Een interview met Fleur Dobbelsteen-Muit
Emprover heeft in mei 2023 haar certificaat behaald voor ISO 27001 certificering. Toen zij in 2021 aan dit traject begonnen hadden zij nog geen kennis van certificering en gingen daarom op zoek naar partner die hen in dit traject kon begeleiden. Fleur Dobbelsteen-Muit vertelt in een interview hoe Emprover een professionaliseringsslag heeft gemaakt, geeft tips als jouw organisatie zich wil laten certificeren en vertelt hoe dit project voor hen is gegaan en hoe informatiebeveiliging een centrale plek heeft ingenomen in onze bedrijfsvoering.
Over Emprover Emprover activeert en borgt strategische betrokkenheid in organisaties door ontwikkeling methodisch sterk en blijvend zichtbaar te structureren. Emprover helpt teams en organisaties, zowel in het publieke domein als het MKB, bij het structuren van werk en verbinden het werk aan strategische ambities. Zodat strategische betrokkenheid wordt geborgd, samenwerking wordt verbeterd en het werkplezier wordt verhoogd. Emprover biedt digitale bewezen werkvormen aan, waar vaak een agile gedachte aan ten grondslag ligt. Welke methode zij toepassen hangt af van de doelgroep, organisatie en waarop dit moet worden toegepast. Het werk wat het team te doen heeft en hoe ze samen (willen) werken.
“Onze grote liefde is om alle medewerkers in een organisatie mee te laten denken over strategie in een organisatie. Zodat het werkplezier van medewerkers wordt verhoogd, zij aangehaakt raken en echt voelen ‘hier wil ik aan bijdragen’.”
Emprover levert naast diensten om de samenwerking te verbeteren, ook digitale ondersteuning in de vorm van een app waarmee organisaties zichtbaar met elkaar werken. Deze app heet ook Emprover dit is een digitale tool, waarmee organisaties heel zichtbaar met elkaar kunnen werken aan de doelen die zij samen hebben opgesteld. Doordat zij gebruik maken van een software tool voor hun klanten is informatieveiligheid belangrijk, daarom kozen zij voor ISO 27001 certificering.
Het team van Emprover bestaat uit ongeveer 20 personen bestaand uit adviseurs en ontwikkelaars. Het certificeringsteam bestaat uit Jan Nouwens (directeur) met als rol technical security officer, Fleur Dobbelsteen- Muit operational security officer en Mitchell van Gerwen van Pearl-IT is als externe betrokken om vooral het technische vlak te ondersteunen, onder andere op het gebied van Microsoft 365 en Azure.
Waarom Protify?
Emprover had nog geen kennis van certificering en besloot daarom een partner te zoeken die hen kon begeleiden in dit proces, zodat de lopende (klant)werkzaamheden doorgang konden vinden. Na drie partijen te hebben gesproken, viel de keuze op Protify. ‘We hadden direct een goede klik met Danielle de Vaal en de pragmatische aanpak sprak ons aan. Danielle en Eveline kunnen zich goed verplaatsen in de werkzaamheden binnen een kleine organisatie en maakte duidelijk hoe informatiebeveiliging hier een deel van kon uitmaken.’ aldus Fleur.
‘Protify hadden we zeker nodig want zonder hen hadden we dit echt niet gered.’
Waarom de keuze voor ISO 27001 certificering?
‘We vinden informatieveiligheid zeer belangrijk en merkten dat onze publieke klanten, vanwege de Baseline Informatiebeveiliging Overheid (BIO) vaak ook bepaalde normen bevestigd willen zien. De data van onze klanten dienen te worden geborgd, want we willen natuurlijk absoluut niet dat er iets op straat terecht komt. Daarom vonden we het belangrijk om het op een professionelere manier te kunnen vastleggen. En aan onze klanten aan te tonen, dat wij dit op een goede manier hebben geregeld.’ geeft Fleur aan.
Emprover is een online applicatie waarbij klantinformatie digitaal wordt opgeslagen. Daarom was het voor hen van belang deze data te borgen en veilig te houden. De norm voor informatiebeveiliging is dan een logische keuze.
Interne organisatie: jaarplanning en verbetercyclus
Emprover heeft een tweewekelijks ‘cirkeloverleg’ genaamd: ‘werken aan de winkel’. Dit overleg richt zich op de strategie en interne processen, waar informatieveiligheid een vast agendaonderdeel is. Tijdens dit overleg worden taken verdeeld en wordt er behandeld wat er is binnengekomen. Emprover werkt in periodes; cycli van drie maanden, wat is er bereikt, welke successen zijn behaald en wat zijn de aandachtspunten voor de volgende cyclus? De taken volgend uit het overleg worden in hun eigen tooling geplaatst en maken deel uit van de operationele jaarplanning, die samen met taakbeheer zijn ondergebracht in hun eigen systeem. De PCT wordt ingezet voor de risicoanalyse en de beleidsdocumentatie en er zijn vanuit Emprover links gelegd met de PCT.
Continu verbeterproces
Emprover is tijdens COVID snel gegroeid en daarom wilden zij pas op de plaats maken en goed naar de eigen bedrijfsvoering te kijken. ISO 27001 certificering maakt dat je je eigen bedrijfsvoering onder de loep neemt en bepaalt waar er aanpassingen nodig zijn. ISO 27001 spreekt over continu verbeteren en past perfect bij Emprover, aangezien dat verweven zit in de methodiek die zij hun klanten aanleren.
Het certificeringsproces zorgt ervoor dat je jaarlijks zaken tegen het licht houdt, kijkt of het nog past of werkt en maatregelen neemt wanneer dit nodig is. Juist omdat informatiebeveiliging standaard op de agenda staat, kun je er niet meer omheen.
Zijn er zaken in de bedrijfsvoering veranderd door de certificering? 'Absoluut! Wat ik me niet had gerealiseerd, zijn de regels rondom je medewerkers en personeel dat je inhuurt. De beheersmaatregelen met betrekking op (inhuur van) personeel, geven aan dat je hen dient te controleren, maar dat je ook het in- en uit diensttreden vastlegt. Dus bewust bent van de informatieveiligheid en je medewerkers. Nu hebben we dit goed vastgelegd en wordt dit ook aan de medewerkers verstrekt, waardoor zij ook weer bewuster zijn van hun rol.'
Fleur geeft verder aan, dat 'De directiebeoordeling is goed voor ons eigen proces evenals de leveranciersbeoordeling. We werken al sinds 2016 samen met onze ontwikkelaars en doordat we nu goede input hebben vanuit de leveranciersbeoordeling, hebben we meer inhoudelijk overleg met hen en ga je meer in op verwachting aan de hand van het sjabloon voor de leveranciersbeoordeling. We zijn nu bewuster welke zaken we moeten meenemen in de voorwaarden in gesprekken met onze leveranciers. Al met al zijn heeft dit geleid tot een meer volwassen en professionelere bedrijfsvoering, die goed aansluit bij de groei die we hebben doorgemaakt als organisatie.'
Tips voor andere organisaties voor ISO 27001 certificering?
Weest bewust van het beleid dat je schrijft, dat je dit moet kunnen toetsen en controleren.
Maak meerdere mensen uit jouw organisatie verantwoordelijk.
Reserveer een ‘vaste’ halve dag per week voor activiteiten die voortkomen uit certificering.
Probeer het niet in een korte tijd door je organisatie ‘heen te duwen.’ De kwaliteit gaat vooruit, als je sommige zaken echt even in de week legt.
Het is fijn samenwerken met Protify. Ze zijn erg flexibel. Ze beantwoorden mijn vragen altijd. Ze proberen zich erg in te leven, waar jij je als organisatie je bevindt. Praktische tips krijgen we, dat vind ik fijn.
Op zoek naar de expertisepartner voor ISO27001 certificering net als Emprover? Neem contact met ons op en we vertellen je graag meer over de mogelijkheden voor jouw organisatie.
Comments