Als je aan het roer staat van een bedrijf, sta je onvermijdelijk voor de keuze: kies je voor software op maat, of voor een kant-en-klare oplossing (off-the-shelf)? Beide opties hebben hun voor- en nadelen, maar als het gaat om veiligheid, zijn er een aantal dingen die je goed moet overwegen.

De voordelen en risico’s van off-the-shelf software

Kant en klare software lijkt in eerste instantie vaak de veiligste keuze. Die wordt gebouwd door grote, internationale spelers die enorme teams van beveiligingsexperts in huis hebben. Dit soort software is overal ter wereld in gebruik, en dat geeft een bepaalde zekerheid: wanneer er een beveiligingslek wordt gevonden, is er een grote kans dat het snel wordt opgelost. Klinkt goed, toch?

Maar hier komt de keerzijde: juist omdat die software door duizenden, misschien wel miljoenen gebruikers wereldwijd wordt gebruikt, is het ook een aantrekkelijk doelwit voor hackers. Als een hacker een kwetsbaarheid in zo’n systeem vindt, kan hij in één klap toegang krijgen tot de data van enorm veel bedrijven. Het is alsof ze een sleutel vinden die op heel veel deuren past.

Waarom maatwerksoftware minder aantrekkelijk is voor hackers

Maatwerksoftware heeft een groot voordeel als het om veiligheid gaat: het wordt door één bedrijf gebruikt. Dat maakt het simpelweg minder interessant voor hackers. Het is veel aantrekkelijker om een zwakke plek te zoeken in software die wereldwijd wordt gebruikt dan in iets dat slechts één bedrijf heeft laten ontwikkelen.

Het lijkt misschien alsof je met een kleiner team of een lokale partner een groter risico loopt, toch is dat vaak niet zo. Een hacker die weken of maanden moet investeren om toegang te krijgen tot de data van één bedrijf, zal twee keer nadenken of dat zijn tijd wel waard is. Zeker als het gaat om bedrijven die geen extreem gevoelige data verwerken.

De mythe van ‘veiligheid in aantallen’

Toch blijft er bij veel bedrijven het idee hangen dat een groter softwarebedrijf automatisch betere security betekent. Meer resources, grotere teams, en dus meer veiligheid, toch? Dat is slechts deels waar. Natuurlijk zal een softwaregigant veel tijd en geld investeren in het beveiligen van hun producten. Maar, en dit is belangrijk, als hun beveiliging faalt, ben jij ook de klos.

Stel je voor: je gebruikt een populair softwarepakket van een grote speler, maar een andere klant van dat pakket heeft veel gevoeligere data dan jij. Als hackers dat bedrijf als doelwit kiezen, en ze vinden een kwetsbaarheid in de software, is jouw data plots óók kwetsbaar. Plots loop je mee risico, zelfs als jouw data op zich misschien niet zo interessant was.

Welke keuze maak je?

Of je nu kiest voor maatwerksoftware of voor een off-the-shelf oplossing, het is belangrijk dat je de juiste afwegingen maakt. Beide opties hebben hun eigen risico’s en voordelen. Het is aan jou om te bepalen wat voor jouw bedrijf het belangrijkst is. Heb je echt maatwerk nodig, en wil je een lager profiel houden wat betreft potentiële dreigingen? Of vertrouw je liever op een gevestigde partij met grote teams van beveiligingsexperts?

Belangrijk is dat je altijd goed nagaat hoe waardevol jouw data is en welke risico’s je bereid bent te nemen. Want, zoals we eerder zeiden: je koopt geen kluis van duizend euro om er een paar tientjes in te stoppen. Maar: een miljoen bewaar je ook niet in een schoendoos.

In het volgende hoofdstuk gaan we verder in op een cruciale factor bij het bouwen van veilige software: het principe van ‘security by design’. En waarom dat geen optie, maar een must is bij het ontwikkelen van maatwerksoftware.