We gaan terug in de tijd naar 8 december 2022 op deze dag haalt ISO Groep Automatisering B.V. haar ISO 27001 en NEN7510 certificaat. De internationale norm die specificaties biedt voor best-practice information security management systems (ISMS).
Een heugelijke dag maar eentje die wel vragen met zich meebrengt. Wat betekent dit voor ISO Groep? En misschien nog belangrijker, wat betekent dit voor jou als klant? Onze Security Officer Paul Freeke was vanaf het begin betrokken bij het project om onze informatiebeveiliging waterdicht te maken. We hadden een interview met hem over het proces.
Goede vraag! Het begint bij het inschakelen van de juiste mensen. ISO Groep heeft een gespecialiseerd extern bedrijf ingeschakeld, DXfferent, om ons in het gehele proces te begeleiden. Zo wordt er bijvoorbeeld een risicoanalyse gemaakt en wordt ISO Groep middels een interne audit klaargestoomd voor het echte werk, namelijk de externe audit. Hier wordt het harde werken van de voorafgaande maanden goed op de proef gesteld.
Als IT-leverancier ga je nadenken over welke risico’s die je loopt. Je denkt al snel dat je alles op orde hebt en zo’n ISO-certificering is een goed middel om te kijken of dat inderdaad het geval is. Het zal een hoop kennis in huis halen waarmee de dienstverlening wordt verbeterd, het belang is dus niet alleen voor ISO Groep maar ook voor de klanten. Het is een mooi signaal naar buiten dat je je Informatiebeveiliging en het proces daaromheen daadwerkelijk goed op orde hebt.
Als klant heb je, zeker in deze tijd, een bepaalde verwachting, al helemaal van je IT-automatiseringspartner. Je wilt natuurlijk niet dat er onzorgvuldig wordt omgesprongen met je data en de data van jouw eigen klanten. Het is dus prettig om te weten dat dit in orde is. Met de kennis die we nu in huis hebben gehaald kunnen we klanten nog beter advies geven, we gaan ook actief in gesprek met klanten over hoe we hun security beter kunnen regelen.
In ons ticketsysteem is een nieuwe manier van werken geïmplementeerd waarmee we tickets volgens een bepaalde checklist oppakken, de hoeveelheid checks kan klant specifiek zijn of impact gerelateerd.
Stel er is een ticket waarvan de impact groot is, dan vinken we via een puntensysteem af hoe groot de deze precies is.
Via een vier ogen principe met de security officer wordt kortgesloten hoe het probleem zo goed mogelijk wordt behandeld. Op deze manier blijft de veiligheid gewaarborgd.
Steekproefsgewijs controleren we ook, dit is een proces dat alleen maar beter zal gaan.
Beiden certificaten hebben raakvlakken. De ISO 27001 is de internationale norm van allesomvattende informatiebeveiliging, deze heeft een hogere prioriteit dan de NEN7510 die toegespitst op organisaties waar zorginformatie wordt opgeslagen zoals een apotheek. Omdat onze klantenkring veel apotheken bevat is het een bewuste toevoeging aan onze dienstverlening.
Bij ISO Groep doen we het echt samen. We zijn allemaal actief met ICT bezig en security is daar een belangrijk onderdeel van. We hebben bijvoorbeeld een Teams-kanaal waar security centraal staat en op andere communicatiekanalen houden we elkaar goed op hoogte van spelende zaken en eventuele aandachtspunten
Vanuit de ISO– certificering wordt een jaarlijks een awareness sessie georganiseerd, daarmee brengen we de medewerkers op te hoogte te van alle nieuwe ontwikkelingen op het gebied van security.
We spijkeren onze kennis ook bij via onze Academy, waar bijvoorbeeld een externe spreker zijn ervaring komt delen.
Tenslotte staat bij iedere kwartaalmeeting met het hele bedrijf het punt Security centraal.
Het lastige was in mijn ogen een stukje privacy en beleid. Wij zijn in ons bedrijf doeners van origine. We willen graag zo snel mogelijk doorwerken en het was lastig om steeds te moeten terugvallen op het beleid en te controleren of je werk overeenkomt met wat het beleid aangeeft.
Daarnaast was het een uitdaging om met terugwerkende kracht informatie te verzamelen over onze leveranciers. Waar slaan zij hun informatie op? Hoe verwerken ze deze informatie? Er is een verwachtingspatroon ontstaan en het toepassen hiervan is redelijk taaie stof.
Heel simpel: dat ISO Groep een organisatie is – en die continu bezig blijft – met informatiebeveiliging. Er is een stevig fundament gelegd, waarop we verder gaan bouwen. Security heeft topprioriteit en we worden hierin steeds beter.
