Bedrijfscultuur: Veiligheid van data

Illustratie van: Today at Payt

Share this article

Sander kamstra
Geschreven door Sander Kamstra
Sander Kamstra is directeur en één van de oprichter van Payt. Hij is ondernemer in hart en nieren. En werkt graag samen met mensen die net zo gedreven zijn als hij om succes te boeken, door de juiste prioriteiten te stellen en slimme keuzes te maken.

Mijn naam is Sander Kamstra, directeur en één van de oprichters van Payt. Bij het groeien van een zolderkamer idee tot een serieuze organisatie, loop ik geregeld tegen momenten aan waarvan ik denk dat ze van invloed zijn op onze bedrijfscultuur. Met deze serie blogs wil ik proberen iedere maand een situatie te beschrijven die laat zien wie wij zijn als bedrijf. Ik geef u een inkijkje in het leven bij Payt.

De casusprocessen zijn belangrijker dan resultaat

In mijn eerste baan als ICT’er had ik een goed idee, waarbij de beveiliging van data een belangrijk onderdeel vormde van de propositie. Dus ik ging met mijn idee naar een seniore collega die verantwoordelijk was voor de beveiliging van servers en databases. Zijn antwoord was simpel en vandaag nog steeds niet minder waar:

“Als je een database met gegevens wilt beschermen moet je zo weinig mogelijk data opslaan, alleen oninteressante data toelaten en geen gebruikers toestaan.”

Hier een mooi voorbeeld van de GGD, een paar weken geleden.

Voor het toestaan van gebruikers zijn inmiddels best veel mogelijkheden om de toegang behoorlijk veilig te maken. Gelukkig maar, want zonder gebruikers hebben we niet veel aan onze software. Bij Payt praten we wekelijks over nieuwe functionaliteiten die veel gebruikersgemak opleveren, maar een concessie aan de bescherming van data vragen. Onze data is (helaas) ook interessant genoeg om heel veel waarde te hebben, dus zijn we ISO27001 gecertificeerd. Dat houdt in dat we voldoen aan de internationale norm voor Informatie Security Management System (ISMS). Graag wil ik een voorbeeld beschrijven waar dat toe kan leiden binnen het bedrijf.

We waren nog maar met 20 medewerkers toen we het certificaat haalden. We hadden veel voorbereid en een goed doordacht beveiligingsbeleid uitgeschreven. Binnen een jaar had iemand bij Payt bedacht dat dit beleidsdocument niet alleen bij de beleidsmakers bekend moest zijn, maar ook bij alle andere medewerkers. En dat kon het beste door het te laten aftekenen door iedereen. Daarvoor vonden we dat een algemene tekst over geheimhouding in het arbeidscontract volstond. Niet lang daarna kwam er een uitgebreide lijst met alle hardware, software en processen voor iedere nieuwe medewerker die afgewerkt moest worden (een intakelijst). Sinds een jaar is één persoon nu verantwoordelijk om alle toegang inzichtelijk te hebben. De intakelijst is vervangen door een uitgebreide autorisatiematrix. Om het proces van toegang waar beveiliging op zit iets makkelijker te maken, hebben we in Slack een access_request channel. Klinkt goed toch?

Voor een nieuwe collega had ik toegang aangevraagd in het access_request channel. Ik wilde indruk op haar maken met onze snelheid van handelen en zodat ze een vliegende start kon maken. Na een week was er nog steeds geen toegang. Navraag leerde mij dat een developer besloten had deze toegang niet te verlenen, omdat de nieuwe collega het beveiligingsbeleid nog niet ondertekend had. En kort daarna kreeg ik een reprimande dat ik ook de autorisatiematrix nog niet had ingevuld.

Het is veel moeilijker om resultaatgericht te werken dan om procesgericht te werken. Een uitgeschreven proces kun je simpelweg volgen. En als je het goed volgt heb je in ieder geval nooit schuld.

Gerelateerde artikelen

Illustratie van: Engineering blog van Payt
Engineering blog: Automatiseer alles!
In deze serie blogs houden we u op de hoogte van wat er qua engineering bij Payt gebeurt. Om u iets meer inzicht te geven in onze software proberen we iedere maand een engineering blog te schrijven. In dit blog kunt u lezen over de verschillende maatregelen in onze workflow die de productiviteit van het team aanzienlijk verhogen.
Illustratie van: Today at Payt
Bedrijfscultuur: Veiligheid van data
In deze serie blogs wil ik u een inkijkje geven in een dag bij Payt. Hoe pakken wij dingen aan en hoe lossen wij problemen op? Dit is onderdeel van de bedrijfscultuur. In dit blog kunt u lezen over de invloed van ons beveiligingsbeleid op onze dagelijkse werkzaamheden.
Illustratie van geld dat van de ene persoon naar de ander gaat
Laat uw bedrijf groeien door goede beheersing van uw DSO
In dit artikel gaan we in op de DSO van uw onderneming. Wat is het? Hoe kunt u het berekenen? Waarom is het een belangrijk kengetal en hoe kunt u uw DSO verbeteren?