Security en privacy zijn typisch van die onderwerpen die vaak te laat aan bod komen bij softwareontwikkeling. Teams hebben maanden gewerkt aan een nieuwe functionaliteit en vlak voor de live-gang daalt plots het besef in: hebben we eigenlijk wel goed genoeg nagedacht over de veiligheid van data?
Het is natuurlijk beter om vanaf het allereerste moment in het ontwikkelproces rekening te houden met de beveiliging en bescherming van data. In de praktijk zijn ontwikkeltrajecten echter zelden ‘secure by design’. Wie wel op deze manier wil werken, moet aandacht besteden aan zowel de techniek als aan het ontwikkelproces. Niet voor niets hebben we bij Info Support specialisten op beide fronten, waaronder Principal Architect Raimond Brookman en Senior Adviseur Privacy & Ethiek Nico Nijenhuis.
De vraag aan deze experts is dan ook: hoe zorg je er nu voor dat security en privacy worden geïntegreerd in het volledige ontwikkelproces? Wanneer ben je nu écht ‘secure by design’?
Raimond Brookman: “Waar het in de praktijk vaak misgaat is dat DevOps-teams in sprints werken aan een functionaliteit. Pas op het moment dat de penetratietest wordt uitgevoerd, gaat iemand in het team vragen stellen zoals ‘Hebben we de security & privacy eigenlijk wel op orde?’.”
“Teams hebben vaak een hele sterke focus op het doel van het ontwikkeltraject”, aldus Nico Nijenhuis. “En door die focus verliezen ze andere zaken uit het oog, waaronder privacy en ethiek. Je ziet het nu bijvoorbeeld gebeuren met Smart City-initiatieven, waarin mensen op straat in kaart worden gebracht aan de hand van hun mobiele telefoon, met behulp van WiFi en Bluetooth-tracking. Als voetganger heb je hier vaak geen idee van, laat staan dat je je er redelijkerwijs aan kunt onttrekken. Dit soort technologieën wordt ook lang niet altijd om veiligheidsredenen ingezet, maar om relevante informatie aan te leveren voor winkeliers. Dat schiet voorbij aan maatschappelijke waarden als privacy en openbare ruimten die vrij toegankelijk moeten blijven.