Als persoon kies je primair voor de veilige weg. Als je thuis weggaat doe je de deur op slot. ‘Maar heb ik de achterdeur eigenlijk afgesloten?’ Halverwege je woon-werkverkeerrit, borrelt automatisch deze gedachte op. Het open laten van de achterdeur is natuurlijk geen optie. Dat voelt toch alsof de archiefkasten op slot zijn voor de collega, maar met de sleutel erin voor de schoonmaker. Hoe zit dat eigenlijk met software?
Het gebruik van een pincode bij de kassa en het gebruik van DigiD bij digitale communicatie met de overheid zijn breed geaccepteerde vormen van autorisatie. Veel verzekeraars zijn bij een inlog met DigID overgestapt naar het gebruik van een verificatiecode via sms. Dat heet two factor inlog. Of in goed Nederlands: dubbele inlogautorisatie. Aan de hand van een risico-inventarisatie bepaalt een organisatie welke vorm ze kiest. Technologie maakt steeds meer mogelijk, maar is het allemaal veilig? Die vraag stel ik mezelf steeds vaker.
Limiet
Persoonlijk vind ik betalen door je telefoon tegen een kastje houden in de winkel nog even te ver gaan. Stel, mijn dochter ziet die leuke schoenen, maar omdat haar batterij leeg is heeft ze even de smartphone van papa meegenomen. De bank weet niet of het papa is of dochterlief die de nieuwe stappers afrekent met één swipe.
Er is weinig te vinden over de risico-inventarisatie die banken of winkels toepassen. Kom ik dan nog onder de aanschaf van te dure pattas uit of is het ‘mala suerte’, mooi pech? Gelukkig zit er nog een limiet op deze gebruikersvriendelijke afrekening. Maar wanneer verandert die voorwaarde? Heb je een beveiliging op je telefoon, dan kun je deze op afstand wissen in geval van diefstal. Maar hoe zit het als een onrechtmatige bezitter zonder autorisatie iets met jouw telefoon koopt?
Verantwoordelijkheid
Software ontwikkelen is meer dan functionaliteit aanbieden waar de gebruiker om vraagt. Waarborging van de informatieveiligheid is net zo belangrijk, al staan weinig organisaties daar direct bij stil. De gebruiker gaat er vanuit dat de fabrikant zijn verantwoordelijkheid neemt en de risico-inventarisatie uitvoert. Een regelmatige security audit door een onafhankelijk gecertificeerd bedrijf is dan een minimale behoefte. Ook al ligt de verantwoordelijkheid bij de fabrikant en niet bij de onafhankelijke auditor.
Keuzevrijheid
De inventarisatie leidt dan tot een extra inlogautorisatie. Maak deze functie wel instelbaar, zodat u als accountant de keuze heeft dit voor uw cliënten in te zetten. Maak daarbij een risico-analyse en beantwoord vragen als: Hoe hoog is het risico? Wie loopt het risico? Welke gegevens behoeven extra beveiliging? Zijn gegevens al publiek bekend, zoals de jaarrekening, dan is het risico dus laag. Zijn het unieke gegevens die waarde hebben voor een ander, zoals adviesdocumenten of de boekhouding, dan is een extra beveiligingsslag in een online portal wel raadzaam. Wat u ook kiest, stop wel met documenten mailen, want dat is helemaal niet veilig.
Steeds meer ondernemers willen snel toegang tot informatie op ieder gewenst tijdstip en via het apparaat naar keuze. Nu nog is dat een tablet, smartphone of phablet. Straks wellicht door een gesproken opdracht aan je horloge of telefoon. Geprojecteerd op je binnenspiegel, afzuigkap, koelkast of tijdens het tandenpoetsen voorgelezen vanuit je scheerspiegel. Gaat het autoriseren dan nog steeds met een inlognaam, wachtwoord en sms? Wanneer neemt het wachtwoord-loos autoriseren een vlucht voor gegevensontsluiting met een beperkt risico?
Kantoorgrenzen
ING Bank gaat de stem gebruiken als inlog- en betaalautorisatie. Technologie die er vandaag al is. Maar wat komt er nog meer beschikbaar? Kies je dan als product manager voor die extra functie in je volgende versie of verken je een innovatie die je in een daaropvolgende versie publiceert? En hoe toets je, buiten de eigen kantoorgrenzen, waar de veiligheid en gebruikersvriendelijkheid in evenwicht is met de functionaliteit? Het blijft een moraal dilemma: ultiem gebruikersvriendelijk, maar minimaal veilig versus ultiem veilig en minimaal gebruikersvriendelijk. Of streef je naar beide ultieme werelden? Daar ga ik komende vakantie over nadenken.
Ik wens iedereen een mooie zomer met veel gebruikersvriendelijke veilige informatie.
Wouter Taal is vanuit UNIT4 Accountancy Veenendaal als product manager verantwoordelijk voor de producten Business Suite Relatiebeheer / Declaratie, DocumentManager en het nieuwe Online Samenwerken.