>>

AFAS vindt in Computest een sparringpartner op security-gebied

AFAS Software is een Nederlands familiebedrijf dat innovatieve softwareproducten ontwikkelt voor zowel de zakelijke als consumentenmarkt. Het gebruik loopt uiteen van bedrijfssoftware voor de winkel op de hoek tot volledige ERP-oplossingen voor multinationals. Daarnaast geeft het digitale huishoudboekje de consument meer inzicht in financiën. Het bedrijf heeft maatschappelijke verantwoordelijkheid hoog in het vaandel staan. Dit wordt onder andere concreet in de transparante bedrijfscultuur, de manier van omgaan met klanten en leveranciers en het ondersteunen van verschillende maatschappelijke organisaties. Het vertaalt zich ook in de veiligheid van de AFAS-producten. Het onderwerp security is geen discussie binnen het bedrijf, het hoort er gewoon bij. Om hierop toe te zien, werkt AFAS nauw samen met Computest.

afas_case_social_1054x550.jpg

Rond 2010 startte AFAS met het aanbieden van cloud-gebaseerde versies van de software-oplossingen. De noodzaak van een goede beveiliging was toen en is nog steeds evident. Hoewel er veel kennis in huis is, koos AFAS ervoor de security-aspecten van de software te laten controleren door een derde partij. Hiervoor werd een assessment gerealiseerd waar verschillende bedrijven aan mee mochten doen.

Jeroen van Stokkum, manager ICT bij AFAS: “De test was simpel: hier heb je een toepassing, laat ons over een week maar weten wat je kunt vinden. De resultaten liepen echter flink uiteen. Sommige partijen vonden niks, andere bestookten ons met vragen gedurende die week en leverden een lijvig rapport aan waarin uiteindelijk niet heel veel verbeterpunten stonden. Van eentje hoorden we de hele week niks totdat we een heel praktisch en concreet overzicht kregen met allerlei gaten en onzorgvuldigheden. Dat was Pine Digital Security, nu Computest. Geslaagd voor de test met vlag en wimpel.”

Security-kennis en oog voor de business

AFAS werkt met uitgekiende processen. Alles wordt vastgelegd en iedereen werkt volgens bepaalde stappen. Daarmee is security goed ingebed in de organisatie. Toch is er bewust voor gekozen om de security-controles uit te besteden. Volgens Van Stokkum is dit haast niet intern te doen. “Je moet er dan iemand fulltime opzetten en diegene moet ook nog eens van alles afweten. En hij of zij heeft het de ene dag drukker dan de andere; er is niet op te plannen. Bij Computest heb ik op afroep een team van specialisten beschikbaar die continu met security bezig zijn. Zij hebben ook echt een ‘ethical hacker-mindset’. Dat ga je intern niet evenaren.”

Een andere reden om op zoek te gaan naar een derde partij is zodat de business niet uit het oog verloren wordt. Het is daarbij wel van belang dat een controlerende partij niet alleen technisch op de hoogte is, maar ook zakelijk gezien snapt wat de belangen zijn. Van Stokkum geeft aan dat deze discussie niet uit de weg wordt gegaan: “Gelukkig maar, want dan ben je in gesprek en kom je tot een beter resultaat. Computest staat ook open voor zakelijke belangen en heeft dezelfde pragmatische insteek als wij. Ze testen de applicatie en komen terug met adviezen die we bespreken en verwerken. Vervolgens controleert Computest nog een keer. Het resultaat is een veilige toepassing met een zeer goed afgewogen risico-profiel. Aan de hand van de adviezen van Computest kunnen we dit ook volledig inzichtelijk maken aan onze klanten.”

Samenwerking

Ze zijn een sparringpartner op security-gebied, denken mee en gaan veel verder dan alleen een technische test.

Jeroen van Stokkum, ICT manager bij AFAS

“Wij spreken liever over partners wanneer we het over leveranciers hebben”, zegt Van Stokkum. “Zo werken we ook echt samen met Computest. Dat is een opmerkelijk verschil met andere aanbieders. Ik kan hen bellen om even mee te denken over iets, zonder dat ik daar dan een hele dag met een consultant voor moet inplannen. Ze zijn een sparringpartner op security-gebied, denken mee en gaan veel verder dan alleen een technische test.”

“Ze zijn een sparringpartner op security-gebied, denken mee en gaan veel verder dan alleen een technische test.”

In de bedrijfscultuur van AFAS speelt vertrouwen een belangrijke rol, dat verwachten ze ook bij partners. “De vertrouwensrelatie is altijd van belang en zeker als het om zaken als security gaat. Als Computest een toepassing moet testen, geven ze vooraf aan hoeveel tijd ze kwijt zijn aan het controleren ervan. Ik moet ervan uit kunnen gaan dat dit een reële inschatting is, en dat ze zorgvuldig omgaan met de informatie en data die ze te zien krijgen. Dat vertrouwen is de basis van deze relatie en ik heb sterk het gevoel dat dat van beide kanten zo wordt ervaren”, aldus Van Stokkum.

AFAS deed eerst zaken met Pine Digital Security totdat het werd overgenomen door Computest. Van Stokkum is daar enthousiast over: “We werken nu alleen nog samen op security-gebied, maar de kennis van Computest op bijvoorbeeld performance is voor ons natuurlijk ook erg interessant. Zeker als de identiteit en kwaliteit van Pine gehandhaafd blijft, zie ik daar enkel de voordelen van in.”