De gehele maand oktober is European Cyber Security Month. Hét perfecte moment om na te gaan hoe de bescherming van jouw data is geregeld en hoe je zelf kunt voorkomen dat je gegevens in verkeerde handen komen.
Zo rond de periodeafsluiting, of na een nieuwsbericht over een datalek bij een ander bedrijf, komt bij sommige van onze klanten de vraag op: hoe houdt Nmbrs eigenlijk mijn data veilig? Dat is een goede vraag, want HR- en salarisadministraties bevatten veel persoonlijke informatie over werknemers. Die informatie staat in de cloud, zodat je overal en altijd kunt werken.
Zo rond de periodeafsluiting, of na een nieuwsbericht over een datalek bij een ander bedrijf, komt bij sommige van onze klanten de vraag op: hoe houdt Nmbrs eigenlijk mijn data veilig? Dat is een goede vraag, want HR- en salarisadministraties bevatten veel persoonlijke informatie over werknemers. Die informatie staat in de cloud, zodat je overal en altijd kunt werken. Maar hoe houdt Nmbrs jouw data nu precies veilig?
Om je op weg te helpen vragen we Falko Cats, Compliance Officer bij Nmbrs, het hemd van het lijf.
Falko vertelt ons graag meer: “Om de data van onze klanten veilig en privé te houden, ondernemen we ontzettend veel acties op dit gebied. In dit blog licht ik er graag, in begrijpelijke taal, enkele toe.”
Jouw data opgeslagen in Amsterdam
“Laten we bij de basis beginnen: al onze data staat opgeslagen in de regio Amsterdam. Hiervoor gebruiken we de datacenters van Microsoft Azure. Van al deze data worden natuurlijk ook backups gemaakt, welke zijn opgeslagen in Dublin. Alle data samen wordt dus opgeslagen in Europa, wat onze klanten een prettig idee vinden. Niet geheel onterecht, want de Europese wetgeving voor het veilig houden van klantdata is veel strenger dan bijvoorbeeld Amerikaanse. Zowel Microsoft als Nmbrs doen er zoveel mogelijk aan te blijven voldoen aan die strenge privacyregels, zoals onder meer vastgelegd in de AVG (GDPR).”
Nmbrs heeft enkele jaren geleden bewust gekozen voor Microsoft als hostingpartner. “Dat is een bekende, verantwoordelijke hostingpartij. Microsofts fysieke beveiliging van hun datacenters is van zeer hoge kwaliteit. Dat wordt ook periodiek gecontroleerd en bevestigd door onafhankelijke auditors.” geeft hij aan.
“Uit deze controles komen zogeheten ‘auditrapporten’. Deze bevindingen nemen we altijd goed door en waar nodig doen we verder onderzoek. Zo kunnen we met zekerheid zeggen dat Microsoft de beveiliging op orde heeft”.
Pentesten
“Je goed inlezen is pas stap één. Daarna is het aan ons om het Nmbrs product veilig te maken én te houden,” vervolgt Falko. “Daar doen we een hoop voor, en ook bij ons worden alle processen door onafhankelijke auditors gecontroleerd volgens de daartoe ontwikkelde standaarden.”
“Zo huren we bijvoorbeeld enkele keren per jaar ethische hackers in om ‘pentests’ uit te voeren. Dat betekent dat deze professionele hackers op ons verzoek onze systemen proberen te kraken. Ze speuren naar kwetsbaarheden en als die er zijn worden deze met ons gedeeld zodat we op dat punt kunnen verbeteren.”
Firewalls, IP-checks en 2FA (tweefactorauthenticatie)
Nmbrs investeert veel in het veilig houden van jouw data. Falko legt uit:
“Een voorbeeld hiervan is ons ‘Security Chapter’. Dit is een team van 10 toegewijde collega’s die zich samen inzetten voor dit onderwerp. Ze worden daarin bijgestaan door beveiligingsexperts van de Visma Groep, waartoe Nmbrs behoort. Visma heeft een eigen ‘Cyber Threat Intelligence’ (CTI) team, dat het hele jaar door onderzoek doet en controles uitvoert.”
Bij het schrijven over deze materie, is het lastig om niet in detail treden. Om je een zo compleet mogelijk beeld te geven, beschrijven we een paar van de vele beveiligingsmaatregelen die we nemen:
- Al het dataverkeer gaat via firewalls.
- De verbinding met de Nmbrs-applicatie is versleuteld. Data wordt versleuteld in rust en ook wanneer deze onderweg is. Data kan hiermee niet onderschept worden.
- Als er geprobeerd wordt om in te loggen vanaf een nieuw IP-adres moet de gebruiker deze inlog-actie via een gemailde link bevestigen.
- Inloggen gaat zoveel mogelijk via tweefactorauthenticatie (2FA).
- Dagelijkse draaien er virusscans van McAfee Web Security Service op onze infrastructuur.
- Wanneer onze ontwikkelaars nieuwe code programmeren, zijn er verschillende tools die deze code controleren. Er wordt gecheckt of de code netjes is geschreven, maar ook of er bepaalde kwetsbaarheden aanwezig zijn. Zo kunnen we tijdig zwakke punten en kwetsbaarheden ontdekken voordat de code live gaat.
De mens als zwakste schakel
Falko: “Een basisprincipe van digitale beveiliging is dat de gebruiker de zwakste schakel is. Je kunt als bedrijf nog zo je best doen om de nieuwste technieken in te zetten en daarmee de data van klanten te beveiligen, maar menselijk handelen, of dat nu een ongelukje is of niet, kan nog altijd tot schade leiden.
Te denken valt bijvoorbeeld aan phishing, een fraudevorm waarbij een kwaadwillende via e-mail het slachtoffer overhaalt zijn of haar wachtwoord te delen. Het is aan elke gebruiker om daar goed op te letten. Hier lees je algemene tips om phishing te voorkomen. Daarnaast is het goed om te weten dat Nmbrs je nooit om je wachtwoord zal vragen.
Nmbrs neemt ook voor dit scenario maatregelen. Zo is tweefactorauthenticatie (2FA) op onze mobiele app verplicht en bieden we dit ook aan voor onze webapplicatie. Deze vorm van beveiliging werkt als een tweede beveiligingslaag bovenop het invoeren van een wachtwoord. Ook is ons systeem zo ingericht dat niemand toegang heeft tot bepaalde onderdelen of instellingen van onze applicatie waar deze persoon niets te zoeken heeft (in vaktermen: role-based access control, of RBAC).”
Wat kun je zelf doen om je data veilig te houden?
Samen bereiken we meer. Om die reden delen we enkele tips om je data uit handen van de verkeerde personen te houden:
1 Sterk wachtwoord
Naast 2FA is ook sterk wachtwoord van belang. Nmbrs hanteert een streng wachtwoordbeleid, welke verbonden is aan de Visma policy. We raden aan om lange wachtwoorden met diverse karakters te gebruiken. In onderstaande tabel zie je hoe snel jouw wachtwoord gekraakt kan worden met behulp van de huidige technologie.
2 Wachtwoordmanager
Een sterk wachtwoord is dus een belangrijke stap. Maar hoe onthoud je die onmogelijke wachtwoorden? In ieder geval niet op een papiertje op je bureau. Er zijn veel (gratis) tools die je hierbij helpen. Zo’n tool noemen we een wachtwoordmanager. Deze maakt niet alleen sterke wachtwoorden voor je aan, ze worden ook veilig opgeslagen in een online kluis. Wanneer je bij een website of applicatie wilt inloggen worden de wachtwoorden zelfs automatisch voor je ingeladen. Wel zo veilig en efficiënt.
3 Schermvergrendeling
Data wordt niet alleen online gestolen. Ook in het ‘echt’ kan het misgaan. Iemand met de verkeerde bedoeling kan snel even achter jouw computer kruipen, terwijl jij geniet van een kopje koffie een paar stappen verderop. Gevoelige informatie is dan snel in verkeerde handen. Wees er altijd zeker van dat je uitlogt bij applicaties wanneer je op een andere of openbare computer werkt en vergrendel je computerscherm wanneer je ervan wegloopt.
4 Een opgeruimde computer, minder risico
De hele dag downloaden we gevoelige informatie of slaan we data op. Maar hoe vaak schoon je die data op? Het onnodig verzamelen en bewaren van gevoelige informatie vergroot de kans op lekken. Hoe minder er bewaard wordt, hoe minder risico je loopt op het lekken van gevoelige informatie. Plan maandelijks een moment in om data te verwijderen die je niet meer nodig hebt.
Of je nu een groot of klein bedrijf hebt, je als salarisadministrateur de administratie regelt voor veel belangrijke klanten of gewoon helemaal zelf, Nmbrs houdt jouw data veilig.
Ontdek in dit e-book waarom online salarissoftware de veiligste keuze is.
