In de zorg is het vierogenprincipe een vast gegeven. Of het nu gaat om een medische beslissing of een complexe interventie, een extra paar ogen voorkomt fouten en verhoogt de betrouwbaarheid. Maar hoe zit dat met informatiebeveiliging? 

Bart Koppens, directeur bij Promeetec – is hier duidelijk over: “Veel organisaties vertrouwen blind op hun IT-leverancier, maar je blijft als organisatie natuurlijk zelf verantwoordelijk voor de wijze waarop zaken worden ingericht. Die verantwoordelijkheid kan je niet volledig bij een ander neerleggen. Het is jouw organisatie. Je wilt grip, maar wel door iemand met expertise.”

“Als organisatie werken we met patiëntdata zoals BSN-nummers”

Promeetec is al sinds 1998 een expert in het verwerken van informatie- en declaratiestromen binnen de zorgverzekeringswet (Zvw) en Wet langdurige zorg (Wlz). U kunt ze zien als ‘postkantoor’ van de zorg: Promeetec zorgt ervoor dat facturen correct worden geregistreerd en bij de juiste zorgfinancier terechtkomen. 

Het verwerken van zulke gevoelige gegevens brengt grote verantwoordelijkheden met zich mee. Bart: “Als organisatie werken we met patiëntdata zoals BSN-nummers, adresgegevens en prestatiecodes. Het zegt iets over de gezondheid van een persoon, en dat maakt het bijzondere persoonsgegevens. Daarmee wil je uiterst zorgvuldig omgaan.”

Patiëntdata per mail: dat is iets van vroeger

Bij de beveiliging van die persoonsgegevens komt veel cybersecurity kijken. Dat zijn we nu gewend. Maar het is nog niet zo lang vanzelfsprekend. Bart vertelt: “Vroeger ontving men patiëntdata nog per mail. Dat was destijds heel normaal binnen de zorg. Maar sinds VECOZO nieuwe aansluitvoorwaarden introduceerde, is er veel veranderd. Daarin stond bovenaan: voldoen aan NEN 7510.” 

“We wilden het gewoon goed doen”

Promeetec heeft door de jaren heen flink geïnvesteerd in internationale normen zoals ISO 27001/27701 en NEN 7510. “Die certificeringen zijn niet alleen een eis geworden, ze zijn ook een bewijs naar onze klanten. Het laat zien dat we professioneel met informatiebeveiliging bezig zijn.”

“Voor ons werd het een intrinsieke motivatie: we wilden het gewoon goed doen. Dat het goed voelt.” zegt hij. “Als je met gevoelige data werkt, moet je passende maatregelen nemen. Je moet als organisatie kunnen aantonen dat je professioneel met die data omgaat. Het geeft vertrouwen naar klanten én naar jezelf. 

“Wegens geen klanten gesloten”

“Wat zijn mijn risico’s, en wat is het mij waard om mezelf daarvoor te beschermen?” Die vraag houdt hem dagelijks bezig. “Je wil niet de eerste zijn waarbij je een bordje omdraaien van ‘Wegens geen klanten gesloten’, omdat je doelwit bent geworden van een cyberaanval en er veel data verloren is gegaan of op straat is komen te liggen.”

Dit soort keuzes hebben volgens Bart ook gevolgen voor aansprakelijkheid. “Je hebt met klanten ook altijd gesprekken over aansprakelijkheid. Dus als je het gaat hebben over een boetebeding, dan vragen ze: ‘Welke technische maatregelen heb je getroffen om dit te voorkomen?’ Maar als je lijst aan maatregelen gigantisch groot is, dan zullen ze minder snel zeggen: ‘X is nalatig geweest.’ Hoe risico-avers ben je? Hoe ga je ermee om?” 

Al vroeg een SOC

Veel “concullega’s” investeren volgens Bart nog niet in SIEM-software of een Security Operations Center (SOC), terwijl deze tools juist waardevolle inzichten bieden. Promeetec koos er al vroeg voor om wél deze stap te zetten. Voor hem is een SOC dan ook geen twijfelgeval, maar een logische keuze voor maximale beveiliging en transparantie. Daarmee is Promeetec al geruime tijd goed voorbereid op de NIS2-wetgeving.Eerst in samenwerking met een andere organisatie. Nu in samenwerking met IP4Sure (binnenkort Cyberlab).

Waarom vier ogen nodig zijn in de IT-beveiliging

Hoewel Promeetec zelf veel kennis van IT in huis heeft, benadrukt Bart het belang van externe ondersteuning. “We hebben echt wel verstand van systemen,” zegt hij. “Maar kennis is niet oneindig. Je hebt een specialist nodig om kritisch mee te kijken. Een slager die zijn eigen vlees keurt, dat werkt niet.”

De ogen van IP4Sure

IP4Sure speelt een belangrijke rol in het borgen van de beveiliging. “Het zijn eigenlijk die extra paar ogen,” legt Bart uit. “Zij kijken mee en zorgen ervoor dat er niets aan onze aandacht ontglipt. Ze stellen de kritische vragen die je nodig hebt om scherp te blijven.”
 
De keuze voor IP4Sure was een bewuste: “We zochten naar een partij die dichtbij zit, met ervaring en kennis van zaken. IP4Sure sloot aan bij de SIEM-software die we al gebruikten, zoals Rapid7. Maar wat ik vooral waardeer, is het persoonlijke contact. Ze geven gevraagd én ongevraagd – maar broodnodig – advies.”

Continu verbeteren & het houden van grip

Cybersecurity is geen eenmalige checklist, maar een continu proces. “Normeringen zoals ISO 27001 vereisen dat je constant blijft verbeteren. IP4Sure helpt ons daarbij. Ze wijzen ons op zaken die we zelf misschien over het hoofd zien.” Dit continu verbeteren is volgens Bart de kern van alle normeringen: “Het is fijn als een externe organisatie je daarop wijst.”

Met name het Security Operations Center (SOC) geeft Promeetec veel grip, volgens Bart. “Met een SOC laat je een externe partij meekijken. Dat geeft een onafhankelijk advies en biedt om die reden extra zekerheden. Het helpt ook om aan je klanten te laten zien dat je professioneel werkt.”

Samenwerken met een cybersecurity kennispartner

Een samenwerking met een externe kennispartner op het gebied van cybersecurity vraagt om een open houding. Bart: “De kritische vragen van IP4Sure waardeer ik heel erg in de samenwerking. Maar daar moet je wel voor open willen staan. Sommige mensen willen niets doen met advies. Wij denken: dat advies wordt niet voor niets gegeven.”

Softwaremodules laten testen op kwetsbaarheden

Daarnaast voert IP4Sure regelmatig een pentest uit op nieuwe softwaremodules. “We hebben laatst ook een pentest laten uitvoeren door IP4Sure. We wilden namelijk een nieuw stukje software laten toetsen. Daar wilden we onafhankelijk advies in. Zijn we niks vergeten? Dat hebben we toen ook gevraagd.”

“Als ontwikkelaar wil je het liefst zo snel mogelijk live” Gelukkig was IP4Sure ook snel. “En daar kwamen ook weer hele fijne adviezen uit. Niet zozeer technische kwetsbaarheden, maar ook echt meedenken. ‘Misschien kun je dit anders configureren.’ Dat houdt je als partij scherp. En dat vindt een ontwikkelaar ook heel erg fijn.”

Goed geregeld

Bart is zelfverzekerd dat de security aanpak van Promeetec niet alleen voldoet aan wet- en regelgeving, maar ook echt standhoudt in de praktijk. “Je wilt in de spiegel kunnen kijken en zeggen: we hebben het goed geregeld. Dat vertrouwen geven we door aan onze klanten. En daarvoor hebben we de expertise van een kennispartner als IP4Sure nodig.”
 

Een bezoek aan het 17e eeuwse Paleis Het Loo belooft een onvergetelijke ervaring te zijn die je onderdompelt in het koninklijke verleden van Nederland. Architectonische pracht, weelderige tuinen en vorstelijke vertrekken. Een levendig cultureel centrum dat het hele jaar door een scala aan tentoonstellingen, evenementen en activiteiten biedt voor bezoekers van alle leeftijden.

Innovatie en vooruitstrevendheid binnen het paleis

Maar wie denkt aan Paleis Het Loo, zal door het historische imago misschien niet direct denken aan ICT of cybersecurity. Toch schuilt er een hele digitale wereld achter het paleis. En Martijn – ICT Manager bij Paleis Het Loo – houdt zich dagelijks bezig met de gezondheid ervan. Samen met IP4Sure.

Martijn: “Het management is enorm innovatief en vooruitstrevend. Ook op het gebied van ICT. Dat heeft mij aangenaam verrast toen ik hier 9 jaar geleden kwam werken. Je hoeft niet als manager te vechten binnen de organisatie om security op de agenda te zetten. Het nut en de noodzaak van cybersecurity is volkomen helder bij Paleis Het Loo.” 

Hoe scherp je ook bent: een foutje is zo gebeurd

De ogen van Martijn fonkelen bij het onderwerp. “Ze zeggen vaak: cybersecurity is een ding voor de ICT-afdeling. Maar het is echt een organisatieonderdeel.” Volgens Martijn heeft dat alles te maken met het meest kwetsbare punt als het om security gaat: de acties van de mens. 

“Je kan het nog zo afgesloten hebben: maar er is altijd een manier om het via een persoon toegankelijk te krijgen. En dat is eigenlijk best wel zorgwekkend. Want: hoe scherp je ook bent, hoe gefocust je ook bent op alles, het is voor iedereen steeds lastiger om dreigingen te herkennen.” Een menselijke fout is daardoor zo gebeurd. “Voorheen kreeg je een phishing mailtje en daar stonden dan 60 spelfouten in. Dat is tegenwoordig wel anders.”

“Het is een kat en muis spel waar je bovenop moet zitten”

Artificial Intelligence in het threatlandschap

“Een goed voorbeeld is nu Artificial Intelligence. Hoe aanvallers complete telefoongesprekken kunnen imiteren op basis van iemands stem. Dan denk je dat je opgebeld wordt door een familielid, terwijl het heel iemand anders is die om geld vraagt.” Is het nog wel mogelijk echt van nep te onderscheiden?

Volgens Martijn geven dit soort ontwikkelingen aan hoe snel het threatlandschap wel niet verandert: “Het is een kat en muis spel waar je bovenop moet zitten”.

De ideale IT-omgeving kent geen oponthoud

Met er bovenop zitten bedoelt Martijn overigens niet dat Paleis Het Loo een digitale Fort Knox waarin uit veiligheidsoverwegingen niets meer kan, moet worden. “Dat is misschien wel het zwaarste en moeilijkste punt in security: hoe krijg je alles zo veilig terwijl het ook nog werkbaar is voor collega’s?” 

Volgens Martijn is daarom de ideale IT-omgeving eentje waarin medewerkers met veel vrijheid in alle veiligheid kunnen werken. Zonder opstoppingen bij metalen deuren. “Je wil zo schaduw-ICT voorkomen.” Als iedereen om te hinderlijke securitymaatregelen heen probeert te werken, ben je de grip kwijt.

Collega’s met een security mindset

Volgens Martijn is draagvlak op de werkvloer een essentiële stap voor een veilig beleid. “Ik denk dat de bewustwording een van de belangrijkste onderdelen van cybersecurity is. Dat iedereen begrijpt waarom securitymaatregelen er zijn. Waarom ze die mails moeten controleren op phishing, bijvoorbeeld.” 

Hoe Paleis Het Loo de mens binnen de organisatie securityminded krijgt? Daar hebben ze verschillende strategieën voor. “We houden in de gaten wat actueel is” vertelt Martijn “Dan haken we daarop in. Bijvoorbeeld met een mailing over verschillende cybersecurity onderwerpen.” Die onderwerpen lopen uiteen. “Ze zijn niet alleen zakelijk. We delen ook kennis over cyberdreigingen in de privé omgeving”.

Cybersecurity als terugkerend agendapunt

Hoe meer je over cybersecurity praat. Hoe meer het gaat leven binnen een organisatie. “Het is ook periodiek een onderdeel van het directieoverleg. Hoe staan we er met cybersecurity voor? Zijn er nog nieuwe ontwikkelingen? Welke stappen willen of moeten we nog zetten?” Martijn glimlacht “Dat is wel heel mooi.” 

Eerst een basis aanleggen, daarna verder kijken

Maar laten we het technische deel van cybersecurity zeker niet vergeten. Daarin ligt ook de samenwerking tussen Paleis Het Loo en IP4Sure. “Als de basis goed is en goed blijft – dat is wel het voornaamste – dan kun je samen op detailniveau gaan kijken hoe je nóg minder kans loopt om te worden gehackt. Om nog weerbaarder te worden.” aldus Martijn. 

De samenwerking met IP4Sure

IP4Sure en Paleis Het Loo zijn elkaar op het pad gekomen door een ander museum. De ICT Manager daar raadde IP4Sure aan: “Toen hebben we een gesprek gehad. En meteen voelde ik dat de aanpak van IP4Sure past bij Paleis Het Loo. Het klopt gewoon.”

“Je kan echt merken dat je samenwerkt met iemand die veel verstand van security heeft.”

Waar dat met name aan ligt? “Ze kunnen snel schakelen, hebben alle technische middelen en kennis, en zijn flexibel.” vertelt Martijn. “Langzaam zijn we samen uitgekomen op een cybersecurity strategie die past bij Paleis Het Loo.” 

In gesprek met skilled experts

Met name zijn samenwerking met een van de security consultants van IP4Sure vindt hij fijn. “Het één op één contact vind ik heel erg prettig. Ik hoef maar te bellen of een bericht te sturen. En: hij geeft mooie adviezen. Je kan echt merken dat je samenwerkt met iemand die veel verstand van security heeft. Een skilled expert waaraan je merkt dat die je echt verder wil helpen.”

Extra inzichten en bevestigingen

Samenwerken met de cybersecurity experts van levert IP4Sure levert nieuwe inzichten op. Maar: bestaande inzichten hebben in het geval van Martijn ook bevestiging gekregen.

“Dat we niet kunnen blijven stilzitten op het gebied van cybersecurity. Dat je continu moet meebewegen om het veilig te houden. Cybersecurity is een onmisbaar deel van de ICT-omgeving. Waarbij de mens in de organisatie een cruciale rol heeft. Dat wordt vaak vergeten.”

Loyaliteitscampagnes van BrandLoyalty

Wie ooit bij een supermarkt heeft gespaard voor glazen, ovenschalen of besteksets heeft al eens kennis gemaakt met BrandLoyalty. “We ontwikkelen loyaliteitscampagnes voor de foodretail,” vertelt Ben de Laat, Head of IT Security bij BrandLoyalty “Dit doen we wereldwijd”.

BrandLoyalty werkt de campagnes uit van spaarkaarten tot pannenset: “Kenmerkend is dat we hoogwaardige producten in de markt zetten. We willen dat je er écht jaren plezier van hebt. Niet dat je een pan op het vuur zet en je er vervolgens al niks meer aan hebt.”

De organisatie is niet alleen werkzaam binnen Nederland, maar werkt op grote schaal: “Het is een global loyalty provider met kantoren in 16 landen, waarvan het hoofdkantoor in Den Bosch staat. Van daaruit worden alle generieke diensten aan de regionale kantoren geleverd, zo ook IT & IT Security.”

IT & IT Security bij BrandLoyalty

“Onze IT-afdeling heeft security jarenlang als algemeen onderdeel van de verantwoordelijkheden gehad. De vragen en eisen vanuit klanten en autoriteiten werden alleen steeds complexer en belangrijker.” vertelt De Laat “Vanuit die drijfveer hebben we toen besloten dat security permanent vertegenwoordigd moest binnen de organisatie.”

Een Shift Left aanpak volgde: eerst de security uitwerken, dan pas iets bouwen of inrichten.Binnen BrandLoyalty is het de uitdaging cyber security zo werkbaar mogelijk te maken. Dat het de organisatie dient, in plaats van hindert. Daardoor komen volgens de Laat vragen als “Met welke risico’s kunnen we leven en welke niet?” geregeld aan bod. Zijn loep ligt niet alleen op de techniek, maar – vooral – op de mens die erin werkt, de klanten én consumenten.

“Voor mij is samenwerking heel erg belangrijk. Mensen de gelegenheid geven om ownership te creëren voor de dingen die ze doen. Dus ook binnen het securitydomein.” Dat doet De Laat onder andere door “Medewerkers iets te leren over security en daar de tools en capability voor geven.”

“Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”

De cyber security vraag aan IP4Sure

BrandLoyalty vond het verstandig meer te gaan rapporteren en de stand van security voortaan meetbaar te maken. “Ik had wel het een en ander aan tools van onze Amerikaanse moederorganisatie.” Toch wilde het team hierin liever zoveel mogelijk autonoom blijven. De vraag was dus: welke tool past bij BrandLoyalty’s behoefte de staat van hun cyber security te meten én te rapporteren?

Gestandaardiseerde oplossingen, begrijpelijk voor engineers en een uitstekend trackrecord waren belangrijke criteria voor de tool en leverancier selecties die we moeten doen. De Laat: “Als een engineer niet begrijpt wat hij moet doen met de output van welke tool dan ook dan heb je de verkeerde tool gekozen!”

Eén keer en dan niet meer

De Laat: “Daarbovenop willen we nooit dingen twee keer doen. Elke keer wanneer ik iets op probeer te zetten, vraag ik: wat proberen we nou écht te tackelen? En: hoe kunnen we dat in één keer beetpakken? Het liefst geautomatiseerd? Dit zodat we over een half jaar niet weer hetzelfde vraagstuk of probleem voor ons hebben liggen. Met een klein team moet je slim zijn, automation is dan dé manier om zaken maar één keer in je handen te pakken.”

Waarom IP4Sure?

“Ik vind IP4sure lekker kort op de bal spelend. Het is echt een no-nonsense club: ze werken fijn en pragmatisch. Stap voor stap échte resultaten boeken. Je wil tenslotte tools hebben die meaningful zijn. Waar ik een hekel aan heb zijn dingen die onnodig heel complex zijn, eindeloos duren om te integreren, en waar uiteindelijk alsnog niemand van snapt wat het doet.” Dat wollige is precies waar IP4Sure ver vandaan blijft: cyber security is tenslotte al ingewikkeld genoeg van zichzelf.

De gekozen tools

InsightVM en InsightIDR van Rapid7 bleken het beste aan te sluiten bij de securitybehoeften van BrandLoyalty. In het kort is InsightVM een Vulnerability Management tool die helpt effectief kwetsbaarheden te identificeren. InsightIDR is een XDR & SIEM-oplossing die IP4Sure inzet voor de SOC-service. De tool helpt te monitoren op verdachte activiteiten.

De samenwerking: InsightVM

“Voor beide producten zag de samenwerking er heel anders uit.” vertelt De Laat “We zijn als eerst begonnen met het inrichten van InsightVM”. IP4Sure heeft mandaat gekregen om alles te installeren en De Laat controleerde of alles naar wens was. IP4Sure hielp bij het leveren, configureren en inrichten. “Vervolgens was het onze teams om de kwetsbaarheden op te lossen.”

De Laat: “Buiten wat advies van IP4Sure bedruipt zich dat zelf eigenlijk wel goed. Daar hebben we weinig hulp bij nodig.” Het team van De Laat heeft enorm mooi werk neergezet als het gaat om het gebruik van InsightVM. Het verkrijgen van inzicht is één ding, maar de kwetsbaarheden die bovenwater komen efficiënt en effectief oplossen is een tweede.

De aanpak van BrandLoyalty: een schoolvoorbeeld

BrandLoyalty gebruikt InsightVM precies volgens het boekje. Ze halen écht het onderste uit de kan. “Er kwam eerst een stortvloed aan inzichten binnen. Iedereen was aan het zuchten en steunen door al het werk dat er ‘ineens’ lag.” vertelt De Laat. Al die kwetsbaarheden waren natuurlijk altijd al aanwezig, alleen nu de kop uit het zand getrokken was, leek er ineens veel werk te liggen (tastbaar?).

“Ik zei: jongens, we gaan beginnen bij de kwetsbaarheden met het hoogste risico.” vervolgt De Laat. Risico gebaseerd werken dus. “Maar wederom: ik wil hier maar één keer mee bezig zijn en dan niet meer. Dus wanneer blijkt dat het patchen van Windows niet periodiek gebeurt, dan moet dat voortaan geautomatiseerd”. Dat heeft voorkomen dat engineers een hoop terugkerend werk bleven houden.

Inzicht maakt secure

Aan het begin was het even slikken en omschakelen “Maar toen het team eenmaal de nieuwe mindset had, ging alles steeds sneller. Voor je het weet ben je door 80% van de kwetsbaarheden heen.”. Inmiddels heeft BrandLoyalty zelfs 95% weggewerkt.

Het is aan het begin even extra werk, maar als dat is weggewerkt gaat het enkel nog om kleine dingen om te verhelpen. De meest kritieke risico’s waren dankzij het risico gebaseerd werken als eerste opgelost. Die hadden tenslotte hoogste prioriteit. En de algehele security? Die is een heel stuk beter dan voordat er inzicht was!

De samenwerking: InsightIDR/SOC

Dan nog InsightIDR: “We hebben dit volledig uitbesteed aan IP4Sure.” vertelt De Laat. Hij is erg enthousiast over deze SIEM-oplossing. “Mijn ervaring is dat de informatie die eruit komt concreet is. We hebben de SOC-dienst van IP4Sure afgenomen zodat zij het laatste kaf van het koren scheiden”. Geen false positives voor BrandLoyalty dus.

De SOC-dienst helpt BrandLoyalty met het monitoren, het oppakken van de incidenten en het rapporteren ervan. Uiteraard moest ook hier het een en ander geautomatiseerd: “We willen graag maar 1 keer zaken aanpakken waar dat kan en snel tot de kern van het probleem komen, IDR helpt ons daarbij.”

“Wanneer er follow-up nodig is door BrandLoyalty, willen we dat het meteen in ons ticket systeem terecht komt. En dat als onze engineers erop reageren, dat het meteen terug komt bij IP4Sure. Zodat IP4Sure kan oordelen of het correct is afgehandeld. Per slot van rekening zijn zij de security specialisten, niet de engineers in ons team”. De Laat vervolgt: “Die feedbackloop – het vier ogen principe – is continu nodig om dat lerend vermogen in stand te houden.”

Precies weten wat er speelt

Er gebeurt ontzettend veel binnen een netwerk. Normaal blijven die incidenten en kwetsbaarheden onder de radar. Meer inzicht betekent daarom meteen véél meer incidenten De Laat wil die incidenten zelf niet uitpluizen: dat was zijn voornaamste reden te kiezen voor de IP4Sure SOC. Ontzorging is inmiddels een versleten woord, maar het is wel precies de meerwaarde van een SIEM met SOC.

IP4Sure houdt de boel in de gaten en grijpt in waar nodig en mogelijk. Met de wetenschap dat security experts meekijken, kan het IT-team van De Laat zich volledig focussen op waar ze goed in zijn. Ondertussen hopen ze niet dat ze veilig zijn: dankzij alle monitoring weten ze het.

Nooit uitgepraat over security

De Laat raakt niet uitgepraat over security: die passie is goed te zien in zijn werk. BrandLoyalty is wat IT en cyber security enorm vooruitstrevend. Van de Shift Left aanpak tot risico gebaseerd werken: De Laat’s vernieuwende werkwijze geeft hem optimaal controle over BrandLoyalty’s data en systemen. De Laat: “Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”

Cyber security consultants-, architecten en analisten: allemaal doen ze iets anders. Maar wat dan precies? In dit artikel vertelt Jean-Marc, Cyber security consultant bij IP4Sure meer over zijn werk én het veranderende security landschap.

Wil je jezelf voorstellen?

“Haha, we hadden dit twee weken eerder moeten doen. Dan was ik nog 39 geweest. Maar ik ben dus Jean-Marc, 40 jaar en Cyber Security Consultant bij IP4Sure. Zoals mijn functietitel – in de hele algemene zin – zegt, adviseer ik klanten op het gebied van IT-beveiliging. Ik heb ook nog een functie als Interne Security Officer en ben lid van het SOC-team.”
 

Wat doet een Cyber Security Consultant dan precies?

“Nou, ik help bedrijven bij het inrichten en verhogen van hun cyber security. En het maken van keuzes daarin. Het is geen commerciële functie overigens; ik geef echt technisch advies. Ik verzorg ook de implementatie van security pakketten. Denk aan antivirus software, IDR systemen en VM systemen.”
 

Waarom ben jij als Cyber Security Consultant onmisbaar?

“Oei, dat vind ik een moeilijke vraag. Uiteindelijk is iedereen vervangbaar he? Nee, ik ben onmisbaar omdat er bij klanten over het algemeen een gebrek aan tijd, kennis en prioriteit is op het gebied van cyber security. De IT-afdelingen van organisaties zijn vaak ontzettend druk en worden opgeslokt door de waan van de dag. Vaak doen ze vanwege tijdgebrek de security erbij (of helemaal niet). Dat levert risico’s op. Als externe los ik die tijd- en prioriteitsproblemen voor ze op.

Ik hoef namelijk niet in de waan van de dag op de IT-afdeling te functioneren. Hierdoor ben ik écht alleen bezig met security en niet andere zaken zoals systeembeheer. Zo krijgt security alle nodige aandacht die het verdient. Want het is niet alleen maar het installeren van een antiviruspakket. Het is een optelling van allerlei zaken bij elkaar die de cyber security naar een hoger niveau tillen. Ik leg daarin de relatie en stel de juiste prioriteiten.”
 

Je klinkt gepassioneerd; waar is die passie begonnen?

“Mijn interesse in IT is denk ik begonnen toen in aanraking kwam met de eerste spelcomputers van mijn oudere broers. Die hadden een Commodore 64. En dat was meteen heel interessant. Dat begon met de spelletjes zelf – ik ben een nakomertje, dus ik was toen echt jong – maar op een gegeven moment groeide dat verder op de middelbare school. Toen kregen we computerles. Ik vond bijvoorbeeld Excel heel interessant; dat je getallen invoerde en dan met formules er allerlei dingen mee kon doen en automatiseren. Dat is wel een beetje waar het begonnen is, ja.”
 

Over je baan als consultant: hoe ziet een werkdag eruit?

“Meestal begin ik om half 9 op kantoor. Die tijd kies ik zelf; de werktijden zijn volledig flexibel in te delen. Dus ik kies ook zelf hoe laat ik naar huis ga. Eenmaal binnen haal ik eerst mijn koffie en ga ik op mijn plek zitten. Voor het SOC-team behandel ik eventuele meldingen van beveiligingsincidenten. Ook neem ik tijd om wat security nieuws te lezen en voor een kort praatje met collega’s. (Dit gaat vaak over techniek of de gadgets die we thuis hebben!)

Dan begin ik aan het project dat die dag op de agenda staat. Soms ben ik een hele dag aan één project bezig, maar een andere dag heb ik juist weer 5 afspraken bij klanten. Ook neem ik natuurlijk tijd voor lunch. Die bestaat uit mijn eigen boterhammen óf uit een broodje die we van het werk krijgen. Ik vind het fijn om zeker een aantal dagen op kantoor te zijn, al heb ik door Covid-19 natuurlijk ook veel thuisgewerkt. Ook de locatie waar ik werk is vrij flexibel, maar voor mij is meer dan 2 dagen thuis werken echt geen optie. Het liefst ben ik op kantoor.”
 

Wat is het leukste aan je werk?

“Wanneer een klant erg enthousiast is over de securityoplossingen die ik aandraag en ik merk dat hij er volop mee aan de slag wil gaan. Er zijn veel klanten waarbij ik een enthousiast iemand aan de lijn krijg, maar als daar door het management niets gedragen wordt, dan krijgt die enthousiasme alsnog niet alle ruimte. Het is dus extra fijn als je samen kan werken met een bedrijf waar al veel draagvlak is. Dat zijn mooie projecten!”
 

Wat is volgens jou een cyber security doodzonde?

“Het niet hebben van MFA. Een belangrijke actuele ontwikkeling is dat passwords alleen niet meer sterk genoeg zijn. Op het moment dat er geen extra factor aan zit aan de buitenkant, ben je tegenwoordig écht heel erg kwetsbaar. Ook het totaal niet hebben van een password policy vind ik een zonde. Want is een wachtwoord al 10 jaar niet veranderd? Dan voldoet die vaak niet aan de huidige tijdsgeest waarbij een wachtwoord lang en ingewikkeld moet zijn. Een kort wachtwoord is zo gekraakt.”
 

Zijn er nog meer ontwikkelingen die je interessant vindt?

“Als je het hebt over aanvalstechnieken, dan is ransomware wel de grootste verandering. Dat is echt aan het toenemen. Maar niet alleen de aanvalstechnieken zijn in ontwikkeling, ook hetgeen dat we willen beveiligingen. Vroeger was alles onpremise, maar nu woekeren cloudomgevingen. Klanten hebben niet meer één tastbare plek waar alles staat. Daardoor verandert de kijk op waar je beveiliging toe moet passen en waar je gegevens staan.”
 

Tot slot: hoe ervaar je het werken bij IP4Sure?

“Dat is helemaal niet zo’n moeilijke vraag. Want het unieke aan IP4Sure is de flexibiliteit die er is. Niet alleen in werktijden, maar in de breedste zin. Je zit niet in een gigantisch team waarbij je door een planner opdrachten krijgt en elke keer hetzelfde trucje moet doen. Dus we hebben de vrijheid om dingen aan te pakken waar we van groeien. Dat is fijn.

En verder nog de onvoorwaardelijke steun én het vertrouwen vanuit het management. Dat vertrouwen is heel hoog. Het motiveert me het beste uit mezelf naar boven te halen, want die ruimte krijg je echt. Daardoor kan je echt in een ontspannen sfeer je werk doen!”
 

Een interview met iemand anders?

Wilt u meer lezen over het werk van een Security Architect? Of een Ethical Hacker? Laat het ons weten, dan komt er binnenkort een artikel over!

Patiëntgegevens: we mogen erop vertrouwen dat die veilig opgeslagen zijn. Toch? Helaas blijkt dat dat in de praktijk niet altijd op gaat. Zorgorganisaties blijven een interessant doelwit voor cybercriminelen.

Voor zorgorganisaties zijn er dan twee keuzes: de kop in het zand steken of werken aan een veiligere dataopslag. Mark Deckers – voorzitter van Stichting AllstarZ – koos voor het tweede. AllstarZ mag misschien een vrijwilligersorganisatie zijn: ze werken wel met gevoelige informatie. IP4Sure sponsorde AllstarZ met securitymaatregelen die het stelen van patiëntgegevens een stuk lastiger maken.

Daar was de voorzitter meer dan dankbaar voor: “Ik ben uiteindelijk verantwoordelijk en aansprakelijk voor de beveiliging. Het zijn mijn stichtingen. En ik vroeg me altijd af: wil ik daar wel de verantwoording voor dragen? Na de hulp van IP4Sure heb ik daar helemaal geen zorgen meer over”.
 

“Ik heb er geen omkijken naar gehad”

Cyber security klonk Deckers ingewikkeld in de oren: “Ik zag er eerst best tegen op. Maar ik heb er geen omkijken naar gehad en ben volledig ontzorgd.” Het viel hem dus alles mee. Maar voor we er dieper op in gaan: eerst nog wat meer over Stichting AllstarZ zelf. Hun werk verdient lof!
 

AllstarZ: de bijzondere activiteitenclub waar iedereen welkom is

Stichting AllstarZ zet zich in voor thuiswonende kinderen en jongeren met een meervoudige beperking. De doelgroep mag één keer per week rekenen op leuke activiteiten bij de stichting. En: unieke vakanties. “Een kindje met een verstandelijke beperking kost veel tijd en energie. En in de tijd dat wij voor de kinderen zorgen hebben de ouders meer tijd voor elkaar en de broertjes en zusjes”.
 

Extreem memorabele activiteiten

Maar verwacht niet alleen rustige activiteiten bij Stichting AllstarZ: ze trekken alles uit de kast. Van buggy rijden tot lasergamen. Deckers: “Voor de ouders is dat soms spannend. Maar Allstarz kijkt naar de mogelijkheden: naar wat wél kan. Zo zijn we ooit met de kinderen op hoog tempo speedboot gaan varen. De kinderen kunnen dat best. Alsof mensen zonder beperking op hun stuitje butsen comfortabel vinden”.
 

Broertjes en zusjes stappen uit de schaduw

Ook is er oog voor broertjes en zusjes. Deckers: “Daar doen wij om de maand activiteiten mee. Deze kinderen staan vaak toch in de schaduw”. Dat resulteert soms in probleemgedrag. “Ik wil niet zeggen dat wij dat allemaal op kunnen lossen. Maar door activiteiten te organiseren voor deze kinderen, vangen we wat op. Het zijn allemaal ervaringsdeskundigen. Dus heel waardevol voor elkaar!” aldus Deckers.
 

Geen bezuiniging op cyber security

Een stichting heeft vaak te maken met strakke budgetten. Het is alleen alles behalve wenselijk dat hierdoor security op een laag pitje komt. Zeker een stichting die werkt met medische dossiers. Helaas was dat even wel de werkelijkheid voor AllstarZ. Deckers: “Ik heb nooit in de gaten gehad hoe onveilig het was”. Gelukkig is die situatie nu totaal anders.
 

Veilige digitale omgeving

“IP4Sure heeft zelfs Webber bereid gevonden bij te dragen aan de website. We hebben een uitgebreider cliëntsysteem en begeleiderssysteem gekregen. Die zijn beiden goed beveiligd door IP4Sure.” vertelt Deckers. Dankzij de nieuwe systemen zijn ze in staat ook nog eens kwalitatievere zorg te leveren. “Ik ben van mening dat professionele instellingen er een puntje aan kunnen zuigen”.
 

“Alles was eigenlijk boven verwachting”

Dat Stichting AllstarZ enorm blij was met de sponsoring staat als een paal bovenwater. Maar hoe was het implementatieproces?  Deckers: “Ik dacht dit wordt een proces van maanden. Maar IP4Sure regelde het allemaal zo ontzettend snel. Ik heb er geen omkijken naar gehad. Ze hebben mij volledig ontzorgd. Dat is super fijn. Ik weet niet of je dat mag verlangen, maar IP4Sure heeft het dus wel gedaan.”
 

Oeps… Mailstortvloed

“Ik kreeg op een gegeven moment tientallen mailtjes van Imperva.” vertelt Deckers. Imperva is het merk achter de Web Application Firewall die IP4Sure geregeld implementeert. “Ik dacht dit wordt een drama. Dit was precies waar ik geen zin in had. Wat ik niet kan. Wat ik niet onder controle heb. Dus die mailtjes zette ik maar steeds door naar IP4Sure, haha”. Hij vreesde al dat hij extra werk ging krijgen aan alles.

“Al snel kreeg ik reactie: Niks aan de hand. Alles geregeld. Je ontvangt de mails nog steeds ter info, maar wij pakken alles op.” Dat was een opluchting voor Deckers: “Want ik word volledig ontzorgd, maar ik krijg wel een hightech systeem dat aan de allerlaatste eisen voldoet. Dus ik zou bijna zeggen: wat wil je nog meer?”
 

“Vlugger dan het licht”

Rob Buddingh’ van IP4Sure was het aanspreekpunt voor Stichting AllstarZ. “Die man is vlugger dan het licht.” volgens Deckers “Hij is mega service gericht. Hij doet er gewoon alles voor. Hij gaat niet voor wel oke. Hij gaat altijd voor perfectie en wil dat het goed geregeld is voor zijn klanten. Hij wil het gewoon perfect hebben: dat vind ik gaaf. Daar ben ik enorm dankbaar voor.”

“De snelheid waarmee alles geïmplementeerd werd was bizar.” Deckers vult daarbij nog aan: “Ik dacht dit wordt een proces van maanden. Maar Rob regelde elke keer zo snel. Ik heb me eigenlijk geen seconde zorgen gemaakt of het wel goed ging.”
 

Het “wij-gevoel”

“Ik had het denk ik niet aangedurfd zonder IP4Sure. Ik heb meer als 200 mensen waar ik rekening mee moet houden. Als die allemaal een vragenvuur op me los gaan laten: dat wordt een ramp.” vervolgt Deckers. “Maar Rob vangt het allemaal voor mij af. Dus dat is super fijn. En als ik het niet weet, dan hoef ik Rob maar een mailtje te sturen en krijg ik dezelfde dag nog reactie.”

“Het is echt het “wij-gevoel” bij IP4Sure. Je staat er niet alleen voor. Je merkt dat ze er zijn. En ze lossen alles op. Dat vind ik erg gaaf.”
 

Veilig doen waar ze goed in zijn

Zorgen voor een kind met een beperking is niet altijd eenvoudig. Stichting AllstarZ zorgt ervoor dat kind én ouder weer kunnen rekenen op extra “jeu” in het leven. Ouders betalen dankzij de inzet van gepassioneerde vrijwilligers slechts een kleine jaarlijkse bijdrage. Dat maakt de activiteiten van AllstarZ voor de meeste ouders goed toegankelijk.

Dat maakt ook dat AllstarZ het verdient veilig te blijven doen waar ze goed in zijn. IP4Sure heeft met veel plezier bijgedragen aan de cyber security van de gepassioneerde Stichting AllstarZ.

Een van de oprichters van Tech2B komt uit de maakindustrie en zocht een oplossing om verder te digitaliseren. De offerteafhandeling, administratie, de communicatie met opdrachtgevers en toeleveranciers, het sturen van mails: alles kon veel veiliger en efficiënter. Daar hebben ze een oplossing voor ontwikkeld: een online platform voor makers.

Tech2B: het platform voor de maakindustrie

Hun missie? “De achterstand van digitalisering van de kleine MKB-er sluiten, met als einddoel een effectieve, eenvoudige en veilige ketenintegratie voor de maakindustrie. Op een collectieve manier veiligheid optimaliseren, AI gebaseerde calculatie software ontwikkelen, realtime chatten i.p.v. eeuwen oude email, etc.” vertelt Sjors Hooijen, een van de oprichters.

“Het zijn mensen die goed met handen kunnen werken, maar vaak geen tijd of geld hebben voor een website. Die willen we op deze manier ook een podium geven”. Dat is zeker gelukt. Begin dit jaar is Tech2B in Nederland gelanceerd en verwelkomde direct meer dan 125 bedrijven. In samenwerking met Brainport Development zijn we op dit moment grote stappen aan het zetten”

Inmiddels maken nu al bijna 200 bedrijven gebruik van Tech2B

Alles in één applicatie

De mogelijkheden van het platform? Tech2B voorziet in bijna elke online behoefte die een maker kan hebben. “Er is een openbare marktplaats waar opdrachten toegankelijk zijn voor alle toeleveranciers in iemands netwerk. Ook kan je persoonlijke opdrachten maken, van bedrijf naar bedrijf.” introduceert Hooijen de functionaliteiten.

Tech2B vergroot daarnaast de zichtbaarheid van bedrijven in de maakindustrie aanzienlijk. Dat is gunstig voor de gebruikers, want in de praktijk heeft niet elk bedrijf een (uitgebreide) website. Nu komen ze veel eenvoudiger in contact met toeleveranciers en potentiële klanten. Bedrijven kunnen eigen netwerken bouwen en deze uitbreiden met betrouwbare toeleveranciers.

100% veilige online processen & AVG-ready

Ook verlopen alle online processen een stuk efficiënter en veiliger. Naast het aanmaken en versturen van offertes en facturen, openen gebruikers van Tech2B eenvoudig 3D ontwerpbestanden in de applicatie. Voorheen vonden ze hun toevlucht in veel te dure software of zelfs illegale kopieën. Dat is nu niet meer nodig!

In de webapplicatie bekijk je eenvoudig de 3D ontwerpbestanden, zonder iets te hoeven installeren.

Voor Tech2B is het belangrijk dat hun klanten niet meer na hoeven te denken over zaken als dataveiligheid en de wet AVG. “Veel bedrijven komen helaas in aanraking met gijzelsoftware. Als individueel bedrijf is het budget er alleen vaak niet om de boel af te sluiten tegen hackers.” Dat is – als het aan Tech2B ligt – verleden tijd: “We willen collectief cybercriminelen buiten houden.” vertelt Hooijen.

Hoe beviel de samenwerking?

“Voor mij als ondernemer is het voor het eerst dat ik een penetratietest uit laat voeren voor iets als dit.” Die penetratietest is goed bevallen. “Het heeft ons weinig energie gekost. Na het eerste gesprek hebben we de gegevens doorgestuurd en mailcontact gehad, en toen heeft Stan van der Vleuten (red. de pentester van IP4Sure) eigenlijk in een week de applicatie getest” vertelt Hooijen over hun ervaringen met IP4Sure.

Ze hebben er veel aan gehad. Er werd uitgebreid getest op beveiligingslekken en de bevindingen kregen ze in een uitgebreid rapport aangeleverd. De documentatie was helder en bruikbaar: ze konden meteen de week erna alles verwerken en aanpassen. Hierdoor konden ze de applicatie met een gerust hart lanceren en was de release een succes!

Waar kijkt IP4Sure naar tijdens een penetratietest?

Een penetratietest – ook bekend als pentest – is een zeer uitgebreide analyse naar kwetsbaarheden binnen applicaties waar cybercriminelen misbruik van kunnen maken. Is het bijvoorbeeld mogelijk zomaar bij alle gegevens te komen, ook zonder speciale rechten? En hoe verloopt het login-proces? Is het mogelijk in te breken zonder login? Lees hier meer over de penetratietest.

Tech2B’s penetratietest: de uitslag

De ene keer legt een penetratietest belangrijke kwetsbaarheden bloot. De andere keer bevestigt de test dat een applicatie met inachtneming van security is geschreven. Bij Tech2B was het laatste het geval: er zijn enkel minor issues gevonden. Dat betekent dat de applicatie – op een aantal kleinigheden na – behoorlijk solide is op het gebied van security.

Tech2B heeft bij de ontwikkeling duidelijk het doel gehad de achterliggende gegevens in de applicatie veilig te stellen. Die kleinigheden moeten natuurlijk wel opgelost worden, maar ze leveren niet echt een verhoogd risico op.

Tech2B mag trots zijn op deze uitslag.

Er is duidelijk goed nagedacht over de applicatie en gebouwd met security in het achterhoofd. Dat is niet vanzelfsprekend! Vaak staan uiterlijk en functionaliteit hoog op het lijstje van ontwikkelaars en is security een ondergeschoven kindje. Bij Tech2B gaan deze 3 elementen hand in hand.

En die minor issues? Die zijn onvermijdelijk: een webapplicatie bouwen is en blijft mensenwerk. Het is belangrijk op de hoogte te zijn van deze kwetsbaarheden en erop in te spelen. Tech2B doet dat heel goed, mede door te kiezen voor een penetratietest.

Gaat Tech2B vaker samenwerken met IP4Sure?

Tech2B is volgens Hooijen zeker van plan in de toekomst nog een pentest uit te laten voeren. Waarom? Omdat ze dan zwart op wit bewijs hebben dat ze alle issues die nu gevonden zijn, hebben verholpen. Dat hun webapplicatie zoals ze beloven 100% veilig is. Een tweede penetratietest staat dus zeker op de planning!

De Helmondse specialist in personeelszaken en werkgeverschap Please, zorgt er al sinds 2000 voor dat ondernemers zich kunnen richten op waar ze goed in zijn: ondernemen. Please verzorgt niet alleen de personeels- en salarisadministratie van ongeveer 1.000 verschillende opdrachtgevers, maar eigenlijk alles wat met werkgeverschap te maken heeft.

HR-specialist Please vroeg om pentest voor hun webapplicatie

Waar het personeel van Please in de begindagen nog veel gegevens handmatig moest verwerken, is nu een heel groot deel van de werkzaamheden geautomatiseerd met slimme software en een uitgebreide webapplicatie. Hier kunnen werknemers en opdrachtgevers terecht voor uiteenlopende zaken, zoals hun urenadministratie, loonstrookjes, management-informatie, contractverleningen, vragen en nog veel meer.

Privacygevoelige gegevens

In dit systeem staan natuurlijk veel privacygevoelige gegevens en gebruikers moeten ervan verzekerd zijn dat deze gegevens optimaal beveiligd zijn. In het kader van ‘de slager moet zijn eigen vlees niet keuren’, schakelde Please cybersecurityspecialist IP4Sure in voor een uitgebreide webapplicatie pentest.

Webapplicatie: UurOnline

De webapplicatie UurOnline was in 2005 het eerste urenportaal in Nederland. Hoewel het ooit begon als een urenregistratiesysteem, dekt de naam de lading allang niet meer. Inmiddels is de door Please zelf ontwikkelde applicatie een volledig online personeelsdossier, waarin werknemers en werkgevers alle personeelszaken terug kunnen vinden. Van urenregistratie tot loonstroken en van contracten tot jaaropgaven. “Het is eigenlijk een volledig personeelsadministratiesysteem,” vertelt Hans van de Ven, Algemeen Directeur van Please.

“Onze filosofie is dat je terecht moet kunnen bij één loket en één contactpersoon voor al je werkgerelateerde zaken. Er zijn iets meer dan 800.000 kleine werkgevers in Nederland, die bij elkaar de grootste werkgever van Nederland zijn. Die hebben meestal niet de beschikking over een HR-afdeling of specialisten op het gebied van arbeidsovereenkomsten of salarisadministratie. Deze bedrijven willen we ontzorgen, door de gespecialiseerde partner te zijn die ze nodig hebben.”

Meer dan 15.000 actieve gebruikers

UurOnline wordt op dagelijkse basis geraadpleegd door meer dan 15.000 actieve gebruikers, die erop moeten kunnen vertrouwen dat hun gegevens veilig zijn en dat de applicatie voldoet aan de eisen die de Europese privacywet, de AVG, stelt. En niet alleen de gebruikersinterface moet waterdicht zijn, ook de externe systemen van opdrachtgevers, die via een API gegevens uitwisselen met UurOnline, moeten dat op een veilige manier kunnen doen. Hoewel Please over een professioneel team van developers beschikt, dat veiligheid hoog in het vaandel heeft, besloot het bedrijf om de ultieme beveiligingstest uit te besteden aan een partner.

“Wij gaan heel secuur om met de gegevens die klanten ons toevertrouwen. Niet alleen wijzelf willen zeker weten dat onze beveiliging strenge tests doorstaat, ook onze opdrachtgevers willen bewijs zien dat onze systemen zo veilig zijn als wij beweren.”

Klanten vragen om een recent pentestrapport

“Ze vragen bijvoorbeeld naar het laatste pentest rapport en dat mag vaak niet ouder zijn dan een jaar, of liever: zes maanden. Logisch, want de software wordt voortdurend bijgewerkt, waardoor er altijd nieuwe beveiligingsrisico’s kunnen ontstaan. En dan gaat het niet alleen om de software die we zelf ontwikkelen, maar ook over software van derden. Wij gebruiken bijvoorbeeld Microsoft Web Services en de updates die Microsoft uitrolt, kunnen ook beveiligingsrisico’s op ons platform introduceren. Dat wil je regelmatig laten testen.”

Uitslag pentest: zeer positief!

Van de pentest zelf heeft Please weinig gemerkt: “We hebben ons datacenter van tevoren ingelicht dat er getest zou worden, want je wil natuurlijk niet dat ze poorten blokkeren en het reguliere verkeer er last van heeft. De applicatie werd heel uitgebreid onderzocht door IP4Sure. Er is bijvoorbeeld gekeken of er zonder login ingebroken kon worden en of je met een bepaalde identiteit ook bij gegevens kon komen waarvoor je geen rechten hebt. We zijn gelukkig met vlag en wimpel geslaagd: van de kritieke doelen is er geen behaald. Goed nieuws dus voor onze developers. Er waren wel wat kleine issues die een minimaal risico vormden, want die vind je nou eenmaal altijd, maar in het rapport gaf IP4Sure heel duidelijk aan hoe we die snel konden verhelpen, inclusief links naar relevante artikelen over het onderwerp. Je leert er dus ook nog wat van!”

Waarom een pentest van IP4Sure?

Er waren al gesprekken gevoerd met verschillende grote security-specialisten, maar dat leidde niet tot de gewenste uitkomst. Van de Ven: “Al voor we een afspraak hadden gemaakt, kregen we vragen als: wat is jullie budget? Ik zei dan: ik heb geen specifiek budget, ik wil gewoon de zekerheid dat de applicatie op alle fronten getest wordt. Als je vanuit een beschikbaar budget denkt, geef je de klant niet het gevoel mee te denken over wat er echt nodig is. Ik voelde de klik niet. Toen kreeg ik een mailing van IP4Sure in mijn inbox, over een kennissessie die zij gaven. Ik ben naar de kennissessie gegaan en legde hen mijn vraag voor. In dat eerste gesprek kreeg ik direct het vertrouwen waar ik naar op zoek was. IP4Sure voelde als een specialist die niet in budgetten dacht, maar in security-vraagstukken. En dat gevoel bleek juist.”

IP4Sure: cybersecurity specialisten

Van de Ven: “Er is een mooie parallel te trekken met onze eigen dienstverlening. Door een partner als IP4Sure zijn wij in staat om ons te focussen op waar we goed in zijn. Net als bedrijven hun personeelsadministratie aan ons uitbesteden, besteden wij het testen van onze webapplicatie uit aan een specialist die we vertrouwen. En net als wij geen leverancier-afnemer-relatie met onze klanten willen, zoeken we zelf ook externe specialisten die echt een partner voor ons kunnen zijn.

Ik ben zelf van huis uit automatiseerder, dus goed in staat om te bepalen of een partner wel genoeg van de materie weet. Ik kan met zekerheid zeggen dat de mensen van IP4Sure echt specialisten zijn op hun gebied. Ze kijken bovendien goed met wie ze te maken hebben en welke aanpak daarbij past. Ze gingen bijvoorbeeld vooraf met onze developers in gesprek om te bepalen wat er wel en niet getest moest worden, zodat er meer tijd was om de relevante zaken te testen. Dat is heel wat anders dan simpelweg vragen wat ons budget is.”