Wat maakt verzuimsoftware veilig?

Tijdens pakketselectietrajecten wordt vaak gevraagd naar de veiligheid van onze verzuimsoftware. Terecht, want als vertrouwelijke informatie wordt uitgewisseld over het internet is het essentieel dat dit veilig gebeurt.

Veiligheid van verzuimsoftware is dus een belangrijk onderwerp. Maar niet een eenvoudig onderwerp. Veiligheid is een ketting van maatregelen. Dat maakt veiligheid zo sterk als zijn zwakste schakel.

Voor wie internetsoftware wil vergelijken op veiligheid vindt hier een lijst met 12 belangrijke schakels in de ketting van veiligheid. De eenvoudig toetsbare schakels staan bovenaan, de lastige onderaan. De lijst eindigt met een tip.

1. Wordt gebruik van sterke wachtwoorden door de software gestimuleerd?

   Gebruik van kleine letters, hoofdletters en cijfers, een minimale lengte van 8 tekens en het niet hergebruiken van oude wachtwoorden maakt wachtwoorden sterk!

2. Wordt bij herhaaldelijk foutief aanmelden de toegang tijdelijk geblokkeerd?

   Zodat inbraakpogingen door middel van het willekeurig uitproberen van wachtwoorden worden voorkomen.

3. Kan de gebruiker zijn wachtwoord zelf wijzigen?

   De gebruiker heeft een grote verantwoordelijkheid. Als de gebruiker zijn sleutel op straat legt (door bijvoorbeeld het wachtwoord op een postit op zijn monitor te plakken) staat de deur voor iedereen open. Bij de verantwoordelijkheid als gebruiker hoort de vrijheid om je wachtwoord te wijzigen wanneer je dat wilt.

4. Verplicht de software de gebruiker om bij ontvangst van zijn naam en wachtwoord het wachtwoord direct te wijzigen?

   Als wachtwoorden via een brief of mail bij de gebruiker aan komen, kunnen deze later door een ander worden gevonden.

5. Kan de gebruiker zijn (deel-)autorisatie tijdelijk overdragen?

   Zodat gebruikers hun wachtwoord niet hoeven te delen.

6. Maakt de software gebruik van een versleutelde verbinding?

   Versleutelen voorkomt meelezen en onderweg wijzigen van informatie. Een versleutelde verbinding herken je aan slotje in je browser.

7. Blokkeert de software toegang via een onversleutelde verbinding?

   Zodat vertrouwelijke informatie niet (onbewust) onveilig kán worden uitgewisseld.

8. Is gewaarborgd dat alleen geautoriseerde personen fysieke toegang hebben tot de server en de gegevensbackups?

   Zoals aanmeldprocedure, biometrische controle en afgeschermde cabine.

9. Wat wordt er gedaan aan electronische indringerpreventie?

   Zodat electronisch inbraakpogingen direct worden herkend en geblokkeerd.

10. Is de software voldoende nauwkeurig autoriseerbaar voor gebruik in onze organisatie?

    Zodat gebruikers alleen toegang hebben tot gegevens en handelingen die horen bij hun taken en verantwoordelijkheden.

11. Is de applicatiearchitectuur van de software ingericht op herhaaldelijke controle van identificatie en autorisatie?

    Herhaalde controle op de lagen van user interface, business logic en database. Denk hierbij ook aan technische zwakke plekken als SQL-injectie.

12. Staan de webservice en databaseservice op verschillende servers?

    Waarbij de databaseserver niet rechtstreeks maar alleen via de webserver toegankelijk is (dankzij een zogenaamde Demilitarized Zone)?

Tip: Architectuurvragen (vraag 7 en verder) zijn lastig te toetsen. Vraag de leverancier om een plaatje waaruit de veiligheidsvoorzieningen blijken, en voeg deze toe aan de leveringsovereenkomst.

Heeft u specifieke vragen over de veiligheid van de verzuimsoftware van PeopleOnline, neem dan gerust contact met ons op.