Loyaliteitscampagnes van BrandLoyalty
Wie ooit bij een supermarkt heeft gespaard voor glazen, ovenschalen of besteksets heeft al eens kennis gemaakt met BrandLoyalty. “We ontwikkelen loyaliteitscampagnes voor de foodretail,” vertelt Ben de Laat, Head of IT Security bij BrandLoyalty “Dit doen we wereldwijd”.
BrandLoyalty werkt de campagnes uit van spaarkaarten tot pannenset: “Kenmerkend is dat we hoogwaardige producten in de markt zetten. We willen dat je er écht jaren plezier van hebt. Niet dat je een pan op het vuur zet en je er vervolgens al niks meer aan hebt.”
De organisatie is niet alleen werkzaam binnen Nederland, maar werkt op grote schaal: “Het is een global loyalty provider met kantoren in 16 landen, waarvan het hoofdkantoor in Den Bosch staat. Van daaruit worden alle generieke diensten aan de regionale kantoren geleverd, zo ook IT & IT Security.”
IT & IT Security bij BrandLoyalty
“Onze IT-afdeling heeft security jarenlang als algemeen onderdeel van de verantwoordelijkheden gehad. De vragen en eisen vanuit klanten en autoriteiten werden alleen steeds complexer en belangrijker.” vertelt De Laat “Vanuit die drijfveer hebben we toen besloten dat security permanent vertegenwoordigd moest binnen de organisatie.”
Een Shift Left aanpak volgde: eerst de security uitwerken, dan pas iets bouwen of inrichten.Binnen BrandLoyalty is het de uitdaging cyber security zo werkbaar mogelijk te maken. Dat het de organisatie dient, in plaats van hindert. Daardoor komen volgens de Laat vragen als “Met welke risico’s kunnen we leven en welke niet?” geregeld aan bod. Zijn loep ligt niet alleen op de techniek, maar – vooral – op de mens die erin werkt, de klanten én consumenten.
“Voor mij is samenwerking heel erg belangrijk. Mensen de gelegenheid geven om ownership te creëren voor de dingen die ze doen. Dus ook binnen het securitydomein.” Dat doet De Laat onder andere door “Medewerkers iets te leren over security en daar de tools en capability voor geven.”
“Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”
De cyber security vraag aan IP4Sure
BrandLoyalty vond het verstandig meer te gaan rapporteren en de stand van security voortaan meetbaar te maken. “Ik had wel het een en ander aan tools van onze Amerikaanse moederorganisatie.” Toch wilde het team hierin liever zoveel mogelijk autonoom blijven. De vraag was dus: welke tool past bij BrandLoyalty’s behoefte de staat van hun cyber security te meten én te rapporteren?
Gestandaardiseerde oplossingen, begrijpelijk voor engineers en een uitstekend trackrecord waren belangrijke criteria voor de tool en leverancier selecties die we moeten doen. De Laat: “Als een engineer niet begrijpt wat hij moet doen met de output van welke tool dan ook dan heb je de verkeerde tool gekozen!”
Eén keer en dan niet meer
De Laat: “Daarbovenop willen we nooit dingen twee keer doen. Elke keer wanneer ik iets op probeer te zetten, vraag ik: wat proberen we nou écht te tackelen? En: hoe kunnen we dat in één keer beetpakken? Het liefst geautomatiseerd? Dit zodat we over een half jaar niet weer hetzelfde vraagstuk of probleem voor ons hebben liggen. Met een klein team moet je slim zijn, automation is dan dé manier om zaken maar één keer in je handen te pakken.”
Waarom IP4Sure?
“Ik vind IP4sure lekker kort op de bal spelend. Het is echt een no-nonsense club: ze werken fijn en pragmatisch. Stap voor stap échte resultaten boeken. Je wil tenslotte tools hebben die meaningful zijn. Waar ik een hekel aan heb zijn dingen die onnodig heel complex zijn, eindeloos duren om te integreren, en waar uiteindelijk alsnog niemand van snapt wat het doet.” Dat wollige is precies waar IP4Sure ver vandaan blijft: cyber security is tenslotte al ingewikkeld genoeg van zichzelf.
De gekozen tools
InsightVM en InsightIDR van Rapid7 bleken het beste aan te sluiten bij de securitybehoeften van BrandLoyalty. In het kort is InsightVM een Vulnerability Management tool die helpt effectief kwetsbaarheden te identificeren. InsightIDR is een XDR & SIEM-oplossing die IP4Sure inzet voor de SOC-service. De tool helpt te monitoren op verdachte activiteiten.
De samenwerking: InsightVM
“Voor beide producten zag de samenwerking er heel anders uit.” vertelt De Laat “We zijn als eerst begonnen met het inrichten van InsightVM”. IP4Sure heeft mandaat gekregen om alles te installeren en De Laat controleerde of alles naar wens was. IP4Sure hielp bij het leveren, configureren en inrichten. “Vervolgens was het onze teams om de kwetsbaarheden op te lossen.”
De Laat: “Buiten wat advies van IP4Sure bedruipt zich dat zelf eigenlijk wel goed. Daar hebben we weinig hulp bij nodig.” Het team van De Laat heeft enorm mooi werk neergezet als het gaat om het gebruik van InsightVM. Het verkrijgen van inzicht is één ding, maar de kwetsbaarheden die bovenwater komen efficiënt en effectief oplossen is een tweede.
De aanpak van BrandLoyalty: een schoolvoorbeeld
BrandLoyalty gebruikt InsightVM precies volgens het boekje. Ze halen écht het onderste uit de kan. “Er kwam eerst een stortvloed aan inzichten binnen. Iedereen was aan het zuchten en steunen door al het werk dat er ‘ineens’ lag.” vertelt De Laat. Al die kwetsbaarheden waren natuurlijk altijd al aanwezig, alleen nu de kop uit het zand getrokken was, leek er ineens veel werk te liggen (tastbaar?).
“Ik zei: jongens, we gaan beginnen bij de kwetsbaarheden met het hoogste risico.” vervolgt De Laat. Risico gebaseerd werken dus. “Maar wederom: ik wil hier maar één keer mee bezig zijn en dan niet meer. Dus wanneer blijkt dat het patchen van Windows niet periodiek gebeurt, dan moet dat voortaan geautomatiseerd”. Dat heeft voorkomen dat engineers een hoop terugkerend werk bleven houden.
Inzicht maakt secure
Aan het begin was het even slikken en omschakelen “Maar toen het team eenmaal de nieuwe mindset had, ging alles steeds sneller. Voor je het weet ben je door 80% van de kwetsbaarheden heen.”. Inmiddels heeft BrandLoyalty zelfs 95% weggewerkt.
Het is aan het begin even extra werk, maar als dat is weggewerkt gaat het enkel nog om kleine dingen om te verhelpen. De meest kritieke risico’s waren dankzij het risico gebaseerd werken als eerste opgelost. Die hadden tenslotte hoogste prioriteit. En de algehele security? Die is een heel stuk beter dan voordat er inzicht was!
De samenwerking: InsightIDR/SOC
Dan nog InsightIDR: “We hebben dit volledig uitbesteed aan IP4Sure.” vertelt De Laat. Hij is erg enthousiast over deze SIEM-oplossing. “Mijn ervaring is dat de informatie die eruit komt concreet is. We hebben de SOC-dienst van IP4Sure afgenomen zodat zij het laatste kaf van het koren scheiden”. Geen false positives voor BrandLoyalty dus.
De SOC-dienst helpt BrandLoyalty met het monitoren, het oppakken van de incidenten en het rapporteren ervan. Uiteraard moest ook hier het een en ander geautomatiseerd: “We willen graag maar 1 keer zaken aanpakken waar dat kan en snel tot de kern van het probleem komen, IDR helpt ons daarbij.”
“Wanneer er follow-up nodig is door BrandLoyalty, willen we dat het meteen in ons ticket systeem terecht komt. En dat als onze engineers erop reageren, dat het meteen terug komt bij IP4Sure. Zodat IP4Sure kan oordelen of het correct is afgehandeld. Per slot van rekening zijn zij de security specialisten, niet de engineers in ons team”. De Laat vervolgt: “Die feedbackloop – het vier ogen principe – is continu nodig om dat lerend vermogen in stand te houden.”
Precies weten wat er speelt
Er gebeurt ontzettend veel binnen een netwerk. Normaal blijven die incidenten en kwetsbaarheden onder de radar. Meer inzicht betekent daarom meteen véél meer incidenten De Laat wil die incidenten zelf niet uitpluizen: dat was zijn voornaamste reden te kiezen voor de IP4Sure SOC. Ontzorging is inmiddels een versleten woord, maar het is wel precies de meerwaarde van een SIEM met SOC.
IP4Sure houdt de boel in de gaten en grijpt in waar nodig en mogelijk. Met de wetenschap dat security experts meekijken, kan het IT-team van De Laat zich volledig focussen op waar ze goed in zijn. Ondertussen hopen ze niet dat ze veilig zijn: dankzij alle monitoring weten ze het.
Nooit uitgepraat over security
De Laat raakt niet uitgepraat over security: die passie is goed te zien in zijn werk. BrandLoyalty is wat IT en cyber security enorm vooruitstrevend. Van de Shift Left aanpak tot risico gebaseerd werken: De Laat’s vernieuwende werkwijze geeft hem optimaal controle over BrandLoyalty’s data en systemen. De Laat: “Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”
Cyber security consultants-, architecten en analisten: allemaal doen ze iets anders. Maar wat dan precies? In dit artikel vertelt Jean-Marc, Cyber security consultant bij IP4Sure meer over zijn werk én het veranderende security landschap.
Wil je jezelf voorstellen?
“Haha, we hadden dit twee weken eerder moeten doen. Dan was ik nog 39 geweest. Maar ik ben dus Jean-Marc, 40 jaar en Cyber Security Consultant bij IP4Sure. Zoals mijn functietitel – in de hele algemene zin – zegt, adviseer ik klanten op het gebied van IT-beveiliging. Ik heb ook nog een functie als Interne Security Officer en ben lid van het SOC-team.”
Wat doet een Cyber Security Consultant dan precies?
“Nou, ik help bedrijven bij het inrichten en verhogen van hun cyber security. En het maken van keuzes daarin. Het is geen commerciële functie overigens; ik geef echt technisch advies. Ik verzorg ook de implementatie van security pakketten. Denk aan antivirus software, IDR systemen en VM systemen.”
Waarom ben jij als Cyber Security Consultant onmisbaar?
“Oei, dat vind ik een moeilijke vraag. Uiteindelijk is iedereen vervangbaar he? Nee, ik ben onmisbaar omdat er bij klanten over het algemeen een gebrek aan tijd, kennis en prioriteit is op het gebied van cyber security. De IT-afdelingen van organisaties zijn vaak ontzettend druk en worden opgeslokt door de waan van de dag. Vaak doen ze vanwege tijdgebrek de security erbij (of helemaal niet). Dat levert risico’s op. Als externe los ik die tijd- en prioriteitsproblemen voor ze op.
Ik hoef namelijk niet in de waan van de dag op de IT-afdeling te functioneren. Hierdoor ben ik écht alleen bezig met security en niet andere zaken zoals systeembeheer. Zo krijgt security alle nodige aandacht die het verdient. Want het is niet alleen maar het installeren van een antiviruspakket. Het is een optelling van allerlei zaken bij elkaar die de cyber security naar een hoger niveau tillen. Ik leg daarin de relatie en stel de juiste prioriteiten.”
Je klinkt gepassioneerd; waar is die passie begonnen?
“Mijn interesse in IT is denk ik begonnen toen in aanraking kwam met de eerste spelcomputers van mijn oudere broers. Die hadden een Commodore 64. En dat was meteen heel interessant. Dat begon met de spelletjes zelf – ik ben een nakomertje, dus ik was toen echt jong – maar op een gegeven moment groeide dat verder op de middelbare school. Toen kregen we computerles. Ik vond bijvoorbeeld Excel heel interessant; dat je getallen invoerde en dan met formules er allerlei dingen mee kon doen en automatiseren. Dat is wel een beetje waar het begonnen is, ja.”
Over je baan als consultant: hoe ziet een werkdag eruit?
“Meestal begin ik om half 9 op kantoor. Die tijd kies ik zelf; de werktijden zijn volledig flexibel in te delen. Dus ik kies ook zelf hoe laat ik naar huis ga. Eenmaal binnen haal ik eerst mijn koffie en ga ik op mijn plek zitten. Voor het SOC-team behandel ik eventuele meldingen van beveiligingsincidenten. Ook neem ik tijd om wat security nieuws te lezen en voor een kort praatje met collega’s. (Dit gaat vaak over techniek of de gadgets die we thuis hebben!)
Dan begin ik aan het project dat die dag op de agenda staat. Soms ben ik een hele dag aan één project bezig, maar een andere dag heb ik juist weer 5 afspraken bij klanten. Ook neem ik natuurlijk tijd voor lunch. Die bestaat uit mijn eigen boterhammen óf uit een broodje die we van het werk krijgen. Ik vind het fijn om zeker een aantal dagen op kantoor te zijn, al heb ik door Covid-19 natuurlijk ook veel thuisgewerkt. Ook de locatie waar ik werk is vrij flexibel, maar voor mij is meer dan 2 dagen thuis werken echt geen optie. Het liefst ben ik op kantoor.”
Wat is het leukste aan je werk?
“Wanneer een klant erg enthousiast is over de securityoplossingen die ik aandraag en ik merk dat hij er volop mee aan de slag wil gaan. Er zijn veel klanten waarbij ik een enthousiast iemand aan de lijn krijg, maar als daar door het management niets gedragen wordt, dan krijgt die enthousiasme alsnog niet alle ruimte. Het is dus extra fijn als je samen kan werken met een bedrijf waar al veel draagvlak is. Dat zijn mooie projecten!”
Wat is volgens jou een cyber security doodzonde?
“Het niet hebben van MFA. Een belangrijke actuele ontwikkeling is dat passwords alleen niet meer sterk genoeg zijn. Op het moment dat er geen extra factor aan zit aan de buitenkant, ben je tegenwoordig écht heel erg kwetsbaar. Ook het totaal niet hebben van een password policy vind ik een zonde. Want is een wachtwoord al 10 jaar niet veranderd? Dan voldoet die vaak niet aan de huidige tijdsgeest waarbij een wachtwoord lang en ingewikkeld moet zijn. Een kort wachtwoord is zo gekraakt.”
Zijn er nog meer ontwikkelingen die je interessant vindt?
“Als je het hebt over aanvalstechnieken, dan is ransomware wel de grootste verandering. Dat is echt aan het toenemen. Maar niet alleen de aanvalstechnieken zijn in ontwikkeling, ook hetgeen dat we willen beveiligingen. Vroeger was alles onpremise, maar nu woekeren cloudomgevingen. Klanten hebben niet meer één tastbare plek waar alles staat. Daardoor verandert de kijk op waar je beveiliging toe moet passen en waar je gegevens staan.”
Tot slot: hoe ervaar je het werken bij IP4Sure?
“Dat is helemaal niet zo’n moeilijke vraag. Want het unieke aan IP4Sure is de flexibiliteit die er is. Niet alleen in werktijden, maar in de breedste zin. Je zit niet in een gigantisch team waarbij je door een planner opdrachten krijgt en elke keer hetzelfde trucje moet doen. Dus we hebben de vrijheid om dingen aan te pakken waar we van groeien. Dat is fijn.
En verder nog de onvoorwaardelijke steun én het vertrouwen vanuit het management. Dat vertrouwen is heel hoog. Het motiveert me het beste uit mezelf naar boven te halen, want die ruimte krijg je echt. Daardoor kan je echt in een ontspannen sfeer je werk doen!”
Een interview met iemand anders?
Wilt u meer lezen over het werk van een Security Architect? Of een Ethical Hacker? Laat het ons weten, dan komt er binnenkort een artikel over!
Patiëntgegevens: we mogen erop vertrouwen dat die veilig opgeslagen zijn. Toch? Helaas blijkt dat dat in de praktijk niet altijd op gaat. Zorgorganisaties blijven een interessant doelwit voor cybercriminelen.
Voor zorgorganisaties zijn er dan twee keuzes: de kop in het zand steken of werken aan een veiligere dataopslag. Mark Deckers – voorzitter van Stichting AllstarZ – koos voor het tweede. AllstarZ mag misschien een vrijwilligersorganisatie zijn: ze werken wel met gevoelige informatie. IP4Sure sponsorde AllstarZ met securitymaatregelen die het stelen van patiëntgegevens een stuk lastiger maken.
Daar was de voorzitter meer dan dankbaar voor: “Ik ben uiteindelijk verantwoordelijk en aansprakelijk voor de beveiliging. Het zijn mijn stichtingen. En ik vroeg me altijd af: wil ik daar wel de verantwoording voor dragen? Na de hulp van IP4Sure heb ik daar helemaal geen zorgen meer over”.
“Ik heb er geen omkijken naar gehad”
Cyber security klonk Deckers ingewikkeld in de oren: “Ik zag er eerst best tegen op. Maar ik heb er geen omkijken naar gehad en ben volledig ontzorgd.” Het viel hem dus alles mee. Maar voor we er dieper op in gaan: eerst nog wat meer over Stichting AllstarZ zelf. Hun werk verdient lof!
AllstarZ: de bijzondere activiteitenclub waar iedereen welkom is
Stichting AllstarZ zet zich in voor thuiswonende kinderen en jongeren met een meervoudige beperking. De doelgroep mag één keer per week rekenen op leuke activiteiten bij de stichting. En: unieke vakanties. “Een kindje met een verstandelijke beperking kost veel tijd en energie. En in de tijd dat wij voor de kinderen zorgen hebben de ouders meer tijd voor elkaar en de broertjes en zusjes”.
Extreem memorabele activiteiten
Maar verwacht niet alleen rustige activiteiten bij Stichting AllstarZ: ze trekken alles uit de kast. Van buggy rijden tot lasergamen. Deckers: “Voor de ouders is dat soms spannend. Maar Allstarz kijkt naar de mogelijkheden: naar wat wél kan. Zo zijn we ooit met de kinderen op hoog tempo speedboot gaan varen. De kinderen kunnen dat best. Alsof mensen zonder beperking op hun stuitje butsen comfortabel vinden”.
Broertjes en zusjes stappen uit de schaduw
Ook is er oog voor broertjes en zusjes. Deckers: “Daar doen wij om de maand activiteiten mee. Deze kinderen staan vaak toch in de schaduw”. Dat resulteert soms in probleemgedrag. “Ik wil niet zeggen dat wij dat allemaal op kunnen lossen. Maar door activiteiten te organiseren voor deze kinderen, vangen we wat op. Het zijn allemaal ervaringsdeskundigen. Dus heel waardevol voor elkaar!” aldus Deckers.
Geen bezuiniging op cyber security
Een stichting heeft vaak te maken met strakke budgetten. Het is alleen alles behalve wenselijk dat hierdoor security op een laag pitje komt. Zeker een stichting die werkt met medische dossiers. Helaas was dat even wel de werkelijkheid voor AllstarZ. Deckers: “Ik heb nooit in de gaten gehad hoe onveilig het was”. Gelukkig is die situatie nu totaal anders.
Veilige digitale omgeving
“IP4Sure heeft zelfs Webber bereid gevonden bij te dragen aan de website. We hebben een uitgebreider cliëntsysteem en begeleiderssysteem gekregen. Die zijn beiden goed beveiligd door IP4Sure.” vertelt Deckers. Dankzij de nieuwe systemen zijn ze in staat ook nog eens kwalitatievere zorg te leveren. “Ik ben van mening dat professionele instellingen er een puntje aan kunnen zuigen”.
“Alles was eigenlijk boven verwachting”
Dat Stichting AllstarZ enorm blij was met de sponsoring staat als een paal bovenwater. Maar hoe was het implementatieproces? Deckers: “Ik dacht dit wordt een proces van maanden. Maar IP4Sure regelde het allemaal zo ontzettend snel. Ik heb er geen omkijken naar gehad. Ze hebben mij volledig ontzorgd. Dat is super fijn. Ik weet niet of je dat mag verlangen, maar IP4Sure heeft het dus wel gedaan.”
Oeps… Mailstortvloed
“Ik kreeg op een gegeven moment tientallen mailtjes van Imperva.” vertelt Deckers. Imperva is het merk achter de Web Application Firewall die IP4Sure geregeld implementeert. “Ik dacht dit wordt een drama. Dit was precies waar ik geen zin in had. Wat ik niet kan. Wat ik niet onder controle heb. Dus die mailtjes zette ik maar steeds door naar IP4Sure, haha”. Hij vreesde al dat hij extra werk ging krijgen aan alles.
“Al snel kreeg ik reactie: Niks aan de hand. Alles geregeld. Je ontvangt de mails nog steeds ter info, maar wij pakken alles op.” Dat was een opluchting voor Deckers: “Want ik word volledig ontzorgd, maar ik krijg wel een hightech systeem dat aan de allerlaatste eisen voldoet. Dus ik zou bijna zeggen: wat wil je nog meer?”
“Vlugger dan het licht”
Rob Buddingh’ van IP4Sure was het aanspreekpunt voor Stichting AllstarZ. “Die man is vlugger dan het licht.” volgens Deckers “Hij is mega service gericht. Hij doet er gewoon alles voor. Hij gaat niet voor wel oke. Hij gaat altijd voor perfectie en wil dat het goed geregeld is voor zijn klanten. Hij wil het gewoon perfect hebben: dat vind ik gaaf. Daar ben ik enorm dankbaar voor.”
“De snelheid waarmee alles geïmplementeerd werd was bizar.” Deckers vult daarbij nog aan: “Ik dacht dit wordt een proces van maanden. Maar Rob regelde elke keer zo snel. Ik heb me eigenlijk geen seconde zorgen gemaakt of het wel goed ging.”
Het “wij-gevoel”
“Ik had het denk ik niet aangedurfd zonder IP4Sure. Ik heb meer als 200 mensen waar ik rekening mee moet houden. Als die allemaal een vragenvuur op me los gaan laten: dat wordt een ramp.” vervolgt Deckers. “Maar Rob vangt het allemaal voor mij af. Dus dat is super fijn. En als ik het niet weet, dan hoef ik Rob maar een mailtje te sturen en krijg ik dezelfde dag nog reactie.”
“Het is echt het “wij-gevoel” bij IP4Sure. Je staat er niet alleen voor. Je merkt dat ze er zijn. En ze lossen alles op. Dat vind ik erg gaaf.”
Veilig doen waar ze goed in zijn
Zorgen voor een kind met een beperking is niet altijd eenvoudig. Stichting AllstarZ zorgt ervoor dat kind én ouder weer kunnen rekenen op extra “jeu” in het leven. Ouders betalen dankzij de inzet van gepassioneerde vrijwilligers slechts een kleine jaarlijkse bijdrage. Dat maakt de activiteiten van AllstarZ voor de meeste ouders goed toegankelijk.
Dat maakt ook dat AllstarZ het verdient veilig te blijven doen waar ze goed in zijn. IP4Sure heeft met veel plezier bijgedragen aan de cyber security van de gepassioneerde Stichting AllstarZ.
Een van de oprichters van Tech2B komt uit de maakindustrie en zocht een oplossing om verder te digitaliseren. De offerteafhandeling, administratie, de communicatie met opdrachtgevers en toeleveranciers, het sturen van mails: alles kon veel veiliger en efficiënter. Daar hebben ze een oplossing voor ontwikkeld: een online platform voor makers.
Tech2B: het platform voor de maakindustrie
Hun missie? “De achterstand van digitalisering van de kleine MKB-er sluiten, met als einddoel een effectieve, eenvoudige en veilige ketenintegratie voor de maakindustrie. Op een collectieve manier veiligheid optimaliseren, AI gebaseerde calculatie software ontwikkelen, realtime chatten i.p.v. eeuwen oude email, etc.” vertelt Sjors Hooijen, een van de oprichters.
“Het zijn mensen die goed met handen kunnen werken, maar vaak geen tijd of geld hebben voor een website. Die willen we op deze manier ook een podium geven”. Dat is zeker gelukt. Begin dit jaar is Tech2B in Nederland gelanceerd en verwelkomde direct meer dan 125 bedrijven. In samenwerking met Brainport Development zijn we op dit moment grote stappen aan het zetten”
Inmiddels maken nu al bijna 200 bedrijven gebruik van Tech2B
Alles in één applicatie
De mogelijkheden van het platform? Tech2B voorziet in bijna elke online behoefte die een maker kan hebben. “Er is een openbare marktplaats waar opdrachten toegankelijk zijn voor alle toeleveranciers in iemands netwerk. Ook kan je persoonlijke opdrachten maken, van bedrijf naar bedrijf.” introduceert Hooijen de functionaliteiten.
Tech2B vergroot daarnaast de zichtbaarheid van bedrijven in de maakindustrie aanzienlijk. Dat is gunstig voor de gebruikers, want in de praktijk heeft niet elk bedrijf een (uitgebreide) website. Nu komen ze veel eenvoudiger in contact met toeleveranciers en potentiële klanten. Bedrijven kunnen eigen netwerken bouwen en deze uitbreiden met betrouwbare toeleveranciers.
100% veilige online processen & AVG-ready
Ook verlopen alle online processen een stuk efficiënter en veiliger. Naast het aanmaken en versturen van offertes en facturen, openen gebruikers van Tech2B eenvoudig 3D ontwerpbestanden in de applicatie. Voorheen vonden ze hun toevlucht in veel te dure software of zelfs illegale kopieën. Dat is nu niet meer nodig!
In de webapplicatie bekijk je eenvoudig de 3D ontwerpbestanden, zonder iets te hoeven installeren.
Voor Tech2B is het belangrijk dat hun klanten niet meer na hoeven te denken over zaken als dataveiligheid en de wet AVG. “Veel bedrijven komen helaas in aanraking met gijzelsoftware. Als individueel bedrijf is het budget er alleen vaak niet om de boel af te sluiten tegen hackers.” Dat is – als het aan Tech2B ligt – verleden tijd: “We willen collectief cybercriminelen buiten houden.” vertelt Hooijen.
Hoe beviel de samenwerking?
“Voor mij als ondernemer is het voor het eerst dat ik een penetratietest uit laat voeren voor iets als dit.” Die penetratietest is goed bevallen. “Het heeft ons weinig energie gekost. Na het eerste gesprek hebben we de gegevens doorgestuurd en mailcontact gehad, en toen heeft Stan van der Vleuten (red. de pentester van IP4Sure) eigenlijk in een week de applicatie getest” vertelt Hooijen over hun ervaringen met IP4Sure.
Ze hebben er veel aan gehad. Er werd uitgebreid getest op beveiligingslekken en de bevindingen kregen ze in een uitgebreid rapport aangeleverd. De documentatie was helder en bruikbaar: ze konden meteen de week erna alles verwerken en aanpassen. Hierdoor konden ze de applicatie met een gerust hart lanceren en was de release een succes!
Waar kijkt IP4Sure naar tijdens een penetratietest?
Een penetratietest – ook bekend als pentest – is een zeer uitgebreide analyse naar kwetsbaarheden binnen applicaties waar cybercriminelen misbruik van kunnen maken. Is het bijvoorbeeld mogelijk zomaar bij alle gegevens te komen, ook zonder speciale rechten? En hoe verloopt het login-proces? Is het mogelijk in te breken zonder login? Lees hier meer over de penetratietest.
Tech2B’s penetratietest: de uitslag
De ene keer legt een penetratietest belangrijke kwetsbaarheden bloot. De andere keer bevestigt de test dat een applicatie met inachtneming van security is geschreven. Bij Tech2B was het laatste het geval: er zijn enkel minor issues gevonden. Dat betekent dat de applicatie – op een aantal kleinigheden na – behoorlijk solide is op het gebied van security.
Tech2B heeft bij de ontwikkeling duidelijk het doel gehad de achterliggende gegevens in de applicatie veilig te stellen. Die kleinigheden moeten natuurlijk wel opgelost worden, maar ze leveren niet echt een verhoogd risico op.
Tech2B mag trots zijn op deze uitslag.
Er is duidelijk goed nagedacht over de applicatie en gebouwd met security in het achterhoofd. Dat is niet vanzelfsprekend! Vaak staan uiterlijk en functionaliteit hoog op het lijstje van ontwikkelaars en is security een ondergeschoven kindje. Bij Tech2B gaan deze 3 elementen hand in hand.
En die minor issues? Die zijn onvermijdelijk: een webapplicatie bouwen is en blijft mensenwerk. Het is belangrijk op de hoogte te zijn van deze kwetsbaarheden en erop in te spelen. Tech2B doet dat heel goed, mede door te kiezen voor een penetratietest.
Gaat Tech2B vaker samenwerken met IP4Sure?
Tech2B is volgens Hooijen zeker van plan in de toekomst nog een pentest uit te laten voeren. Waarom? Omdat ze dan zwart op wit bewijs hebben dat ze alle issues die nu gevonden zijn, hebben verholpen. Dat hun webapplicatie zoals ze beloven 100% veilig is. Een tweede penetratietest staat dus zeker op de planning!
De Helmondse specialist in personeelszaken en werkgeverschap Please, zorgt er al sinds 2000 voor dat ondernemers zich kunnen richten op waar ze goed in zijn: ondernemen. Please verzorgt niet alleen de personeels- en salarisadministratie van ongeveer 1.000 verschillende opdrachtgevers, maar eigenlijk alles wat met werkgeverschap te maken heeft.
HR-specialist Please vroeg om pentest voor hun webapplicatie
Waar het personeel van Please in de begindagen nog veel gegevens handmatig moest verwerken, is nu een heel groot deel van de werkzaamheden geautomatiseerd met slimme software en een uitgebreide webapplicatie. Hier kunnen werknemers en opdrachtgevers terecht voor uiteenlopende zaken, zoals hun urenadministratie, loonstrookjes, management-informatie, contractverleningen, vragen en nog veel meer.
Privacygevoelige gegevens
In dit systeem staan natuurlijk veel privacygevoelige gegevens en gebruikers moeten ervan verzekerd zijn dat deze gegevens optimaal beveiligd zijn. In het kader van ‘de slager moet zijn eigen vlees niet keuren’, schakelde Please cybersecurityspecialist IP4Sure in voor een uitgebreide webapplicatie pentest.
Webapplicatie: UurOnline
De webapplicatie UurOnline was in 2005 het eerste urenportaal in Nederland. Hoewel het ooit begon als een urenregistratiesysteem, dekt de naam de lading allang niet meer. Inmiddels is de door Please zelf ontwikkelde applicatie een volledig online personeelsdossier, waarin werknemers en werkgevers alle personeelszaken terug kunnen vinden. Van urenregistratie tot loonstroken en van contracten tot jaaropgaven. “Het is eigenlijk een volledig personeelsadministratiesysteem,” vertelt Hans van de Ven, Algemeen Directeur van Please.
“Onze filosofie is dat je terecht moet kunnen bij één loket en één contactpersoon voor al je werkgerelateerde zaken. Er zijn iets meer dan 800.000 kleine werkgevers in Nederland, die bij elkaar de grootste werkgever van Nederland zijn. Die hebben meestal niet de beschikking over een HR-afdeling of specialisten op het gebied van arbeidsovereenkomsten of salarisadministratie. Deze bedrijven willen we ontzorgen, door de gespecialiseerde partner te zijn die ze nodig hebben.”
Meer dan 15.000 actieve gebruikers
UurOnline wordt op dagelijkse basis geraadpleegd door meer dan 15.000 actieve gebruikers, die erop moeten kunnen vertrouwen dat hun gegevens veilig zijn en dat de applicatie voldoet aan de eisen die de Europese privacywet, de AVG, stelt. En niet alleen de gebruikersinterface moet waterdicht zijn, ook de externe systemen van opdrachtgevers, die via een API gegevens uitwisselen met UurOnline, moeten dat op een veilige manier kunnen doen. Hoewel Please over een professioneel team van developers beschikt, dat veiligheid hoog in het vaandel heeft, besloot het bedrijf om de ultieme beveiligingstest uit te besteden aan een partner.
“Wij gaan heel secuur om met de gegevens die klanten ons toevertrouwen. Niet alleen wijzelf willen zeker weten dat onze beveiliging strenge tests doorstaat, ook onze opdrachtgevers willen bewijs zien dat onze systemen zo veilig zijn als wij beweren.”
Klanten vragen om een recent pentestrapport
“Ze vragen bijvoorbeeld naar het laatste pentest rapport en dat mag vaak niet ouder zijn dan een jaar, of liever: zes maanden. Logisch, want de software wordt voortdurend bijgewerkt, waardoor er altijd nieuwe beveiligingsrisico’s kunnen ontstaan. En dan gaat het niet alleen om de software die we zelf ontwikkelen, maar ook over software van derden. Wij gebruiken bijvoorbeeld Microsoft Web Services en de updates die Microsoft uitrolt, kunnen ook beveiligingsrisico’s op ons platform introduceren. Dat wil je regelmatig laten testen.”
Uitslag pentest: zeer positief!
Van de pentest zelf heeft Please weinig gemerkt: “We hebben ons datacenter van tevoren ingelicht dat er getest zou worden, want je wil natuurlijk niet dat ze poorten blokkeren en het reguliere verkeer er last van heeft. De applicatie werd heel uitgebreid onderzocht door IP4Sure. Er is bijvoorbeeld gekeken of er zonder login ingebroken kon worden en of je met een bepaalde identiteit ook bij gegevens kon komen waarvoor je geen rechten hebt. We zijn gelukkig met vlag en wimpel geslaagd: van de kritieke doelen is er geen behaald. Goed nieuws dus voor onze developers. Er waren wel wat kleine issues die een minimaal risico vormden, want die vind je nou eenmaal altijd, maar in het rapport gaf IP4Sure heel duidelijk aan hoe we die snel konden verhelpen, inclusief links naar relevante artikelen over het onderwerp. Je leert er dus ook nog wat van!”
Waarom een pentest van IP4Sure?
Er waren al gesprekken gevoerd met verschillende grote security-specialisten, maar dat leidde niet tot de gewenste uitkomst. Van de Ven: “Al voor we een afspraak hadden gemaakt, kregen we vragen als: wat is jullie budget? Ik zei dan: ik heb geen specifiek budget, ik wil gewoon de zekerheid dat de applicatie op alle fronten getest wordt. Als je vanuit een beschikbaar budget denkt, geef je de klant niet het gevoel mee te denken over wat er echt nodig is. Ik voelde de klik niet. Toen kreeg ik een mailing van IP4Sure in mijn inbox, over een kennissessie die zij gaven. Ik ben naar de kennissessie gegaan en legde hen mijn vraag voor. In dat eerste gesprek kreeg ik direct het vertrouwen waar ik naar op zoek was. IP4Sure voelde als een specialist die niet in budgetten dacht, maar in security-vraagstukken. En dat gevoel bleek juist.”
IP4Sure: cyber security specialisten
Van de Ven: “Er is een mooie parallel te trekken met onze eigen dienstverlening. Door een partner als IP4Sure zijn wij in staat om ons te focussen op waar we goed in zijn. Net als bedrijven hun personeelsadministratie aan ons uitbesteden, besteden wij het testen van onze webapplicatie uit aan een specialist die we vertrouwen. En net als wij geen leverancier-afnemer-relatie met onze klanten willen, zoeken we zelf ook externe specialisten die echt een partner voor ons kunnen zijn.
Ik ben zelf van huis uit automatiseerder, dus goed in staat om te bepalen of een partner wel genoeg van de materie weet. Ik kan met zekerheid zeggen dat de mensen van IP4Sure echt specialisten zijn op hun gebied. Ze kijken bovendien goed met wie ze te maken hebben en welke aanpak daarbij past. Ze gingen bijvoorbeeld vooraf met onze developers in gesprek om te bepalen wat er wel en niet getest moest worden, zodat er meer tijd was om de relevante zaken te testen. Dat is heel wat anders dan simpelweg vragen wat ons budget is.”
