Bedrijfscultuur: Veiligheid van data
Mijn naam is Sander Kamstra, directeur en één van de oprichters van Payt. Bij het groeien van een zolderkamer idee tot een serieuze organisatie, loop ik geregeld tegen momenten aan waarvan ik denk dat ze van invloed zijn op onze bedrijfscultuur. Met deze serie blogs wil ik proberen iedere maand een situatie te beschrijven die laat zien wie wij zijn als bedrijf. Ik geef u een inkijkje in het leven bij Payt.
De casus: processen zijn belangrijker dan resultaat
In mijn eerste baan als ICT’er had ik een goed idee, waarbij de beveiliging van data een belangrijk onderdeel vormde van de propositie. Dus ik ging met mijn idee naar een seniore collega die verantwoordelijk was voor de beveiliging van servers en databases. Zijn antwoord was simpel en vandaag nog steeds niet minder waar:
“Als je een database met gegevens wilt beschermen moet je zo weinig mogelijk data opslaan, alleen oninteressante data toelaten en geen gebruikers toestaan.”
Hier een mooi voorbeeld van de GGD, een paar weken geleden.
Voor het toestaan van gebruikers zijn inmiddels best veel mogelijkheden om de toegang behoorlijk veilig te maken. Gelukkig maar, want zonder gebruikers hebben we niet veel aan onze software. Bij Payt praten we wekelijks over nieuwe functionaliteiten die veel gebruikersgemak opleveren, maar een concessie aan de bescherming van data vragen. Onze data is (helaas) ook interessant genoeg om heel veel waarde te hebben, dus zijn we ISO27001 gecertificeerd. Dat houdt in dat we voldoen aan de internationale norm voor Informatie Security Management System (ISMS). Graag wil ik een voorbeeld beschrijven waar dat toe kan leiden binnen het bedrijf.
We waren nog maar met 20 medewerkers toen we het certificaat haalden. We hadden veel voorbereid en een goed doordacht beveiligingsbeleid uitgeschreven. Binnen een jaar had iemand bij Payt bedacht dat dit beleidsdocument niet alleen bij de beleidsmakers bekend moest zijn, maar ook bij alle andere medewerkers. En dat kon het beste door het te laten aftekenen door iedereen. Daarvoor vonden we dat een algemene tekst over geheimhouding in het arbeidscontract volstond. Niet lang daarna kwam er een uitgebreide lijst met alle hardware, software en processen voor iedere nieuwe medewerker die afgewerkt moest worden (een intakelijst). Sinds een jaar is één persoon nu verantwoordelijk om alle toegang inzichtelijk te hebben. De intakelijst is vervangen door een uitgebreide autorisatiematrix. Om het proces van toegang waar beveiliging op zit iets makkelijker te maken, hebben we in Slack een access_request channel. Klinkt goed toch?
Voor een nieuwe collega had ik toegang aangevraagd in het access_request channel. Ik wilde indruk op haar maken met onze snelheid van handelen en zodat ze een vliegende start kon maken. Na een week was er nog steeds geen toegang. Navraag leerde mij dat een developer besloten had deze toegang niet te verlenen, omdat de nieuwe collega het beveiligingsbeleid nog niet ondertekend had. En kort daarna kreeg ik een reprimande dat ik ook de autorisatiematrix nog niet had ingevuld.
Het is veel moeilijker om resultaatgericht te werken dan om procesgericht te werken. Een uitgeschreven proces kun je simpelweg volgen. En als je het goed volgt heb je in ieder geval nooit schuld.