Er heerst veel onduidelijkheid en onwetendheid als het over cybersecurity gaat. Cybersecurity is een verzameling richtlijnen en maatregelen om persoonlijke gegevens te beschermen. Als softwareleverancier is security topprioriteit bij Mopinion. We spraken af met Anwar Jebali, Hoofd van Development bij Mopinion, om te weten te komen hoe Mopinion ervoor zorgt dat de software en data veilig zijn voor jou als gebruiker.
Bij Mopinion zijn we altijd al dol geweest op honden en regelmatig hadden we een harige viervoeter in ons kantoor rondlopen.
Wat als een van onze kantoorhonden een belangrijke serverkabel doorbijt? En wat als dit nu net de server is waar het gros van de informatie op staat?
“Dat is geen probleem! We hebben geen dataopslag on site en onze klantgegevens zijn sowieso veilig opgeslagen. We gebruiken Amazon Web Services voor alle hostingdoeleinden. AWS gebruikt verschillende zones wat ervoor zorgt dat onze data altijd beschikbaar is. De data wordt via verschillende servers in het datacenter verspreid. Daarnaast maken we dagelijks back-ups van de databases en we bewaren deze in twee verschillende datacenters. Dus mocht er ooit iets in een datacenter gebeuren, dan kunnen we direct switchen naar de andere.”
Toch zijn we blij dat onze kantoorhonden alleen een bedreiging vormen voor de kantoorsnacks …
Hoe zorg je ervoor dat Mopinions software veilig is?
We gebruiken verschillende tools, richtlijnen en processen om ervoor te zorgen dat onze software veilig is. Ook hebben we development- en engineeringsrichtlijnen opgesteld waar onze developmentteams mee werken, allemaal volgens de ISO 27001 certificering. We voeren regelmatig pen-tests uit om eventuele risico’s in kaart te brengen en om hoge en medium priority problemen zo snel mogelijk op te lossen. Al het verkeer van en naar onze servers is gecodeerd volgens speciale protocollen. We gebruiken ook tools en software om vulnerability scans uit te voeren.
Dat we veiligheid echt belangrijk vinden blijkt ook uit de interne security training voor het developmentteam. Zo blijft iedereen op de hoogte van de regels en gevaren en is onze security altijd up-to-date.
Wat zijn de risico’s en hoe kun je ze beperken?
Moeilijke vraag. Er zijn namelijk veel verschillende soorten risico’s waar je rekening mee moet houden. De OWASP heeft een lijst opgesteld met de top 10 meest voorkomende risico’s voor webapplicaties. Denk aan database injecties, cross-site scripting en misconfiguratie. De OWASP is een organisatie die risico’s voor webapplicaties traceert om de veiligheid van applicaties en webservices te verbeteren.
Dankzij ons developmentbeleid, kennis over de risico’s en pen-testing kunnen we eventuele risico’s voor zijn en problemen verhelpen.
Maar het grootste risico vormen niet eens zozeer de hackers, maar onze eigen mensen.
De meeste overtredingen vinden plaats door acties van werknemers binnen de organisatie, waardoor hackers toegang krijgen door bijvoorbeeld phishing. We voorkomen dit soort aanvallen door onze medewerkers te leren wat de risico’s zijn en hoe ze dit kunnen voorkomen. We hanteren een strikt en duidelijk beleid over de toegang tot data en systemen. Alleen medewerkers die met specifieke delen van het systeem moeten werken, krijgen hier toegang tot.
Wat is een Pen-Test? Kun je iets interessants delen over waar we mee bezig zijn?
“Een penetration-test is eigenlijk een toegestane cyberattack op een systeem, zodat je kunt zien wat de security van een systeem doet.
Deze test toont bijvoorbeeld aan of ongeautoriseerde partijen toegang kunnen krijgen tot je systeem, features en data. Tijdens de pen-test valt een specialist het systeem op verschillende manieren en met verschillende tools aan. Naast het automatisch scannen op mogelijk open poorten en onbeschermde paden op een domein zijn er ook handmatige tests. Hier word gekeken of iemand in de database kan komen en ook of de security van de servers goed werkt.
De pen-test die we doen test de black box en grey box. De black box methode houdt in dat de tester slechts beperkte kennis heeft van de applicatie en probeert de kwetsbare plekken te ontdekken. Met de grey box test heeft de tester een account en inloginformatie. Ook beschikt de tester over de resultaten van de black box test en andere bedrijfsinformatie. De tester onderzoekt of het mogelijk is privileges in de applicatie te krijgen op basis van alle informatie en natuurlijk wordt er ook gekeken of er eventuele zwakke plekken zijn. Een combinatie van deze tests vormt dus de betrouwbare pen-test.
Waarom vind je security zo belangrijk?
“Security is belangrijk voor ons, omdat het staat voor het vertrouwen dat klanten in ons hebben. Het vertrouwen dat we zorgvuldig omgaan met hun data.”
Wat gebeurt er met klantgegevens?
“Alle persoonlijke, identificeerbare data is gecodeerd. Je kunt op geen enkele manier de feedback data naar een persoon linken. We zorgen er bij Mopinion op verschillende manieren voor dat de data anoniem is en blijft.”
Anwar, bedankt voor het toelichten van de veiligheidsrichtlijnen en methodes bij Mopinion.
Fijn om te zien dat security topprioriteit heeft voor ons Dev Team. Mocht je nog vragen hebben over dit onderwerp, of wil je meer weten over wat Mopinion doet om je data te beveiligen? Neem contact met ons op, lees de security pagina, of lees deze blog voor meer informatie.
Klaar om Mopinion in actie te zien?
Wil je meer weten over hoe je feedback verzamelt en analyseert met onze feedback tool? Probeer het 14 dagen gratis! Op zoek naar wat meer persoonlijke begeleiding? Plan dan een online demo in met één van onze feedback specialisten.