Innovatie & Strategie

Security
checklist

Techreuzen komen met checklist voor 'minimale security'

In nasleep van grote hackaanvallen via SolarWinds, Kaseya, en meer.

© CC0 - Flickr.com Animated Heaven
8 november 2021

In nasleep van grote hackaanvallen via SolarWinds, Kaseya, en meer.

Een nieuwe checklist voor minimaal benodigde beveiliging is opgesteld naar het innovatievoorbeeld van minimaal levensvatbaar product (minimum viable product, MVP). De zogeheten Minimum Viable Secure Product-checklist (MVSP) is mede gebaseerd op de contractuele leveranciersaanpak van Dropbox en de vragenlijst die Google voorlegt aan leveranciers om hun security in te schatten.

Een groep grote techbedrijven waaronder Google, Salesforce, Slack en Okta, heeft samen de MVSP-checklist opgesteld en vrijgegeven. Dit leveranciersneutrale controlemiddel voor ICT-beveiliging geeft gebruikers grip op het verkrijgen van een basislijn voor hun digitale security. Zij kunnen hiermee namelijk beveiligingsvereisten controleren voor leveranciers van B2B-software én voor dienstverleners die outsourcing van bedrijfsprocessen verzorgen.

Leveranciers doorlichten

De makers presenteren MVSP als "een minimalistisch securitychecklist" die is ontworpen met eenvoud  in gedachten. "De checklist bevat alleen die controls die op z'n minst moeten zijn geïmplementeerd om je te verzekeren van een redelijke securityhouding." De motivatie voor deze controlelijst voor ICT-beveiliging komt van het Vendor Security Model Contract (VSMC) van Dropbox en de Vendor Security Assessment Questionnaire (VSAQ) van Google.

Bedrijven kunnen de MVSP benutten om hun processen voor het aankopen van digitale middelen te stroomlijnen mét oog op beveiliging. De checklist voorziet er namelijk in dat ICT-afnemers dan ook een minimaal niveau aan beveiliging voor geselecteerde producten en diensten krijgen. Leveranciers en aanbieders die de MVSP voorgelegd krijgen, moeten die nalopen en de items afvinken.

De checklist wordt op continue basis bijgewerkt, en dat via drie 'kanalen'. Eén daarvan biedt de zogeheten patch-versie en die wordt frequent bijgewerkt voor onder meer tikfouten, woordkeuze en andere relatief kleine zaken. Een tweede releasekanaal is de minorversie en die biedt updates wanneer er veranderingen aan de tekst zijn die echter níet de inhoud van een item op de checklist veranderen. En het derde releasekanaal is de majorversie die nieuwe controls toevoegt aan de checklist, of de aard van bestaande items verandert. De majorversie wordt op jaarbasis uitgebracht. 

Start-up succes maar dan voor security?

Het centrale idee is afkomstig van het MVP-concept in de wereld van softwareontwikkeling. Developers maken daarbij niet een zo volledig mogelijk product, wat veel geld en tijd kost, maar mikken op een basaal product dat voldoende functionaliteit biedt om levensvatbaar te zijn. De MVSP-checklist levert een beeld op van wat een product of dienst minimaal moet hebben om veilig te zijn. In de developerswereld heeft de MVP-aanpak al tot succesvolle start-ups als Spotify, Uber, AirBnB en Dropbox geleid.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.