Waarom ruim 50 Visma-bedrijven volgens één security- standaard werken
In Nederland en België zijn er inmiddels meer dan vijftig bedrijven actief die onder de vlag van Visma bedrijfskritische cloudsoftware ontwikkelen, verkopen en ondersteunen voor het bedrijfsleven, de publieke sector, onderwijs, zorg en maatschappelijke organisaties. Bedrijven die toetreden tot de Visma-familie behouden hun eigen identiteiten en kunnen nagenoeg autonoom blijven werken. Nagenoeg, omdat het securitybeleid hierop een belangrijke uitzondering vormt. Cindy Wubben, Chief Information Security Officer bij Visma, legt uit waarom elk Visma-bedrijf een speciaal ontwikkeld security-programma moet doorlopen.
Eén security-standaard dankzij het Visma Security Program
Visma hanteert op verschillende niveaus een hoge security-standaard. Cindy: “Het begint natuurlijk met onze eigen IT-infrastructuur, zoals het beschermen van de laptops van al onze medewerkers. Verder hebben we een awareness-programma opgezet, zodat onze medewerkers zich bewuster worden van alle cyberdreigingen van vandaag de dag. Maar ook op productniveau stellen we hoge eisen aan alle Visma-bedrijven. Alle software- producten van onze bedrijven verwerken dagelijks grote hoeveelheden data die, zeker als het om bedrijfskritische data gaat, aantrekkelijk is voor cybercriminelen en goed beveiligd moet worden. Daarom hebben we ons eigen Visma Security Program ontwikkeld.”
Al voordat een bedrijf onderdeel wordt van de Visma-familie, controleert Visma of dat bedrijf de beveiliging van zijn software op orde heeft. “We verwachten dat geïnteresseerde bedrijven een gezonde basishygiëne hebben. Dit betekent dat bedrijven die een overname door Visma overwegen bepaalde tools van het Visma Security Program moeten implementeren, zodat we red flags in hun beveiliging uit kunnen sluiten. Zijn die er te veel, dan gaat een overname per definitie al niet door.” Wanneer een bedrijf door deze eerste keuring is gekomen en is toegetreden tot de Visma-familie, is het verplicht om het gehele security programma te doorlopen. “Elk Visma-bedrijf moet hieraan deelnemen zodat alle bedrijven dezelfde hoge security-standaard hanteren. Het Visma Security Program bestaat onder meer uit een security self assessment; een uitgebreide vragenlijst waar security-teams een paar maanden mee bezig zijn. Maar het gaat om meer dan een checklist; bedrijven zijn ook verplicht de security-tools die we aanbieden te implementeren. Daar bieden we een
onboardingsprogramma voor aan, zodat bedrijven de handvatten krijgen om dit op een goede manier te doen. Elk nieuw Visma-bedrijf krijgt hier zes maanden de tijd voor.”Schrikken deze hoge security-vereisten ondernemers die overwegen hun bedrijf bij Visma onder te brengen niet af? Volgens Cindy is het juist een extra stimulans. “Bedrijven behouden hun autonomie en blijven zelf verantwoordelijk voor de security. Hoewel deelname aan ons security programma een verplichting is en bedrijven alle tools die binnen dit programma vallen moeten implementeren, is het voordeel dat deze gratis te gebruiken zijn. Bedrijven worden dus niet op kosten gejaagd. Daar komt nog bij dat bedrijven bij vragen kunnen terugvallen op de expertise van security-specialisten van Visma zelf. Met name de kleinere bedrijven die onvoldoende financiële en IT-resources tot hun beschikking hebben, kunnen op deze manier toch het allerhoogste security-niveau bereiken.”
Visma Index om security-voortgang te monitoren en vergelijken
Om te kunnen monitoren of bedrijven hun security-verplichtingen nakomen, moeten ze ook de Visma Index implementeren. “Via deze Index kunnen bedrijven zien welke stappen ze nog moeten zetten om het door Visma vereiste security-niveau te bereiken. Dit werkt aan de hand van een puntensysteem”, legt Cindy uit. “Elk nieuw Visma-bedrijf start met een vast aantal punten. Dit aantal neemt af naarmate bedrijven meer tools uit het security programma hebben geïmplementeerd. Maar het implementeren van de tools is niet voldoende. Bedrijven moeten er ook actief gebruik van maken door de acties die de tools voorstellen op te volgen. Doen ze dat niet, dan komen er weer punten bij. De Index biedt zowel voor de security- teams van de Visma-bedrijven als voor hun managing directors een helder overzicht van de security-status van hun software-producten en of dat op target zit. Wanneer een van de tools melding maakt van een security-issue, dan moeten bedrijven dit binnen een aantal dagen oplossen. Opnieuw geldt: doen ze dit niet, of niet op tijd, dan komen er weer punten bij. De hoeveelheid punten op productniveau bepaalt het security-niveau van dat product: platinum, goud, zilver of brons. De managing directors van Visma-bedrijven bepalen zelf, aan de hand van het risk level van het product, aan welk niveau een product moet voldoen. Omdat de security-status van producten maandelijks wordt gerapporteerd aan managing directors, blijft security top of mind. En dat is cruciaal om één security-standaard voor alle Visma-bedrijven neer te zetten.”
Klanttevredenheid bevorderen en concurrentievoordeel behalen
De hoge security-standaard helpt Visma-bedrijven volgens Cindy ook om zich te onderscheiden van concurrenten en te voldoen aan de eisen die klanten stellen aan security. “De meeste software-producten van Visma-bedrijven werken met bedrijfskritische en privacygevoelige data. Klanten en eindgebruikers eisen van software-leveranciers dat hun data veilig wordt verwerkt, opgeslagen en gedeeld. Met het aantal dreigingen van buitenaf dat toeneemt en cyberaanvallen die steeds complexer worden, is security voor veel
bedrijven die software ontwikkelen een grote uitdaging. Het implementeren van het Visma Security Program helpt bedrijven om kwetsbaarheden in producten te dichten en issues te voorkomen, waardoor ze een zeer hoog security-niveau aan hun klanten en eindgebruikers kunnen beloven. Het is niet voor niks dat we onze boodschap ‘Veilig bij Visma’ tijdens Cybersecurity Maand luid en duidelijk verkondigen.”