Online bedrijfssoftware: is je data veilig ‘in the cloud’?
Met de komst van de online boekhoudtools is het langsgaan bij je accountant met dossiermappen of USB-stick niet meer nodig: je kan direct met hem samenwerken in de boekhoudsoftware. En alle contactgegevens van je cliënten kan je opslaan in een online CRM.
Maar wat veel mensen zich afvragen: hoe veilig zijn al deze zakelijke tools? Zijn ze ook geschikt om vertrouwelijke informatie in op te slaan?
Uit ervaring blijkt dat hoe meer mensen over online tools weten, hoe minder bang ze ervoor zijn. Angst is geen goede raadgever en hierdoor kan je onnodig kansen laten liggen. Handig dus om je goed te informeren, om een gedegen afweging te kunnen maken of bedrijfssoftware in de cloud iets voor jouw bedrijf kan betekenen. Met dit artikel helpen we je op weg.
Veilige cloud, veilige tools: informatie en keurmerk
In Nederland zijn er diverse partijen die zich bezighouden met een veilige cloud.
Centrum voor Informatiebeveiliging en Privacybescherming
Zo is er het CIP, het Centrum voor Informatiebeveiliging en Privacybescherming. Hierin werken vele overheidsorganisaties en marktorganisaties samen als kennispartners. Om zo van elkaar te leren op het vlak van informatiebeveiliging en privacybescherming en samen tot afspraken te komen over normen en werkwijzen. Op basis van ‘good practices’ stellen ze gratis handboeken ter beschikking, waarmee organisaties hun IT-dienstverlening kunnen optimaliseren. Zodat burgers deze IT-dienstverlening durven vertrouwen.
Het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie
Voor de meeste kleine tot middelgrote MKB-bedrijven, de groot gebruikers van bedrijfssoftware in de cloud, gaan deze handboeken veel te ver. Voor de leek zijn zij onbegrijpelijk en niet praktisch inzetbaar binnen de bedrijfsvoering.
Gelukkig hoeft dit ook niet. Het NCSC, het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie, heeft daarom voor burgers en het MKB de site www.veiliginternetten.nl gelanceerd. Hierop staat begrijpelijk en bruikbaar advies en wordt actueel nieuws gedeeld over computervirussen en beveiligingslekken in software. Door er een gewoonte van te maken wekelijks deze site even te bezoeken zorg je ervoor dat je geïnformeerd bent en blijft. Zo bescherm je jezelf en je bedrijf tegen oplichting.
Over de veiligheid van de cloud zeggen zij het volgende:
‘De basisbeveiliging van clouddiensten bestaat uit een gebruikersnaam en een wachtwoord. Dat is in principe veilig genoeg, maar extra maatregelen om de veiligheid te vergroten zijn zeker aan te raden. Realiseer je wel dat Amerikaanse diensten, zoals de NSA en CIA, relatief makkelijk toegang hebben tot Amerikaanse clouddiensten, zelfs als ze hun data in Europa opslaan. Wees je hiervan bewust als je een van onderstaande clouddiensten gebruikt of wilt gebruiken’.
Zeker OnLine
Daarnaast kun je, wanneer je er zeker van wilt zijn dat je in zee gaat met een betrouwbare organisatie, vertrouwen op een keurmerk. Voor online administratie diensten is dit Zeker-OnLine. Zij maken gebruik van de richtlijnen voor veilige webapplicaties van het NCSC. Bij organisaties die dit keurmerk hebben, kan je ervan uitgaan dat de dienst betrouwbaar, veilig en voortdurend beschikbaarheid is.
Veilig gebruik
Bij het gebruik van online bedrijfssoftware geldt eigenlijk hetzelfde als voor het gebruik van andere apparaten. Stel, een boormachine heeft een geweldig keurmerk. Maar als je het zonder instructie laat gebruiken door een onervaren persoon of de veiligheidsinstructies niet in acht neemt, zit een ongeluk in een klein hoekje. Daarom is het van belang je bedrijfsprocessen gedegen in te richten of te laten inrichten door bijvoorbeeld een accountant of controller. Kies er hiervoor één met kennis van moderne IT-systemen en welke maatregelen dit binnen een bedrijf vereist.
Opzetten administratieve organisatie
Zoals bij alle bedrijfsprocessen, is het voor je administratie processen ook noodzaak deze zo vorm te geven, dat ze gewenst gedrag bevorderen en ongewenst gedrag, zoals fraude, voorkomen. Er wordt hierbij een onderscheid gemaakt tussen preventieve en repressieve maatregelen. Preventieve maatregelen zijn zaken die je van tevoren kan regelen, om risico’s te vermijden. Repressieve maatregelen zijn controles die je achteraf doet, om de naleving en werking van de preventieve maatregelen te testen. Op het gebied van IT risk control vallen hier application controls & general controls onder. Wat houden deze in de praktijk in?
Preventieve maatregelen
- Controle technische functiescheiding: een verdeling over personeel van de functies beschikken, uitvoeren, bewaren, registreren, controleren, zodat fraude wordt voorkomen. Voor je bedrijfssoftware betekent dit het instellen van wachtwoorden en autorisaties. Geef elke gebruiker bijvoorbeeld zijn eigen password. Zo kun je voor iedere gebruiker rechten beheren.
- Vaste procedures: zorg dat backups geregeld zijn, dan wel bij de leverancier, dan wel binnen je bedrijf.
- Richtlijnen en instructies: zorg dat het personeel dat met de tools werkt hiervoor opgeleid of ingewerkt is. Een tool kan nog zo mooi ontworpen zijn met allerlei autorisaties en sharings settings (data delen met iedereen of een gericht publiek), maar als personeel niet weet hoe ze hier gebruik van moeten maken, zijn je gegevens niet beschermt. Zorg ook voor een bedrijfshandboek, waarin procedures en werkprocessen omschreven staan. Hierin kan je ook opnemen welke gegevens waar opgeslagen moeten worden en op welke manier (bijvoorbeeld met of zonder aanvullende beveiligingsmaatregelen zoals encryptie).
Repressieve maatregelen
- Verbandcontroles: kloppen de cijfers in het boekhoudsysteem met de voorraad, klopt het bedrag aan verstuurde facturen met het binnengekomen bedrag op de bank? Werkt de controle technische functiescheiding naar behoren om fraude te voorkomen?
- Detailcontroles: houden de medewerkers zich aan de opgestelde richtlijnen?
- Inventarisaties: hoe groot is de voorraad? Zijn bestanden op die wijze beveiligd als voorgeschreven? Hebben alle medewerkers die uit dienst zijn ook daadwerkelijk geen toegang meer tot de systemen? Is de serverruimte vergrendeld met een sleutel?
Inrichten van bedrijfsprocessen
Bovenstaande is slechts een greep uit de maatregelen. Deze zullen natuurlijk voor elk bedrijf anders zijn, afhankelijk van de diensten en het vakgebied. Deze bepalen het belang van verschillende beveiligingsmaatregelen en de vlakken waar men zich op moet richten. Door alle bedrijfsprocessen gedetailleerd in kaart te brengen (bijvoorbeeld met een stroomschema met hierin alle acties per functie), kun je de belangrijkste risico’s voor jouw bedrijf achterhalen. En je bedrijfsprocessen zo inrichten dat deze risico’s voorkomen worden.
Online is er een schat aan informatie te vinden om je op weg helpen bij dit proces. Informatief is de lijst die Veilig Internetten geeft, met punten waar je op moet letten als je overstapt op de cloud, zoals continuïteit, integriteit, privacy en eigendomsrecht. En op de site Bescherm je Bedrijf is bijvoorbeeld een stappenplan beschikbaar voor het beveiligen van informatie binnen je bedrijf.
Met de juiste mix van preventieve en repressieve maatregelen ontstaat er een administratieve organisatie waarmee er door het management controle kan worden uitgeoefend over de veiligheid: vooraf en achteraf.
Door bovenstaande tips in acht te nemen neem je zelf de verantwoordelijkheid in handen om de opslag van de informatie in de bedrijfssoftware tools en daarmee ‘the ‘cloud’ zo veilig te maken als nodig. Zodat je je hier geen zorgen meer over hoeft te maken en kan genieten van het gebruiksgemak en ondersteuning die zakelijke software kan bieden.