Cybersecurity en boekhoudsoftware: Hoe houden we jouw data veilig?

Onze online data? Die beveiligen we vaak onbewust minder goed dan onze fysieke eigendommen, en bij datadiefstal weten we niet altijd de juiste stappen te ondernemen. Zonde, want die goudmijn aan financiële data hoort niet op straat, maar veilig binnen het boekhoudplatform.

Wij gingen in gesprek met Jacob Kiers, Security Engineer bij Yuki. Hij vertelt ons meer over de veiligheidseisen die Yuki stelt aan haar software én we kijken wat jij zelf kunt doen om je data nóg beter te beveiligen.

Jouw data is onze grootste prioriteit

Cyberdreigingen evolueren voortdurend, waarbij hackers steeds geavanceerdere methoden ontwikkelen om toegang te krijgen tot gevoelige data. Accountantskantoren hebben te maken met enorm veel data, van persoonlijke informatie van klanten tot belangrijke financiële gegevens.

Volgens Jacob is het essentieel om te zorgen dat de beveiliging op orde is. “Als gegevens gestolen worden, of we worden aangevallen door Ransomware, kan dat zomaar een groot probleem opleveren voor alle 150.000 bedrijven die van ons afhankelijk zijn”. Jacobs werk bestaat vooral uit risicoanalyse en risicobeheersing, en hij vertelt graag hoe Yuki van de beveiliging van jouw data haar grootste prioriteit maakt. Lees je mee?

De kracht van Visma

Yuki is onderdeel van Visma, en plukt daar op gebied van cybersecurity de vruchten van. Visma is een van de grootste Europese softwarebedrijven en moet voldoen aan zeer strenge reguleringen, vanzelfsprekend moeten ook alle bedrijven die onder Visma hangen hieraan voldoen.

“Visma heeft een uitgebreid veiligheidsprogramma op verschillende niveaus, zoals bedrijfsniveau, HR, applicaties en databeveiliging, waar Yuki volop gebruik van maakt,” legt Jacob uit: “Zonder het beveiligingsprogramma van Visma zouden we constant afwegingen moeten maken tussen risico en beheersing.”

Visma biedt meerdere externe ‘reviews’ per jaar, gedaan door andere Visma-bedrijven, om elkaar scherp te houden. Daarnaast is Visma continu bezig met het uitbreiden van hun beveiligingseisen. Het Security Operations Center houdt zich bezig met de laatste ontwikkelingen en past zonodig de vragenlijsten voor de reviews aan. “Dit jaar is daar bijvoorbeeld informatie over het gebruik van LLM’s (Large Language Models) en ChatGPT bijgekomen”, zegt Jacob.

De cyberbeveiliging van Visma? Die zit volgens Jacob heel goed in elkaar. “Bedenk het en Visma heeft er wel over nagedacht”.

Aanpak van beveiligingslekken

Om een goede beveiliging te waarborgen is allereerst de certificering van Yuki meer dan in orde. “We hebben een ISAE 3402 type 2 certificering gericht op cyberveiligheid. Dat betekent dat we daadwerkelijk moeten rapporteren over of we écht voldoen aan onze eigen procedures.” Zo’n certificering alleen lost niet automatisch alle uitdagingen op, maar verplicht Yuki scherp te blijven.

Mocht er iets voorkomen, dan is er een helder beleid. Jacob legt graag uit wat er gebeurt bij een uitdaging zoals ‘het stelen van credentials’. Jacob vertelt: “Mocht zoiets voorkomen, dan krijgen wij een melding van de Cyber Threat Intelligence afdeling van de Visma Group. Zij vinden gegevens op het dark web en wij kijken vervolgens of dit van een bestaande klant is, wat de relevantie is en welke risico’s daarbij horen.”

“In 99% van de gevallen is het geen lek bij Yuki, maar een stukje virus of malware op de computer van die persoon,” legt Jacob uit: “We zorgen dan dat Customer Support of de desbetreffende Accountmanager contact op neemt met de klant, om te melden dat daar een datalek is gevonden.”

Statische analyse en pentesten

De code van de Yuki software wordt continu gescand op beveiligingslekken, dat heet statische analyse. Als daar iets uitkomt, dan wordt dat opgelost. “Bij voorkeur halen we dit soort gaten eruit voordat het meegaat met de tweewekelijkse release van product updates”, geeft Jacob aan. Bij zo’n release gaan ook de verbeteringen in beveiliging altijd mee.

Ook vertelt Jacob over jaarlijkse pentesten: “Elk jaar geven we een hacker een week lang de tijd om, in een beschermde omgeving, in te breken op Yuki. Daar komt een rapport uit. Wanneer er fouten zijn, maken we een prioriteitenlijst én lossen we ze uiteraard op.”

Beveiligde én versleutelde back-ups

Mocht er dan toch iets gebeuren met een van de servers van Yuki? “We maken dagelijks een back-up van elk domein en bewaren die 30 dagen, plus elke 10 minuten een back-up op serverniveau,” legt Jacob uit. “Deze back-ups worden beveiligd én versleuteld opgeslagen in onze cloud”.

Zorgen of je data bij Yuki goed beveiligd is? Die hoef je niet te hebben. Yuki én Visma laten qua beveiliging geen steken vallen.

Goede wachtwoorden en Multi-Factor Authenticatie