Dit is een expertquote van Santosh Sharman, Kiwa, in het kader van ANP Expert Support. U kunt dit bericht, of delen hiervan gebruiken op uw kanalen. Aanleiding: Steeds meer software als dienst ingekocht - Binnenlands Bestuur
De website Binnenlands Bestuur meldde onlangs dat gemeenten steeds vaker software inkopen als dienst. Inmiddels is 35 procent van de door gemeenten gebruikte programma’s Software as a Service (SaaS), zo blijkt uit onderzoek. Dat aandeel zal naar verwachting binnen een paar jaar stijgen tot 60 procent. Dit vraagt bij gemeenten om extra aandacht voor privacybescherming en cyberveiligheid.
Gemeenten verwerken en bewaren privacygevoelige informatie van hun inwoners en moeten dus altijd oog hebben voor de cyber- en dataveiligheid. Dat is extra belangrijk als software, als SaaS-oplossing, wordt ingekocht bij derden. Een doortastend inkoopbeleid is een goede eerste stap om kwalitatief goede SaaS-diensten aan te kopen. Daarbij kan onder meer worden gelet op de volgende zaken:
Dit zijn slechts een aantal aandachtspunten bij de aanschaf van veilige SaaS-producten. Van belang zijn ook de integratie met overige softwaresystemen, gebruikslicenties en contractduur.
Kortom, bij het aankopen van softwarediensten moeten experts worden betrokken met diepgaande kennis van de veiligheidsaspecten van softwareproducten. Verder is het belangrijk dat zowel de compliance als potentiële risico’s door een onafhankelijke partij gecheckt worden. Voor compliance-vraagstukken kunnen, naast de AVG, ook kwaliteitsstandaarden als de ISO 270001 en de IEC 62443 worden gebruikt.
Om vroegtijdig risico’s te signaleren en beheersen, kan gebruik worden gemaakt van penetratietests, bug bounty hunts en vulnerability assessments. De combinatie van een compliance- en een risicogebaseerde aanpak zorgt ervoor dat je optimaal grip krijgt op de cyberbeveiliging van producten en diensten.
Santosh Sharman is Product Manager IoT Security bij Kiwa