate beveiliging. De belangrijkste voorwaarde voor het waarborgen hiervan is dat er gedurende de hele levenscyclus aandacht aan wordt besteed – vanaf de enterprise-architectuur tot en met de operationele fase en de afbouw bij de beëindiging van een systeem. Kort gezegd: Security by Design is onmisbaar.

Hoe realiseert u Security by Design?

Het doel is om een balans te creëren; enerzijds wilt u de continuïteit en vertrouwelijkheid van informatie waarborgen, anderzijds wenst u de gewenste functionaliteit te bieden tegen acceptabele kosten. Dit bereikt u door rekening te houden met álle aspecten, zoals risico’s, kosten, technische en organisatorische maatregelen en de eisen die de business stelt. Security by Design realiseert u alleen door het informatiebeveiligingsperspectief bij elke stap van de architectuur in acht te nemen. Hier komen diverse aspecten bij kijken op verschillende niveaus:

Businessniveau: wat moeten we beveiligen? Met welke potentiële bedreigingen hebben we te maken? Wat is het belang van continuïteit? Welke mogelijke reputatieschade ligt er op de loer? Wat zijn de wettelijke kaders? Dat zijn vragen die op dit niveau spelen. Vergeet daarnaast niet om de nodige aandacht te besteden aan de rol van gebruikers, de organisatiecultuur, de noodzaak van training en het creëren van een beveiligingsbewustzijn;

    • Informatieniveau: wat mag er worden uitgewisseld met wie? Onder welke voorwaarden mag dit geschieden? Het is belangrijk om (persoonsvertrouwelijke) informatie en bedrijfsgeheimen te classificeren en wet- en regelgeving hierbij in acht te nemen. De nieuwe GDPR (General Data Protection Regulation), die gericht is op privacy, is hierbij bijvoorbeeld van belang;
    • Toepassingsniveau: welke informatie wordt in welke applicatie bewerkt en gebruikt? Hoe zit het precies met autorisatie? Welke risico’s zijn er en hoe kunnen we deze verkleinen? Houd ook rekening met aspecten als de controleerbaarheid van externe software en componenten en het updatebeleid hiervan;
    • Technologieniveau: welke technische maatregelen kunnen de onderkende risico’s voldoende verkleinen? Er is een groot scala aan maatregelen mogelijk, zoals firewalls, systeemhardening, data- en verbindingsencryptie, labeling van data, bijhouden van patches en updates, 2 Factor Authenticatie en beheer, bewaking en gebruik van kunstmatige intelligentie om afwijkend gedrag vast te stellen.

Door het informatiebeveiligingsperspectief mee te nemen bij het uitwerken van de architectuur geeft u vorm aan Security by Design. De architectuur kan niet zonder. Een architect met gedegen kennis van informatiebeveiliging of een informatiebeveiligingsexpert die het architectuurproces begrijpt, is dus onontbeerlijk!