Afas Software is een Nederlands familiebedrijf dat innovatieve softwareproducten ontwikkelt voor zowel de zakelijke als consumentenmarkt. Het bedrijf heeft maatschappelijke verantwoordelijkheid hoog in het vaandel staan. Dit vertaalt zich ook in de veiligheid van de Afas-producten. Om hierop toe te zien, heeft Afas gekozen voor een samenwerking met Computest.
De noodzaak van een goede beveiliging van cloud-gebaseerde software-oplossingen is evident. Hoewel er veel kennis in huis is, koos Afas ervoor de security-aspecten van de software te laten controleren door een derde partij. Hiervoor werd een assessment gerealiseerd waar verschillende bedrijven aan mee mochten doen.
Jeroen van Stokkum, manager ict bij Afas: ‘De test was simpel: hier heb je een toepassing, laat ons over een week maar weten wat je kunt vinden. De resultaten liepen echter flink uiteen. Sommige partijen vonden niks, andere bestookten ons met vragen gedurende die week en leverden een lijvig rapport aan waarin uiteindelijk niet heel veel verbeterpunten stonden. Van eentje hoorden we de hele week niks totdat we een heel praktisch en concreet overzicht kregen met allerlei gaten en onzorgvuldigheden. Dat was Pine Digital Security, nu onderdeel van Computest. Geslaagd voor de test met vlag en wimpel.’
Security-kennis en oog voor de business
Afas werkt met uitgekiende processen. Alles wordt vastgelegd en iedereen werkt volgens bepaalde stappen. Daarmee is security goed ingebed in de organisatie. Toch is er bewust voor gekozen om de security-controles uit te besteden. Volgens Van Stokkum is dit haast niet intern te doen. ‘Je moet er dan iemand fulltime opzetten en diegene moet ook nog eens van alles afweten. En hij of zij heeft het de ene dag drukker dan de andere; er is niet op te plannen. Bij Computest heb ik op afroep een team van specialisten beschikbaar die continu met deze zaken bezig zijn. Zij hebben ook echt een ‘ethical hacker-mindset’. Dat ga je intern niet evenaren.’
Een andere reden om op zoek te gaan naar een derde partij is dat zo de business niet uit het oog verloren wordt. Het is daarbij wel van belang dat een controlerende partij niet alleen technisch op de hoogte is, maar ook zakelijk gezien snapt wat de belangen zijn. Van Stokkum geeft aan dat deze discussie niet uit de weg wordt gegaan: ‘Gelukkig maar, want dan ben je in gesprek en kom je tot een beter resultaat. Computest staat ook open voor zakelijke belangen en heeft dezelfde pragmatische insteek als wij. Ze testen de applicatie en komen terug met adviezen die we bespreken en verwerken. Vervolgens controleert Computest nog een keer. Het resultaat is een veilige toepassing met een goed afgewogen risico-profiel. Aan de hand van de adviezen van Computest kunnen we dit ook volledig inzichtelijk maken aan onze klanten.’
Samenwerking
‘Wij spreken liever over partners wanneer we het over leveranciers hebben’, zegt Van Stokkum. ‘Zo werken we ook echt samen met Computest. Dat is een opmerkelijk verschil met andere aanbieders. Ik kan hen bellen om even mee te denken over iets, zonder dat ik daar dan een hele dag met een consultant voor moet inplannen. Ze zijn een sparringpartner op security-gebied, denken mee en gaan veel verder dan alleen een technische test.’
In de bedrijfscultuur van Afas speelt vertrouwen een belangrijke rol, dat verwachten ze ook bij partners. ‘De vertrouwensrelatie is altijd van belang en zeker als het om zaken als security gaat. Als Computest een toepassing moet testen, geven ze vooraf aan hoeveel tijd ze kwijt zijn aan het controleren ervan. Ik moet ervan uit kunnen gaan dat dit een reële inschatting is, en dat ze zorgvuldig omgaan met de informatie en data die ze te zien krijgen. Dat vertrouwen is de basis van deze relatie en ik heb sterk het gevoel dat dit van beide kanten zo wordt ervaren’, besluit Van Stokkum.