Waarom HelloFlex group werk maakt van periodiek pentesten: “we kennen een hoog risicoprofiel”
- Case Study
Vandaag de dag is het, mede dankzij strenge privacywetgeving, steeds belangrijker om persoonsgegevens goed te beschermen tegen datalekken en misbruik. Meer en meer organisaties zijn dan ook op zoek naar een partner om de kwetsbaarheden in hun digitale producten bloot te leggen, zo ook HelloFlex group. We spraken hierover met Menno Methorst, Security Officer bij HelloFlex group.

HelloFlex group is een software aanbieder die zich specifiek richt op personeelsintermediairs zoals uitzendbureaus, werving- en selectiebedrijven en detacheringsbureaus. Met de workforce management software helpt Helloflex deze partijen hun dagelijkse HR-processen te vereenvoudigen door middel van automatisering.
De onderneming kent een hoog risicoprofiel omdat hun producten ingezet worden in een branche waar op grote schaal persoonsgegevens én bijzondere persoonsgegevens worden verwerkt.
Doordat HelloFlex met gevoelige informatie werkt, is een goed cyber security proces erg belangrijk. Zij willen koste wat het kost zien te voorkomen dat er kwetsbaarheden in hun product zitten die voor problemen kunnen zorgen.
Periodiek pentesten met Hacksclusive
Om te voorkomen dat dit soort kwetsbaarheden over het hoofd wordt gezien, wil HelloFlex group meer en meer hun digitale producten periodiek pentesten. Hier hebben zij recent Hacksclusive als vaste partner voor in de armen gesloten.
Dit is niet de eerste keer dat Hacksclusive wordt ingeschakeld door HelloFlex group. Een tijd geleden heeft HelloFlex group op één van haar labels door Hacksclusive een pentest laten uitvoeren. Nu wordt Hacksclusive organisatiebreed ingezet om processen en producten te testen.
De in eerste instantie eenmalige pentest is dus uiteindelijk het startpunt van de vernieuwde samenwerking gebleken.
Naast een partner die kon pentesten, zocht HelloFlex group ook een partij die hen kon helpen met DevSecOps (Development, Security & Operations), een software ontwikkelingsproces waarbij cyber security in iedere fase wordt geïntegreerd om zo een robuuste en veilige applicatie te leveren.

Pentesten in de cloud kent zo zijn voordelen!
Het gehele pentesting proces van Hacksclusive bevindt zich in een cloud based platform. Hierdoor wordt het pentesten een interactief proces tussen opdrachtgever en ethical hacker. Op deze manier kan HelloFlex group snel schakelen en blijven kritieke kwetsbaarheden niet onnodig lang op de plank liggen.
“Het is fijn dat op deze manier mensen vanaf onze kant kunnen aanhaken. Omdat we in real-time de bevindingen kunnen zien, kunnen we hier gelijk mee aan de slag. Wanneer we het opgelost denken te hebben, kunnen we vervolgens direct een hertest aanvragen. Deze manier van werken is voor ons dan ook een absolute meerwaarde ten opzichte van een gesloten proces waar uiteindelijk pas op het einde van het pentest proces een rapport uit rolt.”
“Door de bevindingen real-time te delen, biedt Hacksclusive ons de mogelijkheid om hier direct actie op te ondernemen. Zo kunnen we snel en stapsgewijs werken aan het verbeteren van de veiligheid van het product. Daardoor worden onze developers aan het eind van het proces niet plotseling overspoeld met een grote hoeveelheid to-do’s”.
“Bij Hacksclusive kan je kwaliteit verwachten. Het is een jong bedrijf, maar dit betekent niet dat ze hun strepen nog moeten verdienen. Samen combineren ze jarenlange ervaring binnen de cyber security sector”.
Menno Methorst, Security Officer, HelloFlex Group

Niet altijd even gezellig, maar wel heel belangrijk
Er spelen natuurlijk altijd nieuwe uitdagingen op het gebied van Cyber Security, in dit vakgebied vinden tenslotte razendsnel ontwikkelingen plaats. Maar wat is nu de voornaamste uitdaging voor het team van HelloFlex?
“Dat zit hem vooral in het onderdeel cultuurwijziging”, aldus Menno. Hij geeft aan dat het nog een hele uitdaging wordt om in alle lagen van de organisatie te laten landen wat er - op het gebied van cyber security - aan de hand is, en wat er moet gebeuren. “Momenteel hebben we heel veel fundamentele policies opgesteld en het overkoepelende framework staat, maar nu moet het nog verder geïmplementeerd worden. Juist dit is in de fase waar wij nu met ons bedrijf zitten een grote uitdaging.”
"Waarom dit zo’n grote uitdaging vormt? Wanneer we dit gaan implementeren, wordt er ook van medewerkers die niet direct iets met met security te maken hebben verwacht dat zij een aantal acties gaan ondernemen. Dit kunnen zij als vervelend ervaren - en dat is niet altijd even gezellig, maar wel heel belangrijk.”
Related stories
-
blog posts
Understanding the nuances: comparing vulnerability scanning and pentesting
When talking with our customers, we often notice that some terms are used interchangeably. Often borrowed from English or used incorrectly over time, the distinction between a vulnerability scan and a pentest becomes blurry. In this article, we aim to provide clarity on these two important aspects of improving cyber security. Because there is a significant difference between the two. And not knowing the difference could have an impact on your cybersecurity policy.Read more -
blog posts
Comply or explain: European and Dutch regulations regarding information security
In the last couple of years, the importance of information security is recognized by businesses worldwide. Both the European Union and the Dutch state have introduced strict regulations to ensure the protection of personal data and sensitive, business critical, information. These measures can also mitigate the risk of cyber threats to your organization.
In this article, we discuss the importance of information security, basic measures you have to implement and the most important European and Dutch security laws and regulations, such as NIS2, Wbp, Wbni, NEN7510 and BIO. Moreover, we discuss how you can effectively comply with them -
blog posts
How pentesting in the cloud brings you closer to a 100% safe cyber security cloud environment
You might be familiar with this situation: you have a tip for your colleagues, but you struggle to explain it clearly. So, you quickly record a video to illustrate your point, right? At Dichterbij, they also value learning from each other, but these videos were usually shared via WhatsApp. Not entirely privacy-friendly and highly susceptible to data breaches. While WhatsApp provides end-to-end encryption, organizations have limited control over what happens to the information on their employees' mobile devices. Fortunately, Dichterbij found a solution in the form of an external tool that shares videos in a centralized cloud. However, CISO of Dichterbij, Patrick Thijssen, saw a risk in this approach: "By centralizing your information in a cloud, you become a 'honeypot' for cybercriminals." Hacksclusive was tasked to test any vulnerabilities in the system.