Van veiligheidsrisico naar verbetering: terugblik op het kwartaalproject

Hoe beviel deze manier van werken?
“Het is een nieuwe vorm en dat betekent nog even schakelen en wennen. Toch was het duidelijk dat dit concept de afgelopen maanden leefde onder de teamleden. Dit bleek uit de waardevolle inzichten en informatie die regelmatig op de werkvloer werden uitgewisseld, wat liet zien dat we als team met elkaar meedenken.”

Wat hebben jullie geleerd?
“Een interessant inzicht is toch dat het gevaar niet alleen in de techniek ziet, maar dat het steeds vaker in de ‘normale’ omgeving zit. Denk aan phishing via de telefoon of e-mail. Maar het gebeurt ook fysiek. Een concreet voorbeeld hiervan is een QR-code die een kwaadwillende opplakt op een raam of in een bedrijfshal, waarmee je je bijvoorbeeld kan opgeven voor een personeelsuitje of andere interessante dingen. Op die manier worden namen, e-mails en telefoonnummers e.d. binnen gehengeld.”

Bij dit project wilde jullie ook graag feedback van klanten meenemen. Hoe hebben jullie dit ervaren?  
“Dit was erg prettig. Door de feedback konden we naar ‘veiligheid’ kijken vanuit het perspectief van de klant. Deze frisse blik stelt ons in staat om onze beveiligingsaanpak op een breder niveau te verbeteren.”

Wat zijn de inzichten die jullie opdeden? 
Ons team heeft zich verdiept in de kunst van het veilig aanvragen van wachtwoorden en het delen van gevoelige informatie. Deze essentiële inzichten zorgen nu voor technische verbeteringen, die in het CMS worden geïmplementeerd en in de eerstvolgende release zijn meegenomen.”

Wat zijn aanpassingen die jullie doorvoeren in het CMS? 
“Aanpassingen die we willen doorvoeren zijn het:
- Aanmaken van een account in het CMS met een eenmalig wachtwoord. Na het inloggen is het aanpassen van het wachtwoord verplicht
- Uitgebreider loggen en monitoren van webshop- en CMS-inlogs op ongewenst gedrag
- Onder de loep nemen, optimaliseren en monitoren van Content Security Policy headers voor websites op ongewenst gedrag
- Bijhouden van een veiligheidslogboek en notificaties sturen. Dit logboek moet een notificatiemail versturen als er bijvoorbeeld: aanpassingen zijn gedaan in een Payment Service Provider koppeling (Mollie/Multisafepay/Buckaroo/iDeal), als een wachtwoord wijzigt in het CMS of een gebruiker is toegevoegd aan het CMS
- Schoonhouden van CMS-users, waarbij we een melding sturen als een gebruiker langer dan een jaar niet is ingelogd”

En zijn er nog meer ideeën ontstaan?
“Zeker! We willen ook dat iedereen op de werkvloer zich inleest over ‘ethisch hacken’ en deze kennis gaat toepassen op onze standaard websites. Wie wat vindt, verdient een prijs. Ook is het plan ontstaan om een extern bedrijf in te schakelen om onze standaard webshop en website te testen op veiligheidsissues en eventuele verbeterpunten.”

Maar dat is nog niet alles. “We willen ook ons servicecontract herzien en er een security add-on aan toevoegen en aanbieden. Hierdoor krijg je als klant ieder jaar naast de CMS-updates ook een securityscan van je website. Deze kan ook worden voorzien van two-factor authentication (2FA) en een paar extra veiligheidstoevoegingen.”

Tot slot: komt er een volgend project?
“Er komt zeker een volgend project, maar we willen eerst dit project afronden en het CMS updaten. Voor de volgende ronde zijn er twee ideeën: snelheidsoptimalisatie of SEO-optimalisatie.”  
 
Ben je benieuwd naar het volgende project en welke inzichten en ideeën daaruit komen? Houd onze socials én nieuwsbrieven in de gaten!