Categorieën
Algemeen nieuws Nieuws

ISO27001: ‘Van obstakel naar taakverrijking’

 

Na een intensief traject van precies twaalf maanden is Guapa E-commerce officieel ISO 27001 gecertificeerd. Iets waar wij als organisatie meer dan trots op zijn! We stelden een aantal vragen aan onze collega José die onderdeel is van het Security Team en zorg heeft gedragen voor de projectplanning en begeleiding.

Wat houdt deze ISO 27001 certificering precies in?
‘’De ISO 27001 is een norm die wereldwijd wordt gebruikt om aan te tonen dat je als organisatie “in control” bent wanneer het gaat om informatiebeveiliging. In control zijn betekent dat er een managementsysteem is vastgesteld, geïmplementeerd, wordt bijgehouden en continu wordt verbeterd. Dit geldt zowel voor de online als offline processen en de managementsystemen. Uiteindelijk is het de bedoeling dat de norm wordt gezien als een managementsysteem die volledig geïntegreerd is met de al bestaande managementsystemen binnen de organisatie. De norm bestaat uit veertien verschillende onderwerpen.’’

Welke onderwerpen zijn dit?
‘’De norm omvat veertien onderwerpen waar je als organisatie over moet nadenken.

  • Het informatiebeveiligingsbeleid;
  • Organiseren van informatiebeveiliging;
  • Veilig personeel;
  • Beheer van bedrijfsmiddelen;
  • Toegangsbeveiliging;
  • Cryptografie;
  • Fysieke beveiliging;
  • Beveiliging van de bedrijfsvoering;
  • Communicatie beveiliging;
  • Acquisitie, ontwikkeling en onderhoud;
  • Leveranciersrelaties;
  • Beheer van informatiebeveiligingsincidenten;
  • Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer;
  • Naleving.

En hoe weet je waar je voor gecertifieerd gaat worden?
‘’Het begint met het bepalen van het toepassingsgebied waar je voor gecertificeerd gaat worden, ook wel ‘de scope’. Bij ons is dat als volgt: ‘’Het adviseren bij e-commerce vraagstukken en ontwerpen, ontwikkelen en onderhouden van webshop platformen’’. Onze scope omvat dus alle kernprocessen van onze organisatie.‘’

Hoe is het traject verder verlopen?
‘’Met behulp van de eerder genoemde veertien onderwerpen, ga je alle processen langs binnen het toepassingsgebied. Dit werk je volledig uit. Welke tools gebruik je hier bijvoorbeeld? Welke collega’s werken in dit proces? Waar komt de informatie vandaan of waar stuur je het naar toe? Hoe betrouwbaar is deze manier? Waar wordt deze data opgeslagen? Dit resulteert uiteindelijk in een lijst met opvallendheden en geeft inzicht in risico’s. Op basis van deze risico’s kun je bepalen wat het plan van aanpak gaat zijn en welke beheersmaatregelen je kunt nemen als organisatie. Daarbij classificeer je alle tools, platformen en leveranciers waar je mee werkt door de betrouwbaarheid, integriteit en vertrouwelijkheid vast te stellen en te testen. Dit is het in een notendop, het gaat er om dat je uiteindelijk alle veertien onderwerpen op deze manier gaat behandelen en de plannen zodanig implementeert dat je in control bent.’’

Hoe maak je dit onderwerp werkbaar in een team?

‘’Intern hebben wij een Awareness Campagne gestart, wat inhoudt dat er regelmatig gezamenlijk gewerkt is aan de norm. Dit was zowel in zelfstudie als bijvoorbeeld in spelvorm. Twee teams maken en ze tegenover elkaar zetten: laat maar eens zien wie het meeste weet over ons informatiebeveiligingsbeleid.’’

In welk tijdsbestek hebben jullie het traject afgerond?
‘’Het proces heeft voor Guapa precies twaalf maanden geduurd. Er zijn organisaties die het in een korter tijdsbestek voor elkaar weten te krijgen, maar wij waren echt gefocust op zorgvuldige implementatie. Om dit te waarborgen is er voor gekozen hier voldoende tijd voor te nemen. Je kunt kiezen voor een Security Officer, maar binnen Guapa is gekozen voor een Security Team. Dit team bestaat uit Bas van de Ven, Manager Customer Success, Willem Poortman, Enterprise Architect en mijzelf.  Zij zijn verantwoordelijk voor verschillende gebieden binnen de organisatie. Zo is Bas verantwoordelijk voor de gebieden Customer Success Management, Klanten en Sales, Willem voor Development, Infrastructuur en Logistiek en ik zelf voor Office, HR en ondersteuning van de eerder genoemde gebieden.’’

Waar zijn jullie tegenaan gelopen?
‘’Elke organisatie gaat tegen verschillende zaken aan lopen, binnen Guapa was dat bewustwording en draagvlak. Wanneer er wordt aangekondigd: ‘’Jongens, we gaan met ISO 27001 bezig dus er zullen zaken gaan veranderen’’, gaat het niet werken. Wij spreken uit ervaring….

Verandering is lastig, er zijn weinig processen en mensen die daar zonder problemen doorheen komen, hoe Agile je ook bent als organisatie en hoe flexibel je ook bent als mens. Dit hebben wij in het voortraject zeker onderschat.

Het is enorm belangrijk om veranderingen goed te managen en daar de tijd voor te nemen. Als je juist omgaat met verandering kun je er als organisatie voor zorgen dat het niet als obstakel maar als taakverrijking gezien wordt. Door hier aandacht aan te besteden gingen wij als team van ‘’het moet van ISO’’ naar ‘’op deze manier is het het meest werkbaar en het veiligst’’. Dat is wat je uiteindelijk wilt bereiken als organisatie: het moet zo normaal mogelijk worden.’’

Wat zien jullie als de grootste voordelen?
‘’Anno 2019 is een ISO 27001 certificering niet meer weg te denken. Met de opkomst van de strengere wetgeving omtrent onder andere de AVG, is deze norm een absolute must. Nu wij hier zo intensief mee bezig zijn kan ik me niet voorstellen dat je deze certificering niet eist van een technisch partner. Het levert zoveel meerwaarde voor zowel voor je eigen organisatie, klanten, partners en niet te vergeten je eindgebruikers.. Het zorgt er voor dat collega’s bewust omgaan met informatiebeveiliging en dat je klanten en partners een garantie kan bieden dat er zorgvuldig met hun data wordt omgegaan. Ook vanuit intern perspectief; het is toch fijn om te weten dat je persoonlijke gegevens niet zomaar op straat komen te liggen.’’

Door welke instantie zijn jullie gecertificeerd?
‘’Wij hebben de hulp ingeschakeld van Marcel Vos, eigenaar van Vos Advies. Marcel runt al jaren een succesvol adviesbureau en is gespecialiseerd in het begeleiden van organisaties op dit gebied. De partner die de daadwerkelijke certificering heeft toegekend is TÜV Nederland. De certificering bestaat uit een dag vooronderzoek en ongeveer anderhalve maand later drie dagen examen die op locatie zal plaatsvinden.’’

‘‘Het was voor mij al snel duidelijk dat Guapa de doelen en ambities van hun klanten centraal stelt. Informatiebeveiliging wordt daarin steeds belangrijker. Het team van Guapa heeft dit heel grondig aangepakt en dat bleek ook tijdens de audit door TÜV: geen enkele afwijking en een managementsysteem dat naadloos aansluit bij de bedrijfsvoering. Wat mij betreft een voorbeeld voor veel organisaties die met ISO 27001 aan de slag willen.” – Marcel Vos, Vos Advies

Welke tips zou je geven aan organisaties die hiermee willen beginnen?
‘’Vooral in het begin ben je veel tijd kwijt om überhaupt de norm te begrijpen, hoe het is geschreven en hoe het wordt bedoeld. Neem hier je tijd voor. Een valkuil kan zijn dat je bij elke norm een maatregel gaat bedenken; vooral niet doen. Is het niet toepasbaar binnen je organisatie? Documenteer die uitleg en ga door naar het volgende. Bij Guapa hebben we het volgens het need-to-know principe gewerkt. Weet alleen wat je moet weten, het werkt makkelijker en voorkomt op die manier veel ruis.’’

Ben jij als lezer van dit interview ook bezig met de ISO 27001 certificering, wil je er mee beginnen of heb je er vragen over? Laat het ons vooral weten!