Security in het hart van de organisatie

Otherside at Work biedt met de Xpert Suite een datagedreven platform gericht op duurzame inzetbaarheid, verzuimmanagement en het welzijn van medewerkers. Hierbij worden gevoelige persoonsgegevens verwerkt. Onze software moet daarom ultra veilig zijn.  

We hebben al sinds 2012 een ISO 27001 certificering en voeren al jaren ISAE3402 of SOC2 type 2 audits uit. Maar voor ons is het belangrijkste dat security in het hart van de organisatie zit. Als je dat intrinsiek beleeft, zijn certificaten geen doel, maar een logisch gevolg en een hulpmiddel. 

In deze blog vertellen Roel van der Sanden (CTO) en Stef Roskam (VP Engineering) hoe wij dat aanpakken.

1. Technische maatregelen en awareness 

Security gaat veel verder dan alleen techniek. Natuurlijk maken we ook bewuste keuzes in onze infrastructuur en software. Lees bijvoorbeeld onze blogs over onze keuze voor de private cloud en over AVG en verzuimdata. Maar minstens zo belangrijk is het bewustzijn bij onze medewerkers én klanten. 

Medewerkers krijgen al bij de onboarding uitleg over security en privacy: waarom het belangrijk is, welke wettelijke kaders gelden, hoe we dit binnen Otherside at Work hebben georganiseerd en welke rol zij hierin spelen. Jaarlijks zijn er extra sessies, vaak met externe sprekers. Dit zijn zowel sessies voor de gehele organisatie als sessies toegespitst op een specifieke doelgroep, zoals onze software developers. Ook werken teams met security-checklists en tools om de security te borgen. We hebben een dedicated security officer en een functionaris gegevensbescherming. Daarnaast laten we externe pentesters onze applicatie testen, maar vooral ook meedenken over verbeteringen, zodat we niet alleen de bevinding oplossen, maar ook voorkomen dat het opnieuw optreedt. 

Roel: “Iedereen heeft een rol in security. Ook als je niet direct met persoonsgegevens werkt. Samen kun je een echt goede security-cultuur creëren. Een fout maken kan altijd, maar het niet melden van een fout, dát is een echt probleem.” 

Ook klanten nemen we hierin mee. Via nieuwsbrieven delen we bijvoorbeeld of er incidenten zijn geweest, welke processen zijn verbeterd en welke nieuwe functionaliteiten zijn toegevoegd. Onze consultants adviseren klanten over autorisaties en leggen uit dat gebruikers niet meer rechten moeten krijgen dan nodig. Uiteindelijk zijn klanten hierbij wel verantwoordelijk voor hun eigen inrichting. 

Roel: “We nemen ook een actieve rol in het stimuleren van klanten om het juiste te doen. Dat kan zowel tijdens de implementatie bij de inrichtingskeuzes, als in de uitvoeringsprocessen daarna. Bijvoorbeeld als iemand persoonsgegevens in een supportticket zet, verwijderen we die en vragen we het ticket opnieuw in te dienen. Of als we het gevoel hebben dat een verzoek wellicht intern nog niet met alle noodzakelijke personen is afgestemd, dan vragen we daar actief naar.” 

2. Geen melding betekent niet dat er niks mis is 

Soms horen we leveranciers zeggen dat ze nul incidenten hadden. Voor ons is dat geen bewijs van succes. Integendeel: dat betekent vaak dat de meldingsbereidheid laag ligt en mensen te veel ‘zelf dingen oplossen’. 

Roel: “Het belangrijkste is dat je mensen niet op een persoonlijke fout afrekent. Dan melden ze ook echt. We krijgen zelfs meldingen waarvan we later zeggen: dit is geen security-incident. Maar liever hebben we een dergelijke melding te veel dan een serieuze melding te weinig.” 

Stef: “We doen ook echt wat met meldingen. Er is geen angstcultuur. Als iemand iets meldt, gaan we daar positief mee om. En we volgen ook alle incidenten op. Want als je veel meldingen hebt en je doet er niks mee, dan stopt men vanzelf met melden.” 

Roel noemt een concreet voorbeeld van een melding: “Als we bij een onduidelijkheid in de software vaak op één plek gebruikersfouten zien, dan reageren we niet alleen met het uitleggen van de werking. Maar kijken we ook of we de flow zo kunnen aanpassen dat de gebruiker het minder snel per ongeluk fout doet.” 

Stef: “Het blijft mensenwerk en waar mensen werken worden fouten gemaakt. Grote partijen hebben ook incidenten, dat zie je ook terug in de media. Als je geen meldingen hebt dan kan het haast niet anders dan dat je meldingsbereidheid te laag is. En zonder meldingen kun je ook niet verbeteren.” 

3. Directie en management zijn betrokken 

Security is geen thema dat alleen bij engineers leeft. Management en directie zijn actief betrokken, en geven ook zelf het goede voorbeeld. 

Stef: “We stimuleren actief dat mensen meldingen doen. Soms belonen we dat ook op een ludieke manier. Er zijn bijvoorbeeld wel eens Bossche bollen uitgedeeld toen iemand zijn laptop niet had gelockt. Ook Roel en ik hebben wel eens een melding gedaan over onze eigen fouten. Dat hoort erbij.” 

4. Niet alleen ISO, maar ook SOC 2 

ISO 27001 en NEN 7510 zijn bekende standaarden voor informatiebeveiliging. Ze tonen aan dat je als organisatie processen goed hebt ingericht en vastgelegd. Maar ze zeggen minder over de vraag of die maatregelen in de praktijk ook structureel en effectief worden toegepast. 

Daarom kiezen wij bij Otherside bewust óók voor een SOC 2 Type 2-audit. 

Roel: “Bij een ISO-audit gaat het erom dat je procedures hebt vastgelegd en kunt laten zien wat je doet als je ervan afwijkt. Bij SOC 2 moet je aantonen dat je het hele jaar door volgens je processen hebt gewerkt. De auditor kiest willekeurig voorbeelden en controleert of je kunt aantonen dat je het proces hebt gevolgd.” 

Stef: “SOC 2 is voor ons een logisch gevolg van de manier waarop wij met security omgaan. Het gaat verder dan een vinkje zetten. Sommige organisaties zien certificering als iets dat je haalt om aan te tonen dat je veilig werkt. Wij geloven dat security ingebed moet zijn in de hele organisatie en dat toon je met SOC 2 ook daadwerkelijk aan.” 

Roel: “We hebben klanten die security echt belangrijk vinden. Voor hen is het essentieel dat wij SOC 2 hebben. Met SOC 2 tonen we onafhankelijk aan dat we onze processen ook daadwerkelijk naleven. Dat scheelt voor een klant het aantal audits/controles dat ze zelf moeten uitvoeren. En voor ons beperkt het hoe vaak we dezelfde vragen moeten beantwoorden voor alle verschillende klanten.” 

5. Het gevaar van een te smalle scope 

Certificeringen hebben alleen waarde als de scope breed genoeg is. In de praktijk zien we dat sommige organisaties zich vooral richten op het behalen van het certificaat of de audit, zonder dat security écht in hart en nieren van de organisatie zit. Het risico is dan dat het vinkje belangrijker wordt dan de inhoud. 

Zo zijn er partijen die bijvoorbeeld softwareontwikkeling buiten de scope van hun ISO 27001-certificering plaatsen. Daarmee lijkt het alsof alles geborgd is, terwijl juist in het ontwikkelproces grote risico’s zitten. Ook bij SOC 2 is het verleidelijk om de scope smal te houden en alleen naar security te kijken, terwijl de andere trust service criteria – availability, confidentiality, privacy en processing integrity – minstens zo belangrijk zijn. 

Roel: “Voor klanten is dat vaak niet zichtbaar. Ze zien het logo en denken: dit zit goed. Maar lang niet iedereen weet dat het certificaat misschien maar voor een deel geldt. Terwijl juist in het ontwikkelproces risico’s zitten. Zolang security niet intrinsiek belangrijk is, verandert er niets.” 

Bij Otherside at Work kiezen we er daarom bewust voor om security breed te verankeren. Niet omdat een auditor het vraagt, maar omdat we intrinsiek gemotiveerd zijn om continu te verbeteren. Alleen dan levert certificering echt waarde op voor onszelf én voor onze klanten.

Conclusie

Bij Otherside at Work is security geen vinkje, maar een vanzelfsprekend onderdeel van ons werk. Iedereen draagt bij: van developers tot directie, van consultants tot expert desk. Daarom zijn certificeringen als ISO en SOC 2 voor ons geen doel op zich, maar een logisch gevolg.  

Contact

De Xpert Suite is een innovatief, datagedreven portal voor bedrijfsgezondheid en sociale zekerheid. Het portal is geschikt voor medewerkers, leidinggevenden, HR-professionals, bedrijfsartsen, volmachten en verzekeraars. Iedere gebruiker krijgt een eigen toegang die volledig is ingericht op zijn specifieke behoeften.

Meer weten over de Xpert Suite? Neem contact met ons op.