Achtergrondartikel


Jurrie van Rooijen en Michiel van Es van bol.com:

‘Er is altijd een toets vanuit security’

Innovatie en een continue verbetering van de dienstverlening staan hoog op de agenda bij bol.com. “De kunst is om de snelheid hoog te houden en tegelijkertijd de risico’s te mitigeren”, stelt IT-directeur Jurrie van Rooijen. Om te voorkomen dat de trein ‘uit de bocht vliegt’ implementeerde bol.com een eigen tool voor het geautomatiseerd uitvoeren van de controls.

Zo’n vijftig Scrum-teams werken bij bol.com dagelijks aan het verbeteren van de klantervaring. “De meeste mensen die bij bol.com werken, zijn bezig met nieuwe dingen”, aldus Jurrie van Rooijen, IT-directeur bij bol.com. Ze werken bijvoorbeeld aan de mobiele site, mobiele apps, het verbeteren van de logistieke processen of aan het bol.com-verkoopmodel. “Een echte bol.com’er neemt zelf het initiatief.”

Aan de securityprofessionals van bol.com de taak om de teams te helpen bij het ‘embedden’ van de security in de projecten. “Wat wij graag willen, is dat de teamleden zelf het ‘ownership’ hebben over security”, aldus Van Rooijen. “De security-engineers helpen de teams die verantwoordelijk zijn voor processen en systemen om met security-oplossingen te komen. Het zijn geen politieagenten die alleen maar wijzen op wat er niet goed is, maar ze zitten echt in de helpende modus. Dat is iets anders dan zeggen: dit is niet goed en dit is niet goed, prettige wedstrijd.”

“Als bedrijf ben je een trein en die moet vooruit om zijn doelen te behalen”, zegt Michiel van Es, IT Compliance Officer bij bol.com. “Als security moet je mee met die trein. De maatregelen die je treft, moeten pragmatisch zijn. Security staat bovenaan, maar je kunt ook niet alles dichttimmeren, want dan wordt het onmogelijk om het bedrijf verder te ontwikkelen. Als daardoor een groot risico ontstaat, dan is het aan de security-engineers om een stopbordje omhoog te houden.”

Security-awareness
Volgens Van Rooijen en Van Es komt het echter niet vaak voor dat het bordje omhoog moet om te voorkomen dat de trein uit de bocht vliegt. Daar zijn meerdere oorzaken voor aan te wijzen, waaronder het ownership voor security dat bij de teams ligt en de hoge security-awareness bij de medewerkers van bol.com. Van Es: “Het gebeurt steeds vaker dat medewerkers naar ons toe komen met de vraag of iets vanuit security-oogpunt wel kan. Dat is mooi om te zien.”

“Awareness bereik je door erover te praten”, vervolgt Van Rooijen. “Dat doen we bijvoorbeeld tijdens trainingen en awareness-sessies. De kunst daarbij is om het leuk te houden, door de stof op een leuke manier aan te bieden, bijvoorbeeld in de vorm van een game. Als je de risico’s goed uitlegt, krijg je ook meer begrip voor de securitymaatregelen die je treft. Uiteindelijk willen we allemaal hetzelfde; niemand wil een initiatief lanceren waar de klant de dupe van wordt.”

Toets vanuit security
Ook de manier waarop bol.com het compliancevraagstuk heeft ingericht, heeft er volgens Van Es en Van Rooijen voor gezorgd dat het gehele bol.com-landschap secure wordt gebouwd en het bordje omlaag kan blijven. “Op het moment dat we -een nieuw initiatief lanceren, is er altijd sprake van een toets vanuit security. Dat zit standaard in het proces”, benadrukt Van Rooijen. Van Es: “Daarbij is het wel belangrijk dat iedereen zich houdt aan de afspraken die je met elkaar maakt. Het idee achter controls is dat er draagvlak is vanuit de mensen die ze moeten uitvoeren.”

“Compliance wordt echter altijd als iets moeilijks en vervelends gezien”, zo weet de security-engineer van bol.com uit de praktijk. “Dit komt vaak door een gebrek aan goede communicatie en het ontbreken van de juiste tooling. Vaak wordt nog gewerkt met Excel en een handmatige invoer, wat niet bijdraagt aan een goed inzicht in de risico’s. En dat in een tijdperk van automatisering.”

‘Dat moet anders kunnen’, bedacht Van Es zich toen hij thuis op de bank naar de film Iron Man zat te kijken. De IT Compliance Officer ontwikkelde vervolgens de tool ‘Iron Man’ waarbij de controls die de bol.com’ers met elkaar afspreken, worden opgeslagen in een centrale database. Van daaruit worden de controls in tickets gestopt en krijgen bijvoorbeeld het management en de control owners automatisch een reminder. Ook de ‘evidence’ waaruit blijkt dat aan een control wordt voldaan, wordt volledig automatisch aangemaakt. Daarnaast is er een dashboard dat het management een globaal overzicht biedt van hoe bol.com het doet wat betreft compliance. “We hebben alles weggeautomatiseerd en transparant gemaakt”, aldus Van Es.

Eigen framework
De controls waarop Iron Man controleert, vloeien voort uit een framework dat bol.com zelf opstelt, zo begrijpen we van Van Rooijen en Van Es. “Als je je eigen framework hanteert, denk je veel beter na over security dan wanneer iemand anders een blauwdruk over je organisatie heen legt”, vindt de bedenker van Iron Man.

“We hoeven niet met alle gangbare frameworks compliant te zijn, maar waar we dat moeten zijn, zijn we dat uiteraard wel. En we gaan zelfs nog een stap verder, want we willen gewoon zeker weten dat bij alles wat we doen de security is gewaarborgd”, vervolgt Van Es. “Zo checken we alle ‘high-risk’ databasebeheerders. Dit wordt niet voorgeschreven door bijvoorbeeld de PCI DSS, maar omdat wij veel met databases doen, vinden wij dit wel een belangrijk punt.”

Risico’s gemitigeerd
Bol.com heeft Iron Man nu ongeveer een jaar in gebruik. “Het aantal controls is in die periode sterk gegroeid, en iedereen staat achter de controls die we met elkaar afspreken”, concludeert Van Es. “De tool helpt om het compliancevraagstuk duidelijker en transparanter te maken. Terwijl de trein door blijft gaan, houden de teamleden continu een vinger aan de pols en wordt het direct duidelijk als bijvoorbeeld de wielen nog geolied moeten worden.”

“Met Iron Man is het niveau van controles veel beter geworden. Daardoor is de kans dat de trein uit de bocht vliegt ook kleiner geworden, terwijl het complianceproces de teamleden nauwelijks extra tijd kost”, besluit van Rooijen. “Je houdt de snelheid hoog, maar je mitigeert de risico’s.”


Over bol.com
Bol.com werd in 1999 opgericht door het Duitse mediaconcern Bertelsmann AG. Zeventien jaar later heeft de winkel meer dan 6,5 miljoen actieve klanten in Nederland en België en een assortiment van ruim 13,5 miljoen artikelen.

De winkel behoort al jaren tot de meest populaire winkels van de lage landen. Zo is bol.com in 2016 door een vakjury verkozen tot ‘Beste Online Webwinkel van Nederland’. In België werd bol.com in 2015 onderscheiden met de titel ‘Beste Webshop van België 2015-2016’. Op het hoofdkantoor van bol.com in Utrecht werken circa 1200 experts. Alle bol.com-aandelen kwamen in mei 2012 in handen van Ahold, nu Ahold Delhaize.


Lees meer over