Blog | Pentestvinkje.nl

Security by Design: Een Fabel voor de Moderne IT-Manager

Door: Pentestvinkje

"Security by Design" is het heilige mantra van de moderne cybersecurity-expert. Maar wat betekent het eigenlijk? Vraag het aan tien IT-managers en je krijgt elf antwoorden, variërend van "iets met encryptie" tot "onze developers gebruiken nu MFA, dus we zitten goed."

Toch hoor je overal dat Security by Design dé oplossing is voor alle securityproblemen. Dat jouw applicatie al jaren lekt als een vergiet, dat maakt niet uit – als je maar hard genoeg roept dat je Security by Design toepast, dan kun je gerust verder met je sprint planning.

De Magie van een PowerPoint Slide

De echte kracht van Security by Design zit ‘m niet in de code, maar in de PowerPoint-presentatie. Wanneer een CISO met een grafiek vol pijlen en cirkels aankomt, weet je: dit is serieuze business. Niemand weet precies wat er staat, maar dat maakt niet uit, zolang het er maar professioneel uitziet.

Een goed Security by Design-plan bevat de volgende cruciale elementen:

• ✅ Een mooie architectuurtekening met pijlen die naar security-gateways wijzen (niemand weet wat ze echt doen).
• ✅ Een threat modeling workshop waarin iemand "SQL Injection" roept en iedereen knikt.
• ✅ Een compliancy-checklist waarin staat dat je aan alle normen voldoet, zolang je maar een vinkje zet bij "we denken aan security."

Met deze drie elementen is Security by Design officieel toegepast. Gefeliciteerd, je product is nu cyberveilig!

Developers vs. Security: Een Liefdesverhaal

Security by Design klinkt prachtig, totdat je met developers gaat praten. Want wie wil nou security meenemen in de eerste designfase? Juist: niemand.

• "Kunnen we dit pas na de release doen?"
• "Security vertraagt de innovatie!"
• "Waarom is die pentester alweer aan het huilen?"

En zo wordt Security by Design een mythisch concept: iedereen heeft erover gehoord, niemand heeft het ooit echt gezien.

De Praktische Oplossing: Een PDF

Omdat Security by Design lastig blijkt te implementeren, hebben veel bedrijven een revolutionaire oplossing bedacht: een Security by Design Policy (in PDF-formaat).

Dit document van 127 pagina’s beschrijft precies hoe Security by Design toegepast moet worden, maar wordt door niemand gelezen, behalve door de auditor die checkt of er een document is. Na het lezen van de titel zet hij een vinkje, en daarmee is Security by Design officieel onderdeel van het bedrijf.

Conclusie: Een Illusie van Veiligheid

Security by Design is als een regenjas van papier: in theorie beschermt het je tegen een storm, maar in de praktijk sta je alsnog kletsnat. De term wordt enthousiast gebruikt in boardrooms, maar zodra het developmentteam ermee aan de slag moet, wordt het een voetnoot in een Jira-ticket dat nooit opgepakt wordt.

Wil je echt een veilige applicatie? Zorg dan dat security onderdeel wordt van elke fase van het proces, van ontwerp tot implementatie. Maar laten we eerlijk zijn: waarom zou je dat doen als je ook gewoon een PowerPoint kunt maken en een PDF kunt uploaden?

Heb je zelf een Security by Design-verhaal dat te mooi was om waar te zijn? Deel het met ons! Wij zetten er een vinkje achter.

#Pentestvinkje #SecurityByDesign #ComplianceDrivenSecurity