Please ontwikkelde in 2005 UurOnline: een uitgebreide webapplicatie waar werknemers en opdrachtgevers terecht kunnen voor uiteenlopende zaken, zoals hun urenadministratie, loonstrookjes, managementinformatie, contractverleningen, vragen en nog veel meer. In dit systeem staan natuurlijk veel privacygevoelige gegevens en gebruikers moeten ervan verzekerd zijn dat deze gegevens optimaal beveiligd zijn. In het kader van ‘de slager moet zijn eigen vlees niet keuren’, schakelde Please cybersecurityspecialist IP4Sure in voor een uitgebreide penetratietest.

UurOnline

De webapplicatie UurOnline was in 2005 het eerste urenportaal in Nederland. Hoewel het ooit begon als een urenregistratiesysteem, dekt de naam de lading allang niet meer. Inmiddels is de door Please zelf ontwikkelde applicatie een volledig online personeelsdossier, waarin werknemers en werkgevers alle personeelszaken terug kunnen vinden. Van urenregistratie tot loonstroken en van contracten tot jaaropgaven. “Het is eigenlijk een volledig personeelsadministratiesysteem,” vertelt Hans van de Ven, algemeen directeur van Please.

Meer dan 15.000 actieve gebruikers

UurOnline wordt op dagelijkse basis geraadpleegd door meer dan 15.000 actieve gebruikers, die erop moeten kunnen vertrouwen dat hun gegevens veilig zijn en dat de applicatie voldoet aan de eisen die de Europese privacywet, de AVG stelt. En niet alleen de gebruikersinterface moet waterdicht zijn, ook de externe systemen van opdrachtgevers, die via een API gegevens uitwisselen met UurOnline, moeten dat op een veilige manier kunnen doen. Hoewel Please over een professioneel team van software engineers beschikt, dat veiligheid hoog in het vaandel heeft, besloot het bedrijf om de ultieme beveiligingstest uit te besteden aan een partner.

Niet alleen wijzelf maar ook onze opdrachtgevers willen bewijs zien dat onze systemen zo veilig zijn als wij beweren.

“Wij gaan heel secuur om met de gegevens die klanten ons toevertrouwen. Niet alleen wijzelf willen zeker weten dat onze beveiliging strenge tests doorstaat, ook onze opdrachtgevers willen bewijs zien dat onze systemen zo veilig zijn als wij beweren,” stelt Van de Ven. “Ze vragen bijvoorbeeld naar het laatste pentestrapport en dat mag vaak niet ouder zijn dan een jaar, of liever: zes maanden. Logisch, want de software wordt voortdurend bijgewerkt, waardoor er altijd nieuwe beveiligingsrisico’s kunnen ontstaan. En dan gaat het niet alleen om de software die we zelf ontwikkelen, maar ook over software van derden. Wij gebruiken bijvoorbeeld Microsoft Web Services en de updates die Microsoft uitrolt, kunnen ook beveiligingsrisico’s op ons platform introduceren. Dat wil je regelmatig laten testen.”

Waarom IP4Sure?

Er waren al gesprekken gevoerd met verschillende grote security-specialisten, maar dat leidde niet tot de gewenste uitkomst. “Dat soort partijen bedient overheidsorganisaties en grote multinationals,” vertelt Van de Ven. “Al voor we een afspraak hadden gemaakt, kregen we de vraag: wat is jullie budget? Ik zei dan: ik heb geen specifiek budget, ik wil gewoon de zekerheid dat de applicatie op alle fronten getest wordt. Zelfs als deze partijen langskwamen, bleef het maar over budget gaan in plaats van over wat wij nodig hadden als klant. Ik voelde de klik niet. Toen kreeg ik een mailing van IP4Sure in mijn inbox, over een kennissessie die zij gaven. Ik kende Twan Wouters, een van de oprichters, nog uit de tijd dat hij ons IT-support gaf en die samenwerking was altijd goed bevallen. Ik ben naar de kennissessie gegaan en legde hen mijn vraag voor. In dat eerste gesprek kreeg ik direct het vertrouwen waar ik naar op zoek was. IP4Sure voelde als een specialist die niet in budgetten dacht, maar in security-vraagstukken. En dat gevoel bleek juist.”

De applicatie werd heel uitgebreid onderzocht door IP4Sure

Met vlag en wimpel geslaagd

Van de pentest zelf heeft Please weinig gemerkt: “We hebben ons datacenter van tevoren ingelicht dat er getest zou worden, want je wil natuurlijk niet dat ze poorten blokkeren en het reguliere verkeer er last van heeft. De applicatie werd heel uitgebreid onderzocht door IP4Sure. Er is bijvoorbeeld gekeken of er zonder login ingebroken kon worden en of je met een bepaalde identiteit ook bij gegevens kon komen waarvoor je geen rechten hebt. We zijn gelukkig met vlag en wimpel geslaagd: van de kritieke doelen is er geen behaald. Goed nieuws dus voor onze developers. Er waren wel wat kleine issues die een minimaal risico vormden, want die vind je nou eenmaal altijd, maar in het rapport gaf IP4Sure heel duidelijk aan hoe we die snel konden verhelpen, inclusief links naar relevante artikelen over het onderwerp. Je leert er dus ook nog wat van!”

Een echte partner

Van de Ven is zeer te spreken over de samenwerking met IP4Sure. “Ik ben zelf van huis uit automatiseerder, dus goed in staat om te bepalen of een partner wel genoeg van de materie weet. Ik kan met zekerheid zeggen dat de mensen van IP4Sure echt specialisten zijn op hun gebied. Ze kijken bovendien goed met wie ze te maken hebben en welke aanpak daarbij past. Ze gingen bijvoorbeeld vooraf met onze developers in gesprek om te bepalen wat er wel en niet getest moest worden, zodat er meer tijd was om de relevante zaken te testen. Dat is heel wat anders dan simpelweg vragen wat ons budget is. Er is wel een mooie parallel te trekken met onze eigen dienstverlening. Door een partner als IP4Sure zijn wij in staat om ons te focussen op waar we goed in zijn. Net als bedrijven hun personeelsadministratie aan ons uitbesteden, besteden wij het testen van onze webapplicatie uit aan een specialist die we vertrouwen. En net als wij geen leverancier-afnemer-relatie met onze klanten willen, zoeken we zelf ook externe specialisten die echt een partner voor ons kunnen zijn.”

Meer weten over ons systeem: UurOnline.

Klik hier!
Hans van de Ven
Hans van de Ven

Meer gerelateerde artikelen

Het ondernemersverhaal van… Dutch Expat Shop

30 juni 2020

Dutch Expat Shop in Aarle-Rixtel is een goed voorbeeld van bedrijven die hun omzet enorm zien stijgen als ...

Lees verder

Het effect van corona op ondernemers

30 juni 2020

Het effect van corona op ondernemers begint langzaam maar zeker zichtbaar te worden. Onze algemeen directeur, ...

Lees verder

4 essentiële vragen voordat je (weer) personeel aanneemt

18 juni 2020

Sta je op het punt om nieuw personeel aan de nemen? Lees dan deze blog van Please HR expert Malaika. Na het ...

Lees verder

Even Skypen? Adviesgesprekken op afstand

16 juni 2020

Normaal gesproken zitten onze adviseurs dagelijks op de weg, bezoeken zij diverse bedrijven en zitten ze aan ...

Lees verder

Functioneringsgesprekken voeren tijdens corona

09 juni 2020

Het is alweer juni: dé tijd voor de functioneringsgesprekken. Maar wat nu als je bedrijfsvoering er door ...

Lees verder

All aboard! Alles over succesvol onboarden

19 mei 2020

In deze blog van HR expert Malaika vertelt zij alles over een succesvol onboarding programma. Het is als een ...

Lees verder