Hoe waarborg je de veiligheid van een Pega applicatie?

In het dagelijks leven willen we ons allemaal graag veilig voelen. Ditzelfde geldt natuurlijk ook voor de applicaties die we bouwen. Security en privacy zijn dan ook thema’s waar Pega hoge prioriteit aan geeft. Dit doen zij onder andere door middel van een Integrated Application Security Checklist. In deze blog vertelt Arun Singh wat dit inhoudt en wat Pega nog meer doet om de veiligheid van je Pega applicatie te waarborgen.

Pega security

De beveiliging van applicaties en gegevens zijn tegenwoordig vaak het onderwerp van gesprek bij grote organisaties. Een slechte of foutieve beveiliging kan er voor zorgen dat bepaalde applicaties niet kunnen worden geïmplementeerd. De modelgestuurde architectuur van het Pega Platform stelt de gebruiker in staat om applicaties te beveiligen door middel van ingebouwde functies. Daardoor hoef je niet langer te vertrouwen op aangepaste code die is gebouwd door ontwikkelaars die geen beveiligingsexpert zijn.

“Door de veranderende regelgeving en het dreigingslandschap is het voor organisaties tegenwoordig uiterst belangrijk om hun applicaties veilig te houden. Het beveiligen van applicaties tegen aanvallen is van cruciaal belang om negatieve klantperceptie en mogelijke wettelijke sancties te voorkomen” aldus Arun.

Doel van security

Het eerste doel van beveiliging is het voorkomen van verlies van vertrouwelijkheid. Er moet worden voorkomen dat onbevoegde personen toegang krijgen tot gegevens of systemen. Daarnaast is het belangrijk dat de integriteit wordt beschermd. Dit betekend dat systemen en gegevens niet kunnen worden aangepast door onbevoegden. Ten slotte moet er gekeken worden naar de beschikbaarheid. Dit betekent dat er geen onaanvaardbare vertragingen mogen voorkomen in de toegang tot gegevens en systemen.

Arun: “Vertrouwelijkheid, integriteit en beschikbaarheid zijn onderdeel van een model dat is ontworpen als leidraad voor het beleid voor informatiebeveiliging in een applicatie. Deze drie elementen vormen input om het beleid, de standaarden en procedures van het Pega-beveiligingsraamwerk te definiëren. Dit wordt vervolgens gerealiseerd door de implementatie van toegangscontrole, beschikbaarheidscontrole en auditbeheer.

1. Toegangscontrole: Voorkomen van ongeoorloofde toegang tot systemen en data
2. Beschikbaarheidscontrole: Voorkomen van aanvallen op systemen die de vertrouwelijkheid, integriteit of beschikbaarheid van Pega-omgevingen aantasten
3. Auditbeheer: vermijden van kostbare en tijdrovende audits om de bron of impact van een beveiligingsgebeurtenis te bepalen.”

De Pega security Checklist

De Pega Security Checklist is het belangrijkste kenmerk van het Pega Platform dat klanten helpt bij het versterken van hun applicaties en systemen. De security checklist bevat Pega’s best practices voor het veilig implementeren van applicaties. Daarnaast geeft het aan wanneer elke taak moet worden uitgevoerd; bij het begin van de ontwikkeling, op continue basis of net voor de implementatie.
Arun: “De Security Checklist van Pega helpt bovendien de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie tijdens het gehele proces te beschermen. Daarnaast zorgt het ervoor dat dure nabewerkingen worden voorkomen doordat het op tijd aangeeft wanneer er tijdens de ontwikkeling een taak moet worden uitgevoerd.”

Gedeelde verantwoordelijkheid

Pega neemt systeem- en applicatiebeveiliging uiterst serieus. Naast de Pega Security Checklist toont het steeds de algehele voltooiing van taken omtrent beveiliging op de Dev-studio startpagina en heeft het ingebouwde manieren om de status van elke taak bij te kunnen houden. Op deze manier ondersteund Pega gebruikers bij het volgen van de voltooiing van de taken in de Security Checklist. Toch hebben ook klanten en applicatiebeheerders verantwoordelijkheden die essentieel zijn voor het implementeren van veilige applicaties volgens Arun:

“Tijdens de ontwikkeling van applicaties moeten systeemarchitecten speciale aandacht besteden aan het compliant houden van de applicatiebeveiliging en het regelmatig controleren van beveiligingswaarschuwingslogboeken. Daarnaast moet de focus liggen op het beveiligen van toegang tot services en het definiëren van de juiste rollen en privileges. Hierdoor kan de toegang tot onderdelen van de applicatie worden beperkt.”