Voor Visma is het leveren van veilige bedrijfssoftware een absolute topprioriteit. De hoge standaarden moeten databescherming en privacy waarborgen, zodat bedrijven vol vertrouwen de cloudsoftware kunnen gebruiken. Deze standaarden zijn opgenomen in het Visma Security Program. We spraken over het programma met Chief Information Security Officer van Visma Benelux, Cindy Wubben.
Het Visma Security Program is ooit opgezet om de boekhoud-, accountancy-, administratie- en groothandelssystemen veiliger te maken. “We willen bedrijven die onder de Visma-paraplu vallen, in staat stellen de beste securitybeslissingen te kunnen nemen,” aldus Wubben. Het is daarmee een gecentraliseerd programma dat de tientallen Nederlandse IT-merken van het moederbedrijf handvatten biedt om op allerlei niveaus veiligheid in het product in te bouwen en te garanderen.
Lees ook ons achtergrondartikel over de overnamestrategie, waarin globaal meer duidelijk wordt over de Visma-paraplu waarover Wubben spreekt.
Wubben geeft aan dat het Visma Security Program het oudste programma is binnen de veiligheidsstrategie. Gebaseerd op de risico’s die men zag, zijn de securityexperts services gaan formuleren en opzetten om de risico’s te mitigeren. Naarmate de tijd vordert, wordt het programma ook regelmatig geüpdatet en uitgebreid met andere onderdelen die binnen de veiligheidsstrategie van Visma passen.
De basis op orde
Om het securityverhaal van Visma te kunnen plaatsen, is het goed om te weten dat de meeste softwareoplossingen ooit onder het moederbedrijf zijn gekomen door overnames. Om te bepalen of een bedrijf voor Visma daadwerkelijk interessant is om over te nemen, wordt ook meegenomen hoe veilig de software in de basis al is. Visma beoordeelt op voorhand dus de mate van veiligheid van een product. Voldoet het product aan voldoende standaarden, dan krijgt de overname van de securityafdeling een ‘go’. In theorie kan dat ook betekenen dat een product niet veilig genoeg is en de overname daardoor niet doorgaat.
Visma beoordeelt de eigen software altijd en maakt daarbij gebruik van een gradatiesysteem. Op basis van een assessment, met daarin vragen maar ook codetests, wordt bepaald hoe volwassen de security van de software is. Op basis van het risico wordt de software beoordeeld als brons, zilver, goud of platinum. Vaak is het een managing director die samen met Wubben beoordeelt op welk niveau het product uiteindelijk wordt ingeschaald. Ze kijken bijvoorbeeld naar welke data erin zit, wat de beveiligingseisen hoger legt, maar ook of het om on-premises software gaat of een SaaS-product. Wubben legt uit dat SaaS per definitie goud of platinum is omdat het het juiste beveiligingsniveau biedt.
Als eenmaal in kaart is gebracht hoe hoog het securityniveau van een product is, wordt ook een target tier bepaald. Het kan bijvoorbeeld zijn dat een product als goud wordt bestempeld, maar dat bepaalde softwarecomponenten herbouwd moeten worden om het veiligheidsniveau verder te verhogen. Over het algemeen wordt hierbij een periode van zes maanden opgelegd om het nieuwe doel te halen, waarbij Wubben en haar team ondersteuning bieden.
Met services op weg naar nieuwe hoogtes
In principe verloopt dat werk zoveel mogelijk via een index, waarop een Visma-bedrijf kan zien hoever het is met de implementatie van securityonderdelen van het Visma Security Program. Deze onderdelen worden veelal omschreven als services. De services dekken gezamenlijk een groot deel van alles wat met softwarebeveiliging te maken heeft. Zo maakt een basisdiscipline als Static Application Security Testing (SAST) deel uit van het programma, waardoor de broncode wordt gescand op securityfouten. Softwareontwikkelaars kunnen met behulp van SAST standaard veilige code leveren.
Daarnaast beschikt het Visma Security Program over Dynamic Application Security Testing. Hiermee worden cyberaanvallen als het ware gesimuleerd, zodat een securityexpert een eventuele kwetsbaarheid kan analyseren en oplossen. Aanvullend hierop is er ook een bug bounty-dienst die ethische hackers uitdaagt bugs op te sporen. Een ethische hacker die een bug meldt, zal ook een beloning krijgen van Visma. De hoogte van de beloning is afhankelijk van hoe kritiek een kwetsbaarheid is.
Een andere manier voor Visma om de veiligheid van software te garanderen, is door op allerlei manieren te monitoren. Zo heeft Visma een team van securityexperts in huis die zich bezighouden met threat intelligence. Door middel van onderzoek en monitoring stuiten de securityexperts op events die een potentiële bedreiging vormen voor software. Het kan bijvoorbeeld gaan om staatshackers die een compleet nieuwe manier vinden om organisaties aan te vallen.
Het voordeel van massa
Wat Wubben merkt, is dat het samenbrengen van de services op het dashboard bij de Visma-bedrijven leidt tot een actieve betrokkenheid bij het verhogen van het securityniveau. Ze ziet vaak dat Visma-merken graag een platinumstatus willen bereiken en behouden. Bedrijven willen elkaar ook helpen een hoger securityniveau te bereiken. Het komt meer dan eens voor dat een Visma-merk met een platinumstatus een nieuw Visma-lid helpt en aanmoedigt om op weg te gaan naar een hoger niveau. Uiteindelijk heeft elk Visma-product baat bij goede security van andere producten. Wubben geeft aan dat het onderdeel is van de securitycultuur: samen zorgen de Visma-medewerkers ervoor dat de data van klanten op de best mogelijke manier wordt beschermd.
Wubben geeft ook aan dat het Visma Security Program echt een reden kan zijn voor een softwareleverancier om bij de club te willen horen. Voor een overname heeft een softwareleverancier vaak veel minder kennis over en middelen voor security in huis. Als ze zich aansluiten bij Visma, krijgen ze toegang tot een professioneel securityprogramma en tot flink wat medewerkers die ondersteuning kunnen bieden.
Tip: Visma stapt in op Duitse softwaremarkt
Medewerkers moeten er plezier in hebben
Een grote uitdaging is om security interessant te maken en te houden. Zoals Wubben al aangaf zijn medewerkers bereid om elkaar te helpen, wat zeker kan bijdragen aan de voortdurende verbetering van security. Het is echter wel zo dat bij een Visma-bedrijf vaak één of twee personen hoofdverantwoordelijk zijn voor security, en dat de overige securitytaken verdeeld zijn over verschillende medewerkers, van softwareontwikkelaars tot privacy-specialisten. Het is dan belangrijk om al die medewerkers te betrekken bij het proces van voortdurende verbetering van security.
Op dit vlak speelt het dashboard een prominente rol. In dit dashboard kan een manager zien hoever iedereen is met de implementatie van de securityonderdelen. Er is ook prioritering, zodat de manager weet waar hij op moet sturen. Degene die verantwoordelijk is voor een securitykwestie kan op zijn beurt ook het dashboard raadplegen, in dit geval om te bepalen op welke zaken hij de aandacht moet richten. Op die manier wil Visma de juiste begeleiding bieden voor verschillende rollen.
Als extra stap om security interessant te houden, is er ook gamificatie geïntroduceerd in het Visma Security Program. Dit betekent dat het programma een puntensysteem heeft geïmplementeerd. Medewerkers zien dus in het dashboard waar ze aandacht aan moeten besteden. Wanneer ze dat doen, heeft dat invloed op hun puntenscore. Zo kunnen ze als het ware uitgroeien tot de securitykampioen van het team. Het is uiteraard een speelse benadering, maar met als doel om de lat voor softwarebeveiliging hoog te leggen.
En die lat moet hoog liggen, want in Visma-software wordt uiteindelijk veel gevoelige data verwerkt. Denk aan payroll- en factuurinformatie: dergelijke gegevens moeten absoluut veilig zijn. Door applicatiebeveiliging serieus te nemen, wordt in ieder geval de basis gelegd. Zo moeten gebruikers van Visma-software met een gerust hart kunnen doen wat ze willen binnen het systeem.
19 uur geleden
