Informatiebeveiliging, of dataveiligheid, is een onderdeel van onze kernwaarde kwaliteit. Het is niet voor niets dat we sinds 2020 ISO-gecertificeerd zijn. Onze kwaliteit waarborgen we door gedegen processen en procedures, maar ook door iedere dag te verbeteren. Kritisch zijn op wát we doen, wat we vastleggen en hoe we informatie binnen en buiten onze organisatie vastleggen en delen. Voor onze klanten én onze collega’s moet het gewoon duidelijk zijn wat we doen aan informatiebeveiliging. En vooral niet te ingewikkeld.

Interne ‘awareness’

Bij Forque willen we dat iedereen snapt waarom dataveiligheid zo belangrijk is en wat je er zelf aan kunt bijdragen. Het begint met interne ‘awareness’: iedere nieuwe collega volgt een dataveiligheid-cursus bij indiensttreding, gegeven door onze Data Security Officer (DSO) Matthijs Pool. Iedereen wordt uitgelegd dat we met bepaalde informatie te maken hebben, zoals persoons- of klantgegevens, waar je vertrouwelijk mee om moet gaan. Het is duidelijk dat het voorkomen moet worden dat deze gegevens bij de verkeerde personen terechtkomen. Maar hoe zorg je ervoor dat dat niet gebeurt?

Fouten maken is menselijk

Onze collega’s zijn ook gewoon mensen en mensen maken nou eenmaal fouten. Dat is helemaal niet erg vinden wij. Matthijs: “Er gaat wel eens wat mis, maar we constateren dat zelf en acteren daarop. Dat is kenmerkend voor een organisatie die zich ook op het gebied van dataveiligheid verder ontwikkelt.” Natuurlijk doen we er alles aan om incidenten te voorkomen, maar als het tóch een keer voorkomt dan vinden we het belangrijk dat er een melding wordt gedaan van dat incident. Want dan kunnen we er wat mee en dóén we er ook wat mee! We zoeken samen naar een oplossing; soms ook in afstemming met de klant. “Uit een analyse van 2020 blijkt dat de medewerkers bij Forque zich vrij voelen om iets te melden”, vertelt Matthijs. “En dat is goed nieuws, want dat is de enige manier waarop we de dataveiligheid kunnen beheersen. En zoals ik altijd tegen iedereen zeg: een melding doen van een incident is niet erg. Iets níet melden is wél heel vervelend.”

De juiste tools

Zodra iedereen op de hoogte is van het belang van dataveiligheid, is het zaak om de juiste tools hiervoor aan te reiken. Bij Forque werken we bijvoorbeeld met Lastpass: een online kluis waarin je je wachtwoorden opslaat. Zo is er geen risico dat er spiekbriefjes met wachtwoorden rondslingeren of zelfs zoekraken, want deze kluis is enkel toegankelijk met een zogeheten ‘master password’ én met multifactor authentication (meervoudige beveiliging door bijvoorbeeld het moeten opgeven van een extra beveiligingscode). Daarnaast werken we veel met Microsoft Teams, ook tijdens projecten met klanten, zodat we op een beveiligde manier bestanden met elkaar kunnen delen. Bestanden delen via de mail raden we af omdat deze onderschept kunnen worden. En als we het dan toch hebben over e-mail: we attenderen elkaar intern op phishing mails zodat iedereen hier extra goed op let. Want een ongeluk zit nou eenmaal in een klein hoekje.

Maar wat heb ik hier aan als klant?

Zoals gezegd: een ongeluk zit in een klein hoekje. Er hoeft maar één persoon niet goed op de hoogte te zijn en het kan zomaar mis gaan. Daarom is Forque ISO 27001-gecertificeerd. Daarmee tonen we aan dat we weten hoe we moeten omgaan met informatiebeveiliging. Om deze certificering te krijgen worden we jaarlijks getoetst op een aantal vlakken. Matthijs: “Neem bijvoorbeeld onze procedures voor het doorvoeren van wijzigingen in de databases van onze business intelligence-klanten. Dat moet zorgvuldig gebeuren, dus ontwerpen en testen we wijzigingen vóórdat we ze doorvoeren in de productieomgeving van de klant. Tegelijk zorgen we ervoor dat we een goed versiebeheer hebben dat als het onverhoopt nodig is, we ook gemakkelijk weer terug kunnen naar de oude situatie.”

Business Intelligence

Regelmatige audits

Daarnaast worden er regelmatig interne én externe audits uitgevoerd, waarmee wordt gecontroleerd of je je aan de regels houdt én blijft houden. De (tussentijdse) externe audit heeft dit jaar plaatsgevonden op 17 en 18 maart en is uitgevoerd door Brand Compliance. Matthijs vertelt: “Tijdens zo’n audit wordt er door de auditor in de procedures in je ISMS (Information Security Management System) ‘geprikt’. Ons ISMS laten we zoveel mogelijk via AFAS InSite lopen, zodat iedereen goed op de hoogte is van onze procedures. Ook wordt er gekeken naar welke incidenten er zijn geweest, wat je ermee gedaan hebt en hoe je ze hebt opgelost. Dit gebeurt volgens het ‘tell me, show me, and prove me’-principe.” Je kunt natuurlijk wel zeggen dat je je procedures goed op orde hebt en dat ze doen wat ze moeten doen, maar de auditor bekijkt ze van dichterbij en beoordeelt of dat daadwerkelijk zo is. Matthijs: “Zo is er deze keer bijvoorbeeld gekeken naar de wijzigingsverzoeken die we doen met DevOps. Wijzigingen in onze koppelingen mogen niet zomaar door iedereen in de organisatie worden uitgevoerd. Ook het privacy statement op onze website is onder de loep genomen in het kader van de privacywetgeving.”

Thuiswerken en dataveiligheid

“Sinds we te maken hebben met de coronarichtlijnen van de overheid zijn we allemaal veel meer thuis gaan werken. Het gemak waarmee we dit met z’n allen hebben opgepakt, daar ben ik ontzettend trots op!” vertelt Matthijs. “We werkten natuurlijk al veel ‘in the cloud’ en op afstand, maar de dataveiligheid heeft er niet onder geleden.”

Continu op zoek naar verbetering

Dataveiligheid staat altijd op de agenda van Forque en is daarmee continu in ontwikkeling. Want alleen zo blijven we kwaliteit voor onze klanten en onszelf bewaken en waarborgen. Matthijs vertelt welke ontwikkelingen eraan zitten te komen: “We hebben veel van onze procedures en richtlijnen met betrekking tot informatiebeveiliging geborgd in AFAS InSite. Komend jaar willen we hierin nóg meer gaan automatiseren, zodat er zo min mogelijk menselijk handelen aan te pas hoeft te komen. Als we bijvoorbeeld een nieuw systeem of programma in gebruik nemen, dan willen we graag weten welke informatie daarin wordt opgeslagen of gedeeld. Nu wordt zoiets in een mail naar mij (DSO) gestuurd en dan ga ik het verwerken. We willen hiervoor een workflow bouwen in InSite, zodat bij een nieuw systeem of programma de medewerker dit meldt en zelf al heeft nagedacht over welke informatie er van belang is. Op die manier wordt de kans kleiner dat we iets missen en is de kans groter dat het goed geborgd blijft!”

Jij wil er toch ook relaxed bij zitten? Klik op de knop hieronder en kom te weten hoe jij dit ook kunt:

    (Bij verzenden ga je akkoord met ons privacybeleid)