Bedrijfscultuur: Veiligheid van data

Illustratie van: Today at Payt

Mijn naam is Sander Kamstra, directeur en één van de oprichters van Payt. Bij het groeien van een zolderkamer idee tot een serieuze organisatie, loop ik geregeld tegen momenten aan waarvan ik denk dat ze van invloed zijn op onze bedrijfscultuur. Met deze serie blogs wil ik proberen iedere maand een situatie te beschrijven die laat zien wie wij zijn als bedrijf. Ik geef u een inkijkje in het leven bij Payt.

De casusprocessen zijn belangrijker dan resultaat

In mijn eerste baan als ICT’er had ik een goed idee, waarbij de beveiliging van data een belangrijk onderdeel vormde van de propositie. Dus ik ging met mijn idee naar een seniore collega die verantwoordelijk was voor de beveiliging van servers en databases. Zijn antwoord was simpel en vandaag nog steeds niet minder waar:

“Als je een database met gegevens wilt beschermen moet je zo weinig mogelijk data opslaan, alleen oninteressante data toelaten en geen gebruikers toestaan.”

Hier een mooi voorbeeld van de GGD, een paar weken geleden.

Voor het toestaan van gebruikers zijn inmiddels best veel mogelijkheden om de toegang behoorlijk veilig te maken. Gelukkig maar, want zonder gebruikers hebben we niet veel aan onze software. Bij Payt praten we wekelijks over nieuwe functionaliteiten die veel gebruikersgemak opleveren, maar een concessie aan de bescherming van data vragen. Onze data is (helaas) ook interessant genoeg om heel veel waarde te hebben, dus zijn we ISO27001 gecertificeerd. Dat houdt in dat we voldoen aan de internationale norm voor Informatie Security Management System (ISMS). Graag wil ik een voorbeeld beschrijven waar dat toe kan leiden binnen het bedrijf.

We waren nog maar met 20 medewerkers toen we het certificaat haalden. We hadden veel voorbereid en een goed doordacht beveiligingsbeleid uitgeschreven. Binnen een jaar had iemand bij Payt bedacht dat dit beleidsdocument niet alleen bij de beleidsmakers bekend moest zijn, maar ook bij alle andere medewerkers. En dat kon het beste door het te laten aftekenen door iedereen. Daarvoor vonden we dat een algemene tekst over geheimhouding in het arbeidscontract volstond. Niet lang daarna kwam er een uitgebreide lijst met alle hardware, software en processen voor iedere nieuwe medewerker die afgewerkt moest worden (een intakelijst). Sinds een jaar is één persoon nu verantwoordelijk om alle toegang inzichtelijk te hebben. De intakelijst is vervangen door een uitgebreide autorisatiematrix. Om het proces van toegang waar beveiliging op zit iets makkelijker te maken, hebben we in Slack een access_request channel. Klinkt goed toch?

Voor een nieuwe collega had ik toegang aangevraagd in het access_request channel. Ik wilde indruk op haar maken met onze snelheid van handelen en zodat ze een vliegende start kon maken. Na een week was er nog steeds geen toegang. Navraag leerde mij dat een developer besloten had deze toegang niet te verlenen, omdat de nieuwe collega het beveiligingsbeleid nog niet ondertekend had. En kort daarna kreeg ik een reprimande dat ik ook de autorisatiematrix nog niet had ingevuld.

Het is veel moeilijker om resultaatgericht te werken dan om procesgericht te werken. Een uitgeschreven proces kun je simpelweg volgen. En als je het goed volgt heb je in ieder geval nooit schuld.

Sander kamstra
Geschreven door Sander Kamstra LinkedIn profile
Sander Kamstra is directeur en één van de oprichters van Payt. Hij is ondernemer in hart en nieren. En werkt graag samen met mensen die net zo gedreven zijn als hij om succes te boeken, door de juiste prioriteiten te stellen en slimme keuzes te maken.

Share this article

Gerelateerde artikelen

Payt 10 jaar logo
We hebben een mooie club mensen bij elkaar waarbij iedereen in zijn kracht wordt gezet. Naar mijn idee is dit de kracht achter het succes van Payt - Maarten Theodorie, Implementatiespecialist
Vijf jaar geleden ben ik gestart als implementatiespecialist bij Payt. Vanaf mijn eerste werkdag ben ik nog nooit met tegenzin naar mijn werk gegaan.
Payt 10 jaar logo
Op weg van A naar B vonden we aan de hand van de eerste klanten een succesvolle route C. Deze weg omhoog hebben we niet meer verlaten. We hebben van ‘niets’ ‘iets’ gemaakt - Rob Rustenburg, Directeur
Al snel bleek dat succes vooral afhankelijk zou zijn van eigen inspanningen en keuzes die gemaakt worden ver buiten de comfortzone. Je ziet daar vaak plaatjes van voorbijkomen maar het is in werkelijkheid wat mij betreft ook écht de plek ‘where the magic happens’.
Payt 10 jaar logo
Wat ook erg fijn werkt, is dat we bij Payt geen managers hebben die als vertaalslag dienen tussen de klant en de ontwikkelaar - Mathijs Kingma, Developer
Negen jaar geleden kwam ik bij Payt werken toen het team uit slechts 9 mensen bestond. De meeste collega’s noemen mij Benji (Benjamin) omdat ik lange tijd de jongste van het team was. Inmiddels ben ik niet meer de jongste, maar de naam ben ik nooit kwijtgeraakt :)