AUDITING

Het laten auditen van webapplicaties zou een essentieel onderdeel moeten zijn van het IT-beleid van een organisatie. Zeker in het geval transacties plaatsvinden via webapplicaties en andere bedrijfskritische processen aan de orde zijn.

Security

De veiligheid en betrouwbaarheid van een systeem dient te worden beoordeeld in de volgende dimensies:

• Confidentiality: de mate waarin alleen geautoriseerde gebruikers toegang hebben tot informatie
• Integrity: de mate waarin de informatie juist, volledig en tijdig is
• Availability: de mate waarin de informatie beschikbaar is op het moment dat het nodig is

Control

Om een situatie van grip en control op een systeem te krijgen, worden de volgende maatregelen onderscheiden:

• Fysieke aspecten: sloten, tourniquets, beveiligde datacenters
• Organisatorische aspecten: scheiden van taken, procedures
• Logische aspecten: wachtwoorden, input controls, security- en encryptiemodellen

Vooral de laatste twee typen aspecten komen aan de orde tijdens een audit. Afhankelijk van de vastgestelde beveiligingsgraad en eventuele problemen worden preventieve, detectieve of correctieve maatregelen getroffen.

Vooral wanneer webapplicaties onderdeel uitmaken van een geïntegreerde omgeving, dienen security-aspecten regelmatig te worden beoordeeld. Daar waar applicaties elkaar raken en data uitwisselen - via webservice, interface, koppeling e.d. - dient speciale aandacht te worden gegeven aan de vertrouwelijkheid van informatie.