In de vorige product update hebben we de gebieden van onze roadmap toegelicht. Een van deze categorieën is Veiligheid. In de afgelopen periode hebben we extra aandacht besteed aan dit gebied. Als Visma Verzuim vinden wij het onze verantwoordelijkheid om veilige software te ontwikkelen en te onderhouden. Om hier voor te zorgen maakt Visma Verzuim gebruik van het Visma Security Program of afgekort VSP (lees hieronder meer over dit programma).
Onderdelen van het VSP zijn statische en dynamische code analyse. Visma stelt hier verschillende tools voor beschikbaar wat ervoor zorgt dat we dagelijks en na elke nieuwe ontwikkeling scans draaien om kwetsbaarheden in onze applicatie op te sporen. Op deze manier zijn we er continu zeker van dat onze applicatie aan de hoge eisen voldoet die Visma Verzuim stelt.
In de afgelopen maanden hebben we deze tools geïmplementeerd zodat we uitgebreide scans konden doen. De bevindingen die uit deze scans voortkomen worden direct beoordeeld en waar nodig opgelost.
Visma Security Program (VSP)
Als Visma Verzuim vinden we het onze verantwoordelijkheid om veilige software te ontwikkelen en te onderhouden. Security is dan ook een van de gebieden op onze roadmap waar we gericht verbeteringen op doorvoeren. Hoe we dat doen? Visma Verzuim maakt gebruik van het Visma Security Program of afgekort VSP.
Dit programma kent drie pijlers:
Fix: Denk hierbij aan statische code analyse, dynamische code analyse,
penetratietesten, updaten van third-party software componenten en een responsible
disclosure-verklaring op onze website.
Hunt: Denk hierbij aan Cyber Threat Intelligence (24/7 monitoring van applicatie en
infrastructuur IP-adressen, kantoor IP-adressen, domeinnamen, social media
accounts, eventueel klanten op activiteiten en notificaties op de Darkweb) en
Intrusion Detection System (IDS / monitoring van logdata met behulp van AI om
vroegtijdig malicious activiteiten te detecteren zodat mitigerende maatregelen
preventief genomen kunnen worden).
Defend: Ondanks alle maatregelen en continue verbeteringen die Visma Verzuim
onderneemt t.a.v. het veilig houden van haar infrastructuur en software, kan een
applicatie doelwit worden van een cyberaanval. Naast een robuust Incident
Response Proces binnen Visma Verzuim, heeft ook Visma Group een dedicated
CSIRT-team beschikbaar om in geval van een cyberaanval ondersteuning te bieden.
Deze ondersteuning bestaat uit analyse van logbestanden, best practices en advies
t.b.v. recovery en onderzoek naar de cyber attacks zelf.