Door: Redactie - 28 oktober 2021 |
Security staat al jaren in de top 3 van onderwerpen waar CIO’s zich zorgen om maken, maar toch slagen ze er niet in om alle aanvallen buiten de deur te houden. Nu is het weer VDL dat medewerkers naar huis moet sturen omdat de fabriek platligt vanwege een security breach. Het is niet het eerste en ook lang niet het laatste bedrijf dat wordt getroffen door een cyberaanval. Want ‘security by design’ is in veel organisaties nog ver weg. Wil je stappen zetten op dit gebied, zorg er dan in ieder geval voor dat nieuwe maatwerksoftware veilig is. Een applicatie ontwikkelplatform (LCDP) kan je helpen om niet alleen de nieuwe applicatie, maar de hele stack secure in te richten.
Security breaches met verstrekkende gevolgen zullen voorlopig het nieuws nog wel blijven beheersen. Want ‘security by design’ mag vandaag de dag dan wel een ingeburgerd begrip zijn, de realiteit is dat het merendeel van de stack van bedrijven natuurlijk helemaal nog niet met ‘security by design’ in het achterhoofd is ontworpen. Dat is nu eenmaal zo en het duurt ook nog jaren voordat alle legacy-applicaties zijn uitgefaseerd. Wat echter veel erger is, is dat bedrijven ook nog altijd massaal nieuw ontwikkelde applicaties in gebruik nemen die niet secure zijn. Dat is een gemiste kans. Te meer daar je tegenwoordig applicatieontwikkeling en security zo goed hand in hand kunt laten gaan als je kiest voor ontwikkelen op basis van een low code development platform (LCDP).
Low-code wordt vaak aangeprezen vanwege de snelheid waarmee je applicaties kunt ontwikkelen (vijf tot soms wel tien keer sneller dan wanneer je met high code programmeert). Wat bedrijven zich niet of onvoldoende realiseren is dat low-code ook een grote bijdrage kan leveren aan het verhogen van hun digitale veiligheid. Doordat high code softwareontwikkeling zoveel tijd kost en er continu druk is vanuit de business om sneller software op te leveren, schiet aandacht voor security er vaak bij in. Door te kiezen voor low-code softwareontwikkeling blijft er niet alleen meer tijd over om na te denken over beveiliging, de meeste maatregelen zijn ook nog eens ‘ingebakken’ in het ontwikkelplatform.
CTO’s weten vaak wel dat een LCDP de non-functionals voor zijn rekening neemt, zoals het beveiligen van de infrastructuur waar de applicatie op draait. En ook weten ze vaak wel dat zaken als ‘identity management’ en ‘rolgebaseerde toegang voor gebruikers van de applicatie’ thema’s zijn die zitten ingebakken in een LCDP. Net als rolgebaseerde toegang voor softwareontwikkelaars en policies waarbij ontwikkelaars elkaars werk controleren. Wat ze niet weten, is dat er behoorlijk wat verschil zit tussen verschillende typen LCDP’s en dat het ene platform een stuk verder gaat met functionaliteit dan het andere.
Eén van de intelligentere taken die sommige LCDP’s bieden is het analyseren van security aanvallen: hoe wordt een aanval uitgevoerd? Welke stappen zet de aanvaller? Dit komt neer op het analyseren van ontzettend veel data. Sommige LCDP’s beschikken over AI- en ML-algoritmen die continu up-to-date worden gehouden met gegevens over nieuwe (typen) cyberaanvallen.
Er zijn ook platformen die AI en ML gebruiken om snel te identificeren als er onveilige dingen gebeuren aan de ontwikkelkant. In dat geval herkent het platform het bijvoorbeeld als een invoerveld wordt aangemaakt en biedt op dat moment best practises aan hoe de ontwikkelaar dat inputveld moet beveiligen.
Veel LCDP’s bieden voorgedefinieerde templates aan die je kunt gebruiken bij je applicatieontwikkeling. Sommige platformen hebben die templates zelfs zo ontwikkeld dat de volledige dataflow wordt beveiligd en niet alleen maar de data in de desbetreffende applicatie. Normaal gesproken is het zo dat ontwikkelaars slechts de coderegels kunnen beveiligen die zij programmeren. In dat geval moeten anderen op de IT-afdeling (meestal een architect) zicht houden op de dataflow en daarmee op het onderwerp ‘security by design’. Als echter de volledige context en de daarbij horende dataflow als uitgangspunt voor de beveiliging wordt genomen, neemt het platform dus een deel van die architectenrol over.
Een andere dienst die veel LCDP’s bieden is life cycle management (LCM). DevOps-teams krijgen proactief een seintje als het tijd is om een in gebruik zijnde applicatie nog eens te reviewen. Zeker nu de business zich steeds sneller moet aanpassen aan veranderende klanteisen, verandert het landschap waarin een applicatie functioneert voortdurend. Daarom is LCM nog belangrijker geworden. Waar dit in high-code omgevingen vaak een ondergeschoven kindje is, waarschuwt een low-code platform de DevOps-teams en de CTO dat het tijd is voor een review. Zo voorkom je dat tien jaar oude software, die al lang niet meer veilig zijn, toch nog ergens in gebruik zijn.
Een ander onderwerp waar low-code leveranciers goed over hebben nagedacht, is het gebruikersgemak. In het verleden was het vaak zo dat het heel omslachtig was voor gebruikers om goed beveiligde applicaties te benaderen. Steeds opnieuw moesten ze gebruikersnaam, wachtwoord en unieke code invullen om toegang te krijgen tot een applicatie. Met single sign-on is dit sterk verbeterd, maar nog altijd zijn er veel bedrijven waar beveiligingsmaatregelen dermate hoge hordes opwerpen dat medewerkers er alles aan doen om ze te omzeilen. LCDP-platformen hebben vooraf goed nagedacht over de gebruikerservaring. De templates zijn zo ontworpen dat de te ontwikkelen applicaties gebruiksvriendelijk en makkelijk toegankelijk zijn, zonder dat dat afbreuk doet aan de mate van beveiliging. Als zelfs banken deze platformen gebruiken om bankierapps mee te ontwikkelen, zegt dat wel genoeg.
Kortom, ontwikkelen in low code kan een belangrijke bijdrage leveren aan ‘security by design’. Want dat is makkelijk gezegd, maar veel moeilijker gedaan. Althans, wanneer je die volledige securityketen in eigen hand wilt nemen en wanneer jouw software developers van A tot Z verantwoordelijk zijn voor het beveiligen van de applicaties die zij bouwen. Vertrouw je bij die softwareontwikkeling echter op een platform dat jou actief helpt bij het secure maken en houden van jouw applicaties, dan kun jij je weer richten om waar het echt om gaat: jouw businessuitdagingen.
Auteur: Arjan Waardenburg, low-code solution architect bij OutSystems
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.
IndustrieVandaag is een onafhankelijk platform met het laatste nieuws over de procesindustrie, industrial processing, productie industrie, maakindustrie en elektronica industrie.
Neem contact met ons op:
Tel +31 (0)23 737 07 63
Email via contactpagina
