Joost mag het weten #2

Joost mag het weten #2

Leestijd: ongeveer 5 minuten
FacebookTwitterLinkedInWhatsAppEmailKopieer url

“Hi Joost, 

Hebben jullie het wachtwoord van Yellow Yard voor Anita*?

Mvg,

Mark”

Regelmatig komen onze klanten bij mij voor wachtwoorden. Even snel een ticket uitsturen, want die collega komt er niet in. En je bent hulpvaardig dus dan vraag je het gewoon even. En hoe graag ik je wil helpen: in sommige gevallen kan het echt niet.

Hoi Mark, 

Wij kunnen het wachtwoord van gebruikers niet zien (en dus ook niet doorgeven). Wel kan Anita een nieuw wachtwoord opvragen via ‘Wachtwoord vergeten?’.

Lukt het zo? Alvast bedankt voor jullie reactie en vriendelijk gegroet,

Joost

In het kader van de themamaand Cyber Security en Privacy Wetgeving doe ik vandaag een duit in het zakje. En geef jou daarmee direct een idee van onze praktische regels rondom veiligheid.

* De namen, behalve Joost, zijn uiteraard verzonnen.

Begin dit jaar ben ik aan de slag gegaan bij Yellow Yard. Ik heb al de nodige ervaring opgedaan in de lijn bij grotere organisaties, dus ik ben niet onbekend met de Wet Bescherming Persoonsgegevens. Bij Yellow Yard gaat het toch wezenlijk om iets anders: je werkt misschien met minder privacy-gevoelige data, maar de zakelijke belangen zijn veel groter. Als een klant jou belt voor de perfecte kandidaat, wil je hem of haar ook zo snel mogelijk aan kunnen bieden. Yellow Yard begrijpt dat en zorgt er daarom voor dat alle processen zo goed mogelijk beschermd zijn om je daarin te faciliteren.

Omdat beveiliging buitengewoon belangrijk is, deel ik deze “Joost mag het weten” met collega Thomas, developer bij Yellow Yard. Hij heeft me meer kunnen vertellen over de beveiliging die is ingebouwd in Yellow Yard en hoe de ontwikkelaars met dit onderwerp omgaan.

Ik had al vrij snel door dat het qua data-beveiliging goed geregeld is bij Yellow Yard. Zoals je enigszins mag verwachten van een moderne SaaS-leverancier is onze hostingprovider (waar alle data daadwerkelijk wordt opgeslagen) ISO-gecertificeerd. Dat geeft al de nodige bescherming, omdat zij daarmee voldoen aan gestelde normen voor data-beveiliging. Deze partij kan enkel door twee collega’s binnen Yellow Yard benaderd worden om het risico op fouten of onrechtmatige toegang te minimaliseren.

Maar ook binnen Yellow Yard zelf zijn de nodige stappen genomen om te garanderen dat niet de verkeerde personen zich toegang tot jouw data kunnen verschaffen. Zo kan ik als Support medewerker je begeleiden met alle stappen, maar heb ik geen toegang tot kritieke systemen, broncode of databases. Om je te helpen bij je vraag is het meestal niet nodig en hiermee verklein je de risico’s op fouten en lekken. Een klant kan mij niet vragen wijzigingen te doen die verstrekkende gevolgen hebben. Veel hackers maken namelijk gebruik van ‘Social Programming’ om bepaalde systemen te kunnen benaderen. Als aanspreekpunt van Yellow Yard vang ik deze ‘dreiging’ af.

Volgende week verschijnt een blog over Social Programming en wat je er tegen kan doen.

Wachtwoorden van gebruikers

Onze klanten krijgen ruimte om zelf wachtwoorden en gegevens aan te passen, zoals in het eerste voorbeeld al aangegeven werd. Waar nodig help ik, na de nodige controlevragen, hen daarbij. Op het moment dat een wachtwoord van bijvoorbeeld een aanvullende mailbox gewijzigd moet worden, kan ik niet langer telefonisch helpen. Dit gebeurt in de tweede lijn door onze ontwikkelaars en ik verzoek de klant dan ook altijd een ticket aan te maken om dit verzoek af te handelen.

De reden hiervoor is het volgende: een ticket wordt verstuurd vanuit de beveiligde omgeving van Yellow Yard door de aangemelde gebruiker. Dat bevestigt voor ons dat we in ieder geval te maken hebben met iemand die gebruik kan maken van Yellow Yard binnen jouw organisatie. Omdat wij onze klanten altijd vragen om een sterk wachtwoord te kiezen, is de kans dat het verzoek komt van een kwaadwillende buitenstaander minimaal.

Mocht je je nog steeds afvragen waarom ik echt niet dat wachtwoord voor je op kan zoeken: alle wachtwoorden die wij opslaan worden direct gehasht en ge-encrypt. Deze wachtwoorden kunnen wij vervolgens ook niet meer terugzetten naar het origineel. Daarmee is jouw wachtwoord ook echt jouw wachtwoord.

Data & Migratie

We verwerken binnen Yellow Yard ontzettend veel data; allemaal informatie over jouw kandidaten, klanten en voorstellen die goed opgeslagen en opgevraagd moeten kunnen worden. Soms is het dan ook nodig om data te migreren. Iemand wordt klant of kiest om welke reden dan ook voor een andere partij. Op dat moment moet de verzamelde data overgedragen worden. En ook dat gebeurt op een zo veilig mogelijke manier.

Zodra wij data exporteren, gaat dat versleuteld en voorzien van een wachtwoord.Hierbij versturen wij het wachtwoord in een apart bericht naar de klant. Alle berichten die wij in het belang van de klant naar een andere partij sturen, worden ook gedeeld met de klant.

Goede beveiliging

In het artikel van 12 juli jl. werd het al beschreven: two-factor-authentication is de beste manier om je data te beveiligen. Dat doen we bij Yellow Yard ook. Enerzijds door voor bepaalde bewerkingen te eisen dat mensen via de beveiligde Yellow Yard-omgeving een ticket aanmaken en anderzijds door alleen via ons eigen IP-adres bepaalde bewerkingen toe te staan. Zo heb je een technische en fysieke beperkende factor waarmee wij jouw online omgeving beschermen.

Wat ik persoonlijk de beste beveiliging vind is de persoonlijke relatie die wij hebben met onze klanten. Als iemand belt, herken ik eigenlijk direct het telefoonnummer en weet ik wel wie ik aan de andere kant van de lijn kan verwachten. Onze accountmanagers zijn regelmatig bij de klant langs geweest en hebben een vergelijkbare vertrouwensband met de klant. En we doen er ook alles aan om die band sterk te houden..

Uiteindelijk is er maar één ‘zwak’ punt waar wij geen invloed op hebben en dat is de gebruiker. Zo opende een klant tijdens een TeamViewer-sessie een overzicht van alle wachtwoorden van alle systemen. Vanuit een mooi herkenbaar Excel-bestand op zijn Bureaublad.. Dat maakt het voor ons wel een echte uitdaging om zijn gegevens veilig te houden.

Zorg dus voor een goed wachtwoord (dat niet te raden is aan de hand van je favoriete tv-serie) of gebruik een password manager. Goed beveiligen is een kwestie van goed samenwerken.

Tot zover deze “Joost mag het weten” in het licht van onze themamaand. Ik hoop dat het je een mooi inzicht heeft gegeven in mijn werk. En dat je het me niet langer kwalijk neemt dat ik je wachtwoord niet op kan zoeken. Wil je de volgende editie niet missen? Schrijf je dan hier  in!

 

 

Interessant artikel? Deel dit blog:
FacebookTwitterLinkedInWhatsAppEmailKopieer url

Plan direct een online demo in!

Benieuwd geworden naar Yellow Yard? Laat je e-mailadres achter voor onze brochure en vraag direct een demo aan!

    Met het verzenden ga je akkoord met onze privacyverklaring.
    Dit formulier is beveiligd met reCAPTCHA (Privacy - Voorwaarden)
    Recent Posts
    Themamaand Cyber Security & Privacy Wetgeving: GDPR, en nu?Blog, Themamaand Cyber Security & Privacy Wetgeving
    Social ProgrammingBlog