Beveiliging

efficy heeft een functieoverschrijdende beveiligingsorganisatie opgezet onder leiding van de Chief Information Security Officer (CISO) en ondersteund door toegewijde DevSecOps-engineers en vertegenwoordigers van meerdere afdelingen binnen het bedrijf.

efficy heeft een speciale Chief Information Security Officer (CISO) aangesteld met expertise in cyberbeveiliging, evenals een speciale Data Privacy Officer (DPO). Beiden fungeren als functieoverschrijdende pleitbezorgers voor gegevensprivacy en informatiebeveiliging in de hele organisatie.

efficy heeft aanzienlijke investeringen gedaan om gespecialiseerde beveiligingstools in te zetten en te integreren die een groot aantal gebieden bestrijken, waaronder:

• Naleving

• Identiteits- en toegangsbeheer (IAM)

• Eindpuntdetectie en respons (EDR)

• Inbraakdetectiesystemen (IDS)

• Statische toepassingsbeveiligingstests (SAST)

• Kwetsbaarhedenbeheer (VM)

• Beheer van derdentoepassingen

We hebben ook een specifieke cyberbeveiligingsverzekering als extra risicobeheerlaag. 

Ons risicobeheerproces is een hoeksteen van efficy's beveiligingspositie. Het begint met een jaarlijkse dreigings- en risicoanalyse voor elke productlijn, zodat we nieuwe risico's en kwetsbaarheden in het veranderende digitale landschap kunnen identificeren.

Dit wordt aangevuld met regelmatige risicobeoordelingen die zijn geïntegreerd in onze projectmanagementprocessen, waardoor we voortdurend potentiële gevolgen voor onze systemen en diensten kunnen evalueren.

Het hele jaar door worden er externe audits uitgevoerd door verschillende belanghebbenden, waaronder investeerders en belangrijke klanten, die waardevolle, veelzijdige inzichten verschaffen in onze beveiligingspraktijken.

We voeren ook interne audits uit en samen leiden deze activiteiten tot een jaarlijkse managementbeoordeling, waarin we de resultaten rigoureus evalueren en punten identificeren die voor verbetering vatbaar zijn.

Veilig beheer van externe leveranciers is een belangrijk onderdeel van onze beveiligingsstrategie. Dit omvat regelmatige beveiligingsaudits, robuuste toegangscontroles en beveiligde integratieprocessen waar nodig.

We bewaken ook voortdurend ons derdenlandschap om het gebruik van niet-goedgekeurde partijen te voorkomen, ondersteund door ad hoc tools en formele goedkeuringsprocessen. 

Wij geloven dat een sterke beveiligingscultuur fundamenteel is voor het succes van ons ISMS. Daarom hebben we een meerlagig bewustwordingsprogramma dat is ontworpen om onze werknemers op alle niveaus van de organisatie te onderwijzen en sterker te maken.

Dit programma omvat algemene beveiligingstraining voor alle werknemers, maandelijkse sessies voor ons Security Ambassador Network en gespecialiseerde, rolspecifieke training voor technische functies. 

efficy legt sterk de nadruk op identiteitsgovernance en -beheer.

Ons identiteitsraamwerk dwingt strenge toegangscontroles af om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot specifieke systemen en gegevens. Door principes toe te passen als toegang met de minste privileges, zero trust en op rollen gebaseerde machtigingen, minimaliseren we het risico op ongeautoriseerde toegang en datalekken. 

efficy gebruikt robuuste mechanismen om informatie te classificeren, op te slaan en te beschermen gedurende de gehele levenscyclus van gegevensbeheer.

We gebruiken geautomatiseerde tools om gegevensstromen te controleren, afwijkingen te detecteren en het gegevensbeschermingsbeleid in realtime af te dwingen. Daarnaast voeren we regelmatig gegevensaudits uit en implementeren we versleutelingsprotocollen om gevoelige informatie te beschermen en de integriteit en vertrouwelijkheid ervan te waarborgen. 

Alle klantgegevens worden zowel onderweg als in rust versleuteld, waarbij alleen door de industrie geaccepteerde tools, normen en best practices voor gegevensverwerking en -beveiliging worden gebruikt.

Klantgegevens zijn logisch gescheiden van de gegevens van alle andere klanten. Bovendien is persoonlijk identificeerbare informatie (PII) nooit nodig om optimaal te profiteren van de productfuncties van efficy.

efficy ondersteunt ook verzoeken om gegevensverwijdering, zowel voor de gegevens die wij beheren als voor de gegevens die wij namens onze klanten verwerken.

efficy logt en slaat elke verandering, actie en gebeurtenis op, inclusief verwijdering van gegevens, om eenvoudige auditing en analyse van hoofdoorzaken te ondersteunen.

efficy's oplossingen zijn ontworpen om naadloze uptime te garanderen en grootschalige activiteiten te ondersteunen. We hanteren een robuust bedrijfscontinuïteitsplan (BCP) voor elke oplossing, waarbij we prioriteit geven aan veerkracht door middel van strategische planning en ervoor zorgen dat kritieke bedrijfsactiviteiten ononderbroken blijven, zelfs tijdens onvoorziene verstoringen.

Operationele beveiliging is een hoeksteen van efficy's beveiligingsstrategie. We implementeren een robuust operationeel beveiligingsbeleid voor alle systemen en processen, met duidelijke richtlijnen voor toegangscontrole, eindpuntbeveiliging en netwerkbewaking.

Deze maatregelen helpen ons de operationele integriteit te waarborgen en kwaadaardige activiteiten snel te identificeren en tegen te gaan. 

We pakken potentiële beveiligingsincidenten proactief aan door middel van een duidelijk, goed ontworpen incidentresponsplan.

Dit plan bevat vooraf gedefinieerde workflows voor het detecteren, beoordelen en reageren op incidenten, waardoor verstoringen tot een minimum worden beperkt en snel herstel mogelijk is. We voeren ook regelmatig simulaties uit om onze responsmogelijkheden voortdurend te verfijnen en onze paraatheid te waarborgen.

De levenscyclus van softwareontwikkeling (SDLC) vormt de kern van efficy's benadering van productbeveiliging.

Door industrienormen te volgen, zoals OWASP, CIS en CSA, hebben we een uitgebreid raamwerk opgezet voor het ontwikkelen van veilige oplossingen.

Onze SDLC omvat strenge beveiligingscontroles in elke fase, van vereistenanalyse en ontwerp tot implementatie en testen, zodat kwetsbaarheden vroeg in het ontwikkelingsproces worden geïdentificeerd en beperkt.

efficy's programma voor kwetsbaarhedenbeheer (VM) is ontworpen om proactief kwetsbaarheden in onze systemen en toepassingen te identificeren, te evalueren en aan te pakken.

Met behulp van geavanceerde scantools controleren we voortdurend op mogelijke zwakke plekken en pakken deze direct aan.

Onze regelmatige patcheschema's en gedetailleerde risicobeoordelingen helpen ons om prioriteit te geven aan kritieke foutoplossingen en een veilige omgeving te onderhouden tegen evoluerende bedreigingen.

efficy voert een jaarlijks penetratietestprogramma uit voor elke productlijn, waarbij we samenwerken met externe beveiligingsexperts om de robuustheid van onze systemen tegen potentiële bedreigingen grondig te beoordelen en te valideren.

Deze onafhankelijke evaluaties worden aangevuld met andere tests die door onze klanten worden uitgevoerd, zodat ze kunnen bevestigen dat onze oplossingen aan hun specifieke beveiligingseisen voldoen.