Bedrijfscultuur: Veiligheid van data

Illustratie van: Today at Payt

Share this article

Sander kamstra
Geschreven door Sander Kamstra
Sander Kamstra is directeur en één van de oprichter van Payt. Hij is ondernemer in hart en nieren. En werkt graag samen met mensen die net zo gedreven zijn als hij om succes te boeken, door de juiste prioriteiten te stellen en slimme keuzes te maken.

Mijn naam is Sander Kamstra, directeur en één van de oprichters van Payt. Bij het groeien van een zolderkamer idee tot een serieuze organisatie, loop ik geregeld tegen momenten aan waarvan ik denk dat ze van invloed zijn op onze bedrijfscultuur. Met deze serie blogs wil ik proberen iedere maand een situatie te beschrijven die laat zien wie wij zijn als bedrijf. Ik geef u een inkijkje in het leven bij Payt.

De casus: processen zijn belangrijker dan resultaten

In mijn eerste baan als ICT’er had ik een goed idee, waarbij de beveiliging van data een belangrijk onderdeel vormde van de propositie. Dus ik ging met mijn idee naar een seniore collega die verantwoordelijk was voor de beveiliging van servers en databases. Zijn antwoord was simpel en vandaag nog steeds niet minder waar:

“Als je een database met gegevens wilt beschermen moet je zo weinig mogelijk data opslaan, alleen oninteressante data toelaten en geen gebruikers toestaan.”

Hier een mooi voorbeeld van de GGD, een paar weken geleden.

Voor het toestaan van gebruikers zijn inmiddels best veel mogelijkheden om de toegang behoorlijk veilig te maken. Gelukkig maar, want zonder gebruikers hebben we niet veel aan onze software. Bij Payt praten we wekelijks over nieuwe functionaliteiten die veel gebruikersgemak opleveren, maar een concessie aan de bescherming van data vragen. Onze data is (helaas) ook interessant genoeg om heel veel waarde te hebben, dus zijn we ISO27001 gecertificeerd. Dat houdt in dat we voldoen aan de internationale norm voor Informatie Security Management System (ISMS). Graag wil ik een voorbeeld beschrijven waar dat toe kan leiden binnen het bedrijf.

We waren nog maar met 20 medewerkers toen we het certificaat haalden. We hadden veel voorbereid en een goed doordacht beveiligingsbeleid uitgeschreven. Binnen een jaar had iemand bij Payt bedacht dat dit beleidsdocument niet alleen bij de beleidsmakers bekend moest zijn, maar ook bij alle andere medewerkers. En dat kon het beste door het te laten aftekenen door iedereen. Daarvoor vonden we dat een algemene tekst over geheimhouding in het arbeidscontract volstond. Niet lang daarna kwam er een uitgebreide lijst met alle hardware, software en processen voor iedere nieuwe medewerker die afgewerkt moest worden (een intakelijst). Sinds een jaar is één persoon nu verantwoordelijk om alle toegang inzichtelijk te hebben. De intakelijst is vervangen door een uitgebreide autorisatiematrix. Om het proces van toegang waar beveiliging op zit iets makkelijker te maken, hebben we in Slack een access_request channel. Klinkt goed toch?

Voor een nieuwe collega had ik toegang aangevraagd in het access_request channel. Ik wilde indruk op haar maken met onze snelheid van handelen en zodat ze een vliegende start kon maken. Na een week was er nog steeds geen toegang. Navraag leerde mij dat een developer besloten had deze toegang niet te verlenen, omdat de nieuwe collega het beveiligingsbeleid nog niet ondertekend had. En kort daarna kreeg ik een reprimande dat ik ook de autorisatiematrix nog niet had ingevuld.

Het is veel moeilijker om resultaatgericht te werken dan om procesgericht te werken. Een uitgeschreven proces kun je simpelweg volgen. En als je het goed volgt heb je in ieder geval nooit schuld.

Gerelateerde artikelen

Illustratie van: Today at Payt
Bedrijfscultuur: voor tandartsen een duidelijke deadline
In deze serie blogs wil ik u een inkijkje geven in een dag bij Payt. Hoe pakken wij dingen aan en hoe lossen wij problemen op? Dit is onderdeel van de bedrijfscultuur. In dit blog kunt u lezen over onze uitdagingen in de mondzorg.
Illustratie van: Today at Payt
Werken bij Payt: de eerste maanden van Vincent bij Payt
In deze serie blogs vertellen medewerkers hoe zij het werken bij Payt ervaren. Dagelijks werkt een gevarieerd team van developers, usability experts, sales vertegenwoordigers, marketing medewerkers en customers support medewerkers aan het platform van Payt. Hoe ziet een dag van een medewerker eruit? Lees het hier!
Illustratie van: Today at Payt
Implementatie Payt: van handwerk naar volledig geautomatiseerd
Automatiseren spannend? In dit blog legt Bert-Jan uit hoe eenvoudig het is om Payt te implementeren. Van de kennismaking tot livegang. We staan klaar om je te helpen bij het proces van een handmatig naar volledig geautomatiseerd.