Blog Informatiebeveiligingbeleid in de praktijk: Veilig programmeren
  • Portretfoto van Ralph Jacobs
    Ralph Jacobs

Informatiebeveiligingbeleid in de praktijk: Veilig programmeren

Goede software werkt. Veilige software blijft werken. Best practises zijn belangrijk in de ontwikkeling van je software.

Waarom veilig programmeren belangrijk is

Digitale dreigingen evolueren razendsnel en organisaties kunnen het zich niet veroorloven om achter te blijven. Kwetsbaarheden in software kunnen namelijk leiden tot datalekken, financiële schade en reputatieverlies. Maar hoe zorg je ervoor dat jouw code veilig is? Bij Four Digits hanteren we een aanpak die niet alleen gericht is op techniek, maar ook op proces en cultuur. Onze werkwijze is gebaseerd op internationale beveiligingsstandaarden, zoals de ISO 27001-certificering die we hanteren voor informatiebeveiliging maar veel al ook door common sense en verificatie. In deze blog delen we hoe jij veilig programmeren kunt toepassen in de praktijk, door kleine stukjes uit ons beleid toe te lichten.

Hoe wij veilige software ontwikkelen

Veilig programmeren begint bij een sterke basis. Code wordt altijd door een tweede ontwikkelaar gecontroleerd, zodat fouten en beveiligingslekken vroegtijdig worden opgespoord. Consistentie in code speelt ook een rol; met linting en formatters zorgen we ervoor dat de code gestructureerd en leesbaar blijft. Daarnaast testen we onze software grondig met geautomatiseerde tests, zodat kwetsbaarheden niet pas bij acceptatie of nog erger na livegang aan het licht komen. Door standaarden te gebruiken en te handhaven vergroten we de veiligheid en overdraagbaarheid van elk project. Een winst voor onze opdrachtgevers, want hierdoor is er minder tijd nodig voor het schakelen en kunnen we ons echt richten op het bedenken en realiseren van de oplossing.

We kiezen bewust voor robuuste technologieën zoals Django, waarin herbruikbaarheid en veiligheid in centraal staat. Regelmatige complexiteitschecks en refactoring helpen om de code clean en beheersbaar te houden. Door actieve onderhoud voorkomen we technical debt. Maar techniek alleen is niet genoeg; een goed beveiligingsbeleid vraagt om voortdurende aandacht en kennisdeling. Daarom organiseren we regelmatig sessies waarin onze ontwikkelaars de nieuwste beveiligingsinzichten met elkaar delen, en zijn code reviews ook echt kritische sessies waarvan we allemaal proberen te leren, keer op keer.

Security test passed affiche Amsterdam

Beveiliging integreren in je workflow

Naast het schrijven van veilige code is het essentieel om beveiliging te verankeren in het ontwikkelproces. We scannen dependencies automatisch op kwetsbaarheden en volgen de nieuwste security-updates op de voet. Zo zijn we bijvoorbeeld lid van de Digital Trust Center (DTC Community), een besloten en veilige plek waar IT-professionals, cybersecurity experts en ondernemers kennis en ervaring met elkaar delen. Ons change management en versiebeheer zorgen ervoor dat software-updates veilig en gecontroleerd worden doorgevoerd. Daarnaast werken we zoveel mogelijk met geanonimiseerde data in testomgevingen om risico’s te minimaliseren. Het is niet alleen een werkwijze die we hanteren en adviseren, beveiliging en kwaliteit is belangrijk voor iedereen binnen Four Digits.

Monitoring

Een sterk beveiligingsbeleid vereist continue monitoring. Met tools zoals Sentry en onze eigen ontwikkelde Pulse houden we onze applicaties in de gaten, zodat we verdachte activiteiten snel kunnen opsporen en mitigeren. Meten is weten. We kunnen onze klanten nog sneller helpen door inzicht te hebben in wat er gebeurd in de applicaties die we voor ze maken. De informatie die we ontvangen van de klant inclusief de combinatie van Sentry, zorgt voor een snellere oplostijd. Iedereen blij.

Voorbeeld van een Vulnerabilities report
Voorbeeld van een Vulnerabilities report

Listen very carefully, I shall say this only once

We hanteren het ‘least privilege’-principe, wat betekent dat gebruikers en systemen alleen toegang krijgen tot wat strikt noodzakelijk is. Dit regelmatig doorlopen hoort er dus ook bij. De deur van een klus in de bank zet je toch ook niet open en dan loop je weg?

Conclusie

Veilig programmeren is geen eenmalige actie, maar een doorlopend proces. Je auto breng je toch ook regelmatig naar de garage? Software moet je ook onderhouden. Door kritisch te blijven op je code, de juiste tools te gebruiken en beveiliging in je workflow te integreren, kun je de risico’s aanzienlijk verkleinen. We geloven we dat een sterke focus op security de basis vormt voor betrouwbare software. Wil jij je ontwikkelproces veiliger maken? Begin vandaag nog met het toepassen van deze principes en maak van beveiliging een vast onderdeel van je softwareontwikkeling. Sparren over software kwaliteit? Hulp nodig bij het schrijven van veilige code? Wij helpen je.

Bekijk ook

De nieuwe website van Waterschap Vallei en Veluwe: gebouwd vanuit vragen van inwoners, bedrijven en partners

Een goede overheidswebsite begint niet bij techniek. Ook niet bij een CMS of een nieuw ontwerp. Hij begint bij de mensen die hem gebruiken. Bij inwoners die iets willen regelen. Bij ondernemers die snel een vergunning of melding zoeken. Bij partners die actuele informatie nodig hebben. En bij bezoekers die niet eerst willen uitzoeken hoe een organisatie intern in elkaar zit, maar gewoon snel verder willen.

  • Portretfoto van Ralph Jacobs
    Ralph Jacobs
Vrijdag de 13e ⚡️ Lightning Talks

Deze editie had een sterke opkomst met negen sprekers en een volle zaal. Het format is zoals altijd: een spreker krijgt vijf minuten en wordt daarna vriendelijk afgekapt.

  • Portretfoto van Coen van der Kamp
    Coen van der Kamp
Bekijk alle blogs
We love code