Verksamhet
Dataskydd Det här gäller enligt dataskyddsförordningen Informationssäkerhet Säker applikationsutvecklingSäker applikationsutveckling
Varför behövs säker applikationsutveckling?
Ofta behandlar applikationer personuppgifter på något sätt. Därför måste verksamheten säkerställa en lämplig säkerhetsnivå i förhållande till personuppgiftsbehandlingen. Det är viktigt att beakta säkerheten redan från början och under hela utvecklingsprocessen. Det underlättar också när man ska få med inbyggt dataskydd och dataskydd som standard.
De personuppgifter som behandlas i en applikation kan röra både användarna och utvecklarna av applikationen, men även applikationens administratörer. Det finns olika stöd för att arbeta med säker applikationsutveckling, bland annat OWASP Top Ten. OWASP Top Ten är ett dokument som har till syfte att öka medvetenheten kring riskerna med framför allt utveckling av webbapplikationer.
Hur ska ni arbeta med säker applikationsutveckling?
Nedan är några exempel på vad som kan förväntas av er som verksamhet när ni arbetar med säker applikationsutveckling för att begränsa riskerna med er personuppgiftsbehandling.
- Analysera designen av applikationen
Innan koden börjar skrivas bör ni gå igenom den tänkta designen och arkitekturen för applikationen. På så sätt kan ni tidigt identifiera eventuella sårbarheter och få en överblick av personuppgiftsbehandlingen. Detta kan göras genom exempelvis hotmodellering, som är en typ av hot- och riskanalys för att identifiera potentiella hot och rekommendationer för att minska riskerna och uppfylla säkerhetsmålen tidigt i utvecklingsprocessen. - Kodgranska
Kodgranskning innebär att man granskar källkoden för att hitta eventuella brister. Det kan ske antingen manuellt eller med hjälp av särskilda granskningsverktyg. Det är viktigt att fler än bara den som har skrivit koden granskar den. - Testa säkerheten
Sårbarhetsskanningar och penetrationstester är exempel på olika säkerhetstester där man simulerar en attack och testar om sårbarheter kan finnas i it-systemet. Säkerhetstester kan göras manuellt genom att någon försöker hitta och utnyttja identifierade sårbarheter eller automatiserat med hjälp av en programvara för sårbarhetsskanning. Det är vanligt att både manuella och automatiserade tester kombineras. - Dokumentera resultaten
Dokumentera resultaten av säkerhetstesterna så att eventuella sårbarheter kan följas upp och åtgärdas vid behov. Granskning och tester genomförs inte bara vid ett tillfälle, utan kan behöva ske kontinuerligt för att hela tiden säkerställa en lämplig skyddsnivå. - Säkra upp API:er
API står för application programming interfaces eller programmeringsgränssnitt. API-säkerhet blir allt viktigare, eftersom API:er ofta exponerar personuppgifter och annan skyddsvärd information på olika sätt. Det är därför nödvändigt att de säkras upp på lämpligt sätt, i synnerhet när man behandlar särskilt skyddsvärda personuppgifter som exempelvis känsliga personuppgifter.