5.6.1. Korte samenvatting (veiligheidstesten)

Dit document beschrijft wat de Vlaamse overheid verstaat onder verschillende praktijken die de veiligheid van (software) code bewaken. Specifiek gaat het over:

• Code review: het controleren van code op veiligheidsproblemen tijdens de ontwikkelings- en testfases

• “Vulnerability scans”: het testen op kwetsbaarheden in een toepassing en haar onderliggende infrastructuur

• Incidenten of waarschuwingen die voortkomen uit security mechanismen, zoals “Intrusion

• Detection/Prevention Systems” of next-generation netwerk sensoren

• Penetratietesten: het testen op kwetsbaarheden in toepassingen en websites in productie

• Responsible Disclosure: publiekelijk de vraag stellen aan white hat hackers om kwetsbaarheden te zoeken in toepassingen en websites die in productie staan

In deze oplijsting zit een logische, chronologische volgorde, wat ook in lijn ligt met het concept van Security by Design.

Voor elk van deze praktijken brengen we in kaart:

• welke risico’s ze afdekken

• wat we exact onder elk van deze praktijken verstaan

• in welke omgeving toepassingseigenaars of -beheerders deze moeten uitvoeren

• tegen welke scope deze tests moeten gebeuren

• welke tools je kunt gebruiken

Ook geven we aan hoe de (toepassings)eigenaar omgaat met het oplossen van gevonden kwetsbaarheden. Hierbij is risico-appetijt de basis.
Het is essentieel om binnen de (eigen) organisatie de rollen en verantwoordelijkheden duidelijk af te lijnen om tot een effectief beheer van kwetsbaarheden te komen. Het uitvoeren en inrichten van veiligheidstesten is hierin slechts de eerste stap. Elke entiteit kan zelf beslissen hoe ze zich hiervoor organiseert. In het hoofdstuk Rollen en verantwoordelijkheden geven we hier wel een aanzet voor.