Geen betaalgegevens nodig

In gesprek met partner Shockmedia: Hoe houden zij Cirqll draaiend?

Werken met een CRM als Cirqll betekent werken met gevoelige informatie. Financiële gegevens van jouw eigen organisatie, maar óók informatie over je klanten. In deze eerdere blog legt onze Hoofd Developer & ICT Niek Vaanholt uit hoe Cirqll omgaat met persoonsgegevens. Hij noemt in de blog al Shockmedia als onze partner gespecialiseerd in webhosting. Ook die taak heeft veiligheidsrisico’s. Daarom vroegen wij Timo Feenstra, Information Security Officer van Shockmedia, het hemd van het lijf over hun werkwijze in informatiebeveiliging. 

Wat is webhosting?

“Webhosting is een dienst waarmee bedrijven en individuen hun website of webapplicatie op internet kunnen plaatsen. Het biedt de opslagruimte, bandbreedte en technische ondersteuning die nodig is om een website of webapplicatie te laten draaien. Voor ons van Shockmedia betekent dit dus het 100% bereikbaar en veilig houden van onder meer de website van Cirqll. Met een team van 30 mensen werken we daar dag en nacht aan.” 

Honderd procent veilig… kan dat? Hoe meten jullie die veiligheid?

“Natuurlijk is 100% veilig niet met alle zekerheid te zeggen. Maar we komen zo dicht mogelijk in de buurt, doordat we alle maatregelen treffen die mogelijk zijn om gegevens veilig te houden. Dat begint bij het opzetten van systemen op basis van alle bij ons bekende standaarden en guidelines. Daarnaast hebben we allerlei monitoren waarmee het hele systeem dagelijks op meer dan honderd punten wordt gecontroleerd. De risico’s, eventuele maatregelen en evaluaties daarvan houden we continu bij in een speciaal managementsysteem. Dit systeem wordt periodiek zowel intern als door een externe auditor gecontroleerd. Daarnaast zijn we ook ISO 27001 en ISO 5710 gecertificeerd, wat betekent dat we voldoen aan internationale veiligheidsnormen. Om deze certificaten te blijven behouden, zijn we continu bezig met het controleren en verbeteren van onze processen rondom informatiebeveiliging. Dat is het doel van die certificering. 

Gaat er wel eens iets mis?

“We werken met mensen, dus gaan er wel eens dingen mis. In zo’n geval vinden wij het cruciaal dat ervan geleerd wordt. Om die reden hebben wij een strak incidentproces, waarbij na een incident direct een onderzoek wordt gestart naar de hoofdoorzaak van het probleem. Dit heet een root cause-analyse. Op basis van de resultaten treffen we passende maatregelen om herhaling van het probleem te voorkomen. Vaak betekent dit aanpassing van constructies, verdere standaardisering van processen of technische verbeteringen. Zo proberen we het hoofdprobleem op te lossen in plaats van alleen de symptomen te bestrijden.” 

Je hebt het nu over interne fouten. Maar wat doen jullie met een cyberattack?

“Goede vraag. Dagelijks registreren we miljoenen aanvalspogingen, doordat we alles analyseren wat ons netwerk binnenkomt. We zien verschillen soorten aanvallen. Daaronder valt de brute force-aanval, dat is een poging om in te loggen. De reactie vanuit ons hebben we geautomatiseerd: als iemand binnen een bepaalde tijd te vaak een foutieve poging op een inlogpagina doet, dan blokkeren we die gebruiker. Of het nou een IP-adres uit de buurt is, of bijvoorbeeld uit China. Uiteraard proberen we te voorkomen dat dit gebeurt bij klanten die hun wachtwoord verkeerd invoeren. Een andere veelvoorkomende soort aanval is de DDOS-attack. Die methode richt zich op het onbereikbaar maken van een bepaalde server door met heel veel verkeer overbelasting te veroorzaken. Deze aanvallen omzeilen we via het samenwerkingsverband van NAWAS, dat het internetverkeer filtert bij een DDOS-aanval.” 

Kan de gebruiker zelf ook iets doen voor zijn of haar veiligheid?

“De gebruiker heeft met name invloed op de sterkte van zijn of haar wachtwoord. Mijn advies luidt dan ook: maak deze zo lang en complex mogelijk. Wij maken hiervoor zelf gebruik van een wachtwoordmanager, dat kan iedereen downloaden. Een goed alternatief hiervoor is de twee-factor-authenticatie. 

Ook moet de gebruiker alert moeten zijn op phishing. Vertrouw geen onbekende afzenders of linkjes. Dit is nog steeds een populaire techniek om gegevens te stelen.” 

 

Over gebruiksgegevens gesproken, hoe is de AVG geregeld?

“Binnen de AVG heb je de verwerkingsverantwoordelijke, die bepaalt waarvoor de data wordt verzameld. Daartegenover heb je ook de verwerker, die in opdracht van de verantwoordelijke verwerkingsprocessen beheren. In dit geval zijn wij dat, en beheren we jullie serveromgeving. Het enige wat wij doen is zorgen dat deze zo veilig mogelijk is; we komen dus niet aan jullie gegevens of die van jullie klanten. 

 

Hebben jullie al eens een datalek gehad?

Nee, gelukkig niet. Althans, niet in het gedeelte waar wij verantwoordelijk voor zijn. Dat zit zo, wij doen alles tót aan de applicatie. Dat laatste ligt met name bij de klant. Als die applicatie kwetsbaar is, kan daar iets fout gaan. Wanneer wij zwaktes zien, trekken we natuurlijk aan de bel. Maar omdat dit het terrein van de klant is, kunnen wij daarin niet meer doen dan adviseren.

Plan een demo

Laat je gegevens achter en we nemen zo snel mogelijk contact op om een demo in te plannen.