Cyberaanvallen kunnen een verwoestend effect hebben op de reputatie van elke organisatie, ook die in de wervingssector. Het kan niet alleen de relatie met klanten schaden omdat vertrouwelijke gegevens verloren kunnen gaan, maar het kan ook gevolgen hebben voor het binnenhalen van toekomstige klanten.
Bewustzijn cybersecurity
Om je organisatie tegen cyberaanvallen te beschermen, is het belangrijk dat je je bewust bent van de cyberveiligheidsrisico’s waarmee de recruitmentsector momenteel te maken heeft. Hoe houd je je recruitmentsysteem eigenlijk veilig? En staan gebruikers van ATS’en genoeg stil bij de beveiliging van hun gegevens? We legden het voor aan drie leveranciers van recruitmentsystemen en vroegen ze om tips.
Certificering
Bij Ubeeo zijn ze al sinds jaar en dag bezig met cybersecurity, zo laat directeur Leon Buijsman weten. “Wij hadden in een vrij vroeg stadium van ons bestaan al klanten die hele hoge beveiligingseisen stelden en uitgebreide penetratietesten uitvoerden. Wij hebben daar altijd voor opengestaan en actief aan meegewerkt. Alleen kostte het hele security traject veel tijd en geld. Vijf jaar geleden vroeg ik na een van deze trajecten aan de klant hoe we dit soort trajecten sneller en kosteneffectief zouden kunnen uitvoeren: een eigen ISO-27001 certificering en een doorlopende penetratietest was het antwoord. De tijd en energie die we nu in beveiliging steken is puur gericht op verbetering en niet meer op het beantwoorden van eindeloze lijsten met vragen.”
Ook Mysolution is in het bezit van het ISO 27001 certificaat, vertelt Eddy Ramos, Manager Development & Support bij de organisatie. “Mysolution werkt alleen maar met de nummer één leveranciers van Cloud platforms die voldoen aan de meest geavanceerde security maatstaven en certificaten.”
Jeroen Sentel, Operationeel Directeur van Emply, wijst op het belang van testen: “Naast ISAE certificering wordt er jaarlijks een uitgebreide penetration test uitgevoerd en wordt er continu geïnvesteerd in de laatste technologie op het gebied van security. Naast het beveiligen van onze eigen software raden wij klanten ook altijd aan om gebruik te maken van Single Sign-On of 2-Factor Authentication (2FA). Zelfs binnen de configuratie van Emply kunnen rollen op maat gedefinieerd worden zodat data van kandidaten alleen toegankelijk is voor degene die betrokken zijn bij de evaluatie van die kandidaten.”
Gebruiker heeft de sleutel in handen
Vanuit de leveranciers zelf lijkt er genoeg bewustzijn voor het belang van cybersecurity, maar merken ze ook dat dit het geval is bij hun gebruikers? “Elke gebruiker is anders; een aantal klanten staat hier onvoldoende bij stil, anderen doorlopen een security traject met Mysolution, weer andere klanten varen op externe expertise en huren een ethical hacker in voor PEN-Testen. Om het security bewustzijn bij gebruikers te verhogen is er een webinar georganiseerd over two-factor authentication, want vanaf dit jaar is het gebruik hiervan verplicht bij gebruik van het ATS”, legt Eddy Ramos uit.
Ook bij Emply merken ze dat er bij de aanschaf van SaaS software steeds meer stilgestaan wordt bij security en compliancy met AVG wetgeving, geeft Jeroen Sentel aan. “Het is duidelijk te merken dat men zich bewust is van de risico’s. Echter merken wij ook dat sommige praktische zaken, zoals het rondmailen van een cv, nog niet op die manier bekeken wordt. Daarom stellen wij klanten in staat om zoveel mogelijk communicatie binnen Emply te houden.”
Leon Buijsman van Hireserve onderstreept dit: “Tijdens de selectie van het recruitmentsysteem is er tegenwoordig veel aandacht voor beveiliging vanuit de IT afdelingen. Soms zelfs meer dan voor de werking van het systeem zelf. Dat betekent dat de gebruikers er ook vanuit mogen gaan dat de beveiliging op systeemniveau goed geregeld is. Gebruikers hebben een belangrijke sleutel in handen: toegang tot het systeem. Bij elke training geven wij ook altijd aan, dat ze met deze sleutel net voorzichtig om moeten gaan als met de sleutel van hun huis. Het huis kan nog zo goed beveiligd zijn, als je de sleutel in de voordeur laat zitten of uitleent aan onbekenden, komen inbrekers gemakkelijk binnen. Overigens is dit probleem door toepassing van two-factor authentication en single sign-on inmiddels wel beperkt.”
Zes gouden tips voor cybersecurity
Recruitmenttech.nl heeft de in dit artikel geciteerde leveranciers ook om tips gevraagd waar je op moet letten bij de beveiliging van een ATS. We zetten een zestal gouden tips hier op een rij:
- Verlaat je je werkplek, blokkeer dan in ieder geval je scherm;
- Sla in geval van twijfel alarm over de beveiliging. Beter de beveiliging een keer teveel gecheckt, dan een keer te weinig;
- Zorg voor privacy en security awareness bij je eigen medewerkers. Een informatiesysteem is zo sterk als de zwakste schakel, vaak is dit een medewerker die onbedoeld informatie deelt, doorstuurt of op onveilige linkjes klikt, e-mail opent, e.d.;
- Zorg voor automatische opschoning van afgehandelde dossiers en werkprocessen. Automatiseer de bewaartermijn van persoonsgegevens, zodat deze niet langer bewaard blijven dan nodig;
- Zorg dat data van kandidaten en communicatie over kandidaten binnen het ATS blijft. In combinatie met geautomatiseerde AVG regels ben je er zeker van dat je compliant bent met de wetgeving;
- Maak gebruik van Single Sign-On of 2FA om ongeoorloofde toegang te voorkomen en gebruik op maat gemaakte rollen en workflows om alleen diegene toegang te geven die toegang tot de data nodig heeft.