Projectmanagement software security wat is belangrijk en hoe beoordeel je het?

Projectmanagement software security wat is belangrijk en hoe beoordeel je het?

Stel je even de volgende situatie voor. Je bedrijf groeit als kool. Iedereen loopt te springen, de projecten vliegen je om de oren en jullie zijn eindelijk zo ver om te stoppen met dat ingewikkelde web van losse Excel-bestanden en e-mailchains. Yes, het wordt tijd voor een echte projectmanagement tool. Iedereen blij, want eindelijk overzicht.

Maar dan. Even een heel snel gedachtespinsel: hoe zit het met die honderden uren aan plannen, budgetten en contactgegevens van klanten die je straks in die nieuwe tool zet? Is die database wel veilig? Je gooit namelijk niet zomaar wat taken in een app; je stopt er je bedrijfsgevoel in. De veiligheid van je software is net zo belangrijk als het slot op je kantoordeur. Alleen is een digitaal slot soms wat ingewikkelder.

Laten we het helder maken, zonder dat we meteen een gecompliceerde IT-woordenboek nodig hebben.

---

De poortwachter: wie mag er eigenlijk binnen?

Het begint allemaal bij de vraag: wie kan er inloggen? Dit is de eerste horde en vaak de zwakste schakel. Je wilt namelijk niet dat jan en alleman zomaar je projecten kunnen inzien of, erger, veranderen.

Vroeger was een wachtwoord voldoende. Tegenwoordig is dat een beetje zoals je fiets op slot zetten met een touwtje. Je hebt echt meer nodig. Daarom kijken we naar twee dingen:

Ten eerste is er MFA, ofwel tweestapsverificatie. Dit betekent dat je niet alleen een wachtwoord intypt, maar ook een code moet invoeren die je telefoon geeft. Of je moet op een knopje drukken in een app. Het is een extra moeilijkheidsgraad voor hackers, maar een geruststelling voor jou.

Ten tweede is er SSO. Als je in een groter bedrijf werkt, herken je dit misschien. Je logt in op je computer en vervolgens hoef je niet opnieuw een wachtwoord te typen voor de projectsoftware. Dit klinkt als gemak, maar het is vooral veilig omdat je bedrijf dan zelf de controle heeft over wie er mag inloggen. Als iemand weggaat, blokkeren ze die ene toegang en ben je overal meteen veilig.

Maar het gaat verder dan alleen binnenkomen. Zodra iemand binnen is, mogen ze niet overal bij. Dit noem je toegangscontrole. Je wilt namelijk niet dat de stagiaire per ongeluk het budget van een belangrijke klant aanpast. Daarom zijn er rollen: de één mag alleen lezen, de ander mag bewerken en een derde mag dingen verwijderen.

Wil je precies weten hoe je dit het beste instelt? We hebben een uitgebreid stuk geschreven over Projectmanagement software toegangscontrole hoe werkt het precies en wat zijn de methoden? die je hier goed kunt gebruiken.

De kluis: wat gebeurt er met je data?

Stel je voor dat je de sleutel van je kluis aan de verhuurder geeft. Dan verwacht je wel dat hij niet stiekem gaat kijken wat erin ligt, toch? Zo werkt het online ook. Je data moet versleuteld zijn. Dit heet encryptie.

Er zijn twee situaties waarin dit belangrijk is:

1. In transit (onderweg): Als je een taak aanpast en op ‘opslaan’ klikt, verstuurt je computer deze informatie naar de server. Onderweg moet deze informatie onzichtbaar zijn voor nieuwsgierige ogen. Dit doen ze met speciale codes (TLS/SSL), net als bij online bankieren. Als je in de browser een slotje ziet, is dat vaak goed.
2. At rest (in de kluis): Als de data eenmaal is aangekomen, wordt het opgeslagen op een server. Dit moet ook versleuteld zijn. De beste bedrijven gebruiken AES-256. Dat klinkt ingewikkeld, maar het is simpelweg een zeer sterke standaard.

Een slimme vraag om te stellen is: wie heeft de sleutel? Als de softwareleverancier zelf de sleutel heeft, kunnen ze theoretisch nog altijd bij je data. Sommige bedrijven bieden ‘zero-knowledge’ encryptie aan. Dan heeft echt alleen jij de sleutel. Dit is de hoogste vorm van veiligheid, maar helaas nog niet standaard.

Ben je benieuwd naar de techniek erachter? Wij leggen het graag uit in ons artikel over Projectmanagement software encryptie hoe werkt het precies en waarom is het belangrijk?. Het is makkelijker te begrijpen dan je denkt.

De leverancier: hoe betrouwbaar is de bouwer?

Stel je voor dat je een huis koopt. Je wilt niet dat de aannemer morgen failliet gaat of stopt met onderhoud plegen. Met software is dat precies hetzelfde. Je koopt geen los product, je kiest voor een dienstverlening.

Het is dus essentieel om te weten hoe het bedrijf achter de software omgaat met updates. Software zit vol met honderdduizenden regels code. Soms zitten er foutjes in (kwetsbaarheden) waar hackers misbruik van kunnen maken. Goede bedrijven patchen dit razendsnel.

Je vraagt dus niet of ze updates doen, maar hoe snel ze een gat dichten als dat nodig is.

De gouden standaard: certificaten

Dit klinkt misschien saai, maar het is je beste graadmeter. Betrouwbare bedrijven laten hun processen controleren door externe experts. Je moet letten op twee namen:

• ISO 27001: Dit bewijst dat het bedrijf een gestructureerd beleid heeft voor veiligheid. Ze zijn niet zomaar wat aan het rommelen; ze hebben er echt over nagedacht.
• SOC 2 Type II: Dit is echt de heilige graal voor softwarebedrijven. Hiermee laten ze zien dat ze niet alleen papieren beleid hebben, maar dat ze dit in de praktijk ook daadwerkelijk doen. Vraag gerust om het rapport; een transparant bedrijf laat het graag zien.

Hoe doe je dat in de praktijk? De checklist

Goed, je bent overtuigd. Maar hoe schat je nu in of een partij veilig is zonder dat je er zelf IT-expert voor hoeft te zijn? Je hoeft niet meteen bang te zijn, je moet alleen een beetje slim zijn.

Kijk naar de transparantie
Een veilig bedrijf is niet geheimzinnig. Als je op hun website een pagina zoekt over ‘Security’ en je vindt alleen wat algemene loze kreten, wees dan alert. Vraag simpelweg: “Kunnen jullie aantonen dat jullie veilig zijn?” Als ze meteen een rapport of certificaat sturen, zit je goed. Als ze dat niet hebben, of moeilijk doen, is dat een rode vlag.

Vraag naar backups
Wat gebeurt er als er brand uitbreekt bij de leverancier? Of als er een computercrash is? Ze moeten dagelijks backups maken. Belangrijker nog: hoe snel zijn ze weer online? Dit heet de RTO (Recovery Time Objective). Je wilt niet drie dagen wachten tot je weer bij je data kunt.

Denk na over maatwerk
Soms wil je extra functies die de standaard software niet heeft. Je wilt dan misschien iets zelf bouwen of laten bouwen. Dit kan de veiligheid beïnvloeden. Als je aanpassingen laat maken, zorg er dan voor dat het niet de basisstructuur aantast. Lees hier over de mogelijkheden en risico’s van Projectmanagement software custom development mogelijk en wat zijn de kosten?. Zorg dat de veiligheid voorop blijft staan.

Kies je eigen merk?
Sommige bedrijven willen hun eigen naam op de software hebben. Dit heet white-labeling. Handig voor de uitstraling, maar wie is dan technisch verantwoordelijk voor de veiligheid? De partij die de software bouwt of de partij die hem aan jou levert? Dit soort vragen moet je stellen voordat je instapt. Meer hierover lees je in Projectmanagement software white-label is dit mogelijk en wat zijn de voordelen?.

Tot slot: vertrouwen is goed, controle is beter

Veiligheid is geen functie die je even aan- of uitzet. Het is een continu proces. De beste projectmanagement software combineert sterke techniek (zoals goede encryptie) met een betrouwbare organisatie (zoals snelle updates en duidelijke regels).

Het mooiste is: hoe beter de software geregeld is, hoe minder jij er wakker van hoeft te liggen. Jij wilt je energie steken in het succesvol maken van je projecten, niet in het schilderen van digitale hekken.

Begin daarom met de basics: check de certificaten, zorg dat iedereen zijn eigen inlog gebruikt met tweestapsverificatie en kijk kritisch naar hoe transparant de leverancier is. Daarmee kom je al een heel eind.

]]>