Volgens

Veel bedrijven hebben een aparte securityafdeling. Dat snap ik niet.

Kwaliteitsbewaking en security zijn zó met elkaar verweven dat je ze niet los van elkaar kunt zien. Dat vindt Edward van Deursen, managing consultant en ethisch hacker.

Edward van Deursen begon bij SYSQA als tester. “Vóór die tijd ben ik 15 jaar programmeur geweest,” vertelt hij. “Vanuit dat gezichtspunt is testen alleen toch een beetje minderwaardig. Zo van: “Ga in een hokje zitten en doe je ding”. Maar het werd al gauw breder. Er wordt bij SYSQA méér van je verlangd. Je test niet alleen, je helpt mee een vakgebied ontwikkelen. Mijn belangstelling ging daarbij in de richting van security.”

Interesse in Security en QA?

Kom kennismaken met SYSQA! We vertellen je graag hoe jouw volgende carrièrestap eruit ziet.

Kennismaken

Daar gaan we niks mee doen

Edward had heldere ideeën op gebied van beveiliging. Daarnaast bleek hij zo volhardend als een terriër. “In 2011 gaf ik aan dat security in opkomst was. Toen kreeg ik als antwoord: “Ja, maar daar gaan we niks mee doen.” Ik ben er toch mee doorgegaan. Tot op het punt dat ik te horen kreeg: “Hou daar nou eens mee op.” En toen ben ik alsnog doorgegaan.” Zo heeft Edward de security-tak voor SYSQA opgezet en verder uitgebouwd. Eerst kwam er een kennisgroep, later kreeg hij ook ruimte voor het opzetten van security-  en performancetesttrainingen.

Het is maar een testomgeving

Volgens Edward kun je QA (kwaliteitsbewaking) en security niet los van elkaar zien. “QA is doorgaans alleen gericht op functionaliteit. Wat in het contract staat, dat moet de applicatie kunnen. Maar aan welke eisen moet het programma in de toekomst voldoen? Daar komt steeds meer aandacht voor.”

“Om die vraag te kunnen beantwoorden werken testers, leveranciers en ontwikkelaars meer en meer samen,” constateert Edward. “En ze delen hun bevindingen. Vaak gewoon via internet. Dat is handig, want daar kunnen alle partijen gemakkelijk bij de data. Maar realiseer je je wat je doet? Op internet staan soms gewoon login-gegevens en andere data die je liever niet onbeschermd wilt laten. Er wordt vaak lichtzinnig gedacht: “Het is maar een testomgeving, die wordt minder bekeken. En als het programma crasht? Och, jammer dan.” Voor een hacker is dat heerlijk. Als kwaliteitsmanager moet je je heel erg bewust zijn van security. Als je dat achterwege laat, kun je nooit kwaliteit waarborgen. Iedere SYSQAan moet daarom de basis van security weten. Vind ik.”

Als kwaliteitsmanager moet je je heel erg bewust zijn van security. Als je dat achterwege laat, kun je nooit kwaliteit waarborgen.

Edward van Deursen

Kijken of je gegevens kunt lospeuteren of weggooien

“Security komt er vaak bekaaid vanaf omdat het gezien wordt als extra in te kopen dienstverlening en dus duur,” weet Edward. “Maar je kunt QA en security gecombineerd uitvoeren. Neem bijvoorbeeld een invoerveld. Vanuit functionaliteit gedacht kun je hier waarden invullen om de veldlengte of het type karakters te testen, zoals bij een postcode-format, en het daarbij laten.” De hacker grijnst: “Maar als je creatiever kijkt en security erbij betrekt, zou je kunnen proberen om gekke tekstcodes in te voeren als je toch bezig bent. Zoals SQL-code. Leuk om te kijken of je gegevens kunt lospeuteren of weggooien. En mocht dat lukken, dan kun je meteen mooi de back-up- en restoreprocedure testen.”

Werken vanuit je gevoel

Volgens Edward is security een kwestie van boerenverstand en werken vanuit je gevoel. “Een belastingformulier wordt door mensen opportunistisch ingevuld als ze daarmee voordeel kunnen behalen. Ga nog een stapje verder, denk alsof je een misbruiker bent en voer dan eens je testen uit.”


Het belang van security wordt steeds meer ingezien, en Edward krijgt nu dan ook ruim baan. De rol van managing consultant biedt hem de mogelijkheid zijn ideeën verder te concretiseren. “Ik heb nu mensen nodig,” zegt hij. “We leiden je intern op. We leggen eerst een brede QA-basis, want je moet een context schetsen. Daarna volgt security.” Edward benadrukt: “Ik ben in de eerste plaats QA-manager, ik heb ideeën over kwaliteit en performance. Security is daarbij mijn specialiteit. Bij QA en security kom je dezelfde problemen tegen: er zijn altijd issues, er werkt iets niet goed en het kost altijd geld. Pak die aspecten gecombineerd aan, dan sla je twee vliegen in één klap.”

IT Security SYSQA

Wil je meer lezen over IT security van SYSQA? Zoek op dit zoekwoord op deze site of ga naar sysqa.nl.