Skip to main content

Beveiliging van software

We streven er na dat software optimaal functioneert en de organisatie effectief ondersteunt. Voor adequate beveiliging streven we er naar dat de beveiliging integraal deel uitmaakt van informatiesystemen.

Hiervoor dienen een aantal organisatorische aspecten te worden ingeregeld. Het toetsen op het Informatie Beveiliging (IB) beleid van IT-projecten bij start:

O Toetsing op IB beleid is onderdeel van de toets voor projecten met een IT-component en onderdeel van de project start en eind architectuur.

O Projecten met een hoog risicoprofiel vallen onder toezicht van IT. Toetsing op architectuur en informatiebeveiliging is hier onderdeel van.

O Projectmandaten worden ten behoeve van behandeling in het organisatie overleg (onder meer) voorzien van een advies op informatiebeveiliging.

O In het programma van eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen worden ook relevante beveiligingseisen opgenomen.

O Monitoring door de CISO


Softwareontwikkeling en onderhoud:

  • Applicaties worden ontwikkeld en getest o.b.v. richtlijnen voor beveiliging, zoals richtlijnen voor beveiliging van webapplicaties. Er wordt tenminste getest op bekende kwetsbaarheden met behulp van de OTAP omgevingen.
  • Web applicaties worden voor de in productie name onder meer getest op invoer van gegevens.
  • De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen.
  • Alleen gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd (doelbinding), rekening houdend met beveiligingseisen (classificatie).
  • Toegang tot de broncode is beperkt tot de medewerkers, die deze code onderhouden of installeren.


Hoe is de encryptie (versleuteling) geregeld?

  • Gebruikt de organisatie encryptie en welke?
  • Hoe is intern dataverkeer ('machine to machine') conform classificatie beveiligd met certificaten?
  • Als de beveiligingscertificaten centraal worden beheerd binnen de organisatie, functioneert de periodieke monitoring?


Voor een IT deskundige is dit de bekende materie.

Maar hoe wordt u als eindverantwoordelijke periodiek geïnformeerd over de informatie beveiliging van uw organisatie? Een rapportage minimaal per kwartaal van incidenten, geïmplementeerde releases en uitgevoerde plan do check act cyclus 's. Wat is de forecast voor het komende kwartaal;

Projecten, implementaties, personeelsmanagement en proactief software management op informatie beveiliging? Bent u als ondernemer in control op beveiliging van software?

Zo ja, goed werk en ga door. Twijfelt u bij deze vraag, nodig ons uit.

Vriendelijke groet en succes in 2020.

Frans Pijnenborg