Ontwerpers van IT-systemen pakken het aspect van de informatiebeveiliging niet adequaat genoeg aan. Vaak kijken ontwerpers eerst alleen naar de functionele eisen van een systeem, om pas achteraf, als het systeem al gebouwd is, de blik te richten op de veiligheidsaspecten.
Dit concludeert Olaf Tettero in zijn proefschrift‘Intrinsic Information Security’, dat hij morgen aan de Universiteit Twente in Enschede zal verdedigen.
Tettero stelt vast dat gedurende het gehele ontwerpproces rekening moet worden gehouden met beveiliging, om zowel de veiligheid als het adequaat functioneren van telematica-systemen te kunnen garanderen. Met het Information Security Embedded Design Process (Ised) presenteert hij een systematische benadering om veiligheidsvraagstukken van meet af aan mee te nemen in het ontwerpproces van telematicasystemen.
Het achteraf toevoegen van beveiligingsmaatregelen aan dergelijke systemen, dus nádat deze operationeel zijn gemaakt, leidt in de praktijk vaak niet tot goede resultaten. Dat komt omdat deze toevoegingen afwijkingen veroorzaken in de oorspronkelijke functionaliteit van het systeem, de bruikbaarheid van bijvoorbeeld de gebruikersinterfaces verminderen en extra verwerkingstijd vragen van gebruiker en systeem. Daarom heeft Tettero onderzocht hoe de veiligheidskwesties op een systematische manier in het ontwerpproces van telematicasystemen kunnen worden meegenomen. Zijn onderzoek – bij het Telematica Instituut in Enschede – leidde tot het Ised-proces.
De systematische aanpak daarvan maakt het volgens de promovendus mogelijk de tekortkomingen in het traditionele ontwerpproces op te heffen. In het begin van het ontwerpproces ondersteunt het Ised-proces bij de identificatie van risico’s en beveiligingseisen. Daarbij wordt niet alleen naar de technische aspecten gekeken, maar ook naar omgevingsfactoren. Vervolgens structureert Ised het inbedden van beveiliging in de verschillende activiteiten van het ontwerpproces. Het helpt bij het definiëren van de ontwerpactiviteiten, bepaalt welke actoren bij welke activiteiten betrokken moeten worden en welke hulpmiddelen daarbij gehanteerd kunnen worden. Bovendien bevat het Ised-proces een hele reeks middelen om kwetsbaarheden in het ontwerp te ontdekken.
Het proefschrift is te bekijken en bestellen op de website van het Telematica Instituut:http://www.telin.nl.