Een interview met Yvo Dolmans
Kreuze besloot in 2021 zich te willen laten certificeren voor ISO 27001, de norm voor informatiebeveiliging. Zij wilden de interne zaken beter regelen en inspelen op de marktwerking; aangezien steeds meer klanten deze norm eisen. Aangezien Kreuze geen ervaring had op het gebied van certificering, besloten zij, na een selectie uit meerdere partijen, met Protify in zee te gaan. Wil jij ISO 27001 implementeren in jouw organisatie? Lees dan hoe de voorbereiding voor de audit en de hierop volgende certificering verlopen is bij Kreuze en welke tips Yvo Dolmans heeft.
Over Kreuze Kreuze bekijkt bedrijfscommunicatie in een nieuw, breder perspectief. Zij bieden maatwerk in geïntegreerde communicatieoplossingen, van vaste & mobiele telefonie, tot zakelijke online communicatie en maatwerkoplossingen. Daarom sluit de keuze voor ISO 27001 goed aan bij hun dienstverlening, want omgaan met vertrouwelijke en persoonlijke informatie maakt deel uit van hun dagelijkse werkzaamheden.
Start project –GAP analyse In maart 2021 startte Kreuze het project. Omdat zij de ISO 27001 certificering goed wilden benaderen, besloten zij een ISO-team op te richten, bestaande uit 4 personen Mischa Walraven (Algemeen directeur), Ceriel Roland (Technisch directeur), Daan Lambrix (Technisch Security Officer) en Yvo Dolmans (Operational Security Officer) en daarnaast werd HR erbij betrokken. Dit team kreeg vanuit de directie de ruimte en tijd om deze taak op te pakken, naast hun gewone werkzaamheden. Samen met consultant Danielle de Vaal van Protify is het ISO-team van Kreuze het certificeringstraject gestart. Eerst is er een GAP analyse uitgevoerd, uit deze analyse bleek dat Kreuze al veel onderdelen hadden geïmplementeerd volgens de ISO-norm en hiernaar handelden, maar dit nog niet allemaal stond beschreven. Door deze GAP analyse kregen zij goed inzicht wat er nodig was om hun ISMS op te zetten.
Yvo Dolmans vertelt: ‘Zaken werden zichtbaar, je denkt altijd dat je je IT-beveiliging goed op orde hebt, maar hoe zie je dit dan? Dat zie je pas als het fout dreigt te gaan. Wij hebben geleerd hoe belangrijk het is om die zaken goed geregeld te hebben om je te kunnen beveiligen en te waarborgen tegen onverwachte zaken. Als voorbeeld toen Corona uitbrak, zijn we van de ene op de andere dag met alle collega’s thuis gaan werken. Dit kon omdat wij plaats onafhankelijk kunnen werken en dus niet gebonden waren aan ons pand. Tijdens de GAP-analyse realiseerden we dat we dit al goed ingeregeld hadden.’
Protify als consultant en projectleider Danielle de Vaal nam als consultant samen met het ISO-team van Kreuze de norm door. Door deze op te delen in stukken; verdeeld in sprints, werd door middel van interviews per onderdeel de informatie achterhaald. Op basis van deze interviews deed Protify een voorzet met deze informatie door dit in het ISMS te verwerken. Kreuze kon vervolgens eigen informatie toevoegen of wijzigingen aanbrengen. Deze ‘blokken met informatie’ vormden uiteindelijk een groot geheel, dat als basis diende voor het ISMS, dat onderdeel uitmaakt van de ISO 27001 voor informatiebeveiliging.
Wat zijn jullie anders gaan doen na invoering van ISO 27001? Yvo vertelt
'We zijn nog meer met Security awareness aan de slag gegaan. Awareness bij onze mensen te creëren, door bijvoorbeeld tests met phising mails uit te voeren.
Onze documentatie hebben wij nog beter op orde gebracht, door met classificaties te gaan werken van beveiligde documenten of van vertrouwde personen of van openbare documenten.
Instructies voor medewerkers hoe documenten op te slaan en wat wel en niet gedeeld kan worden. Om zo de bewustwording te vergroten.
We laten de medewerkers nadenken over hun handelen op basis van security en veiligheid en hoe zij vanuit daar met documenten om dienen te gaan.
De naleving van de ISO-regels hebben wij intern meegenomen in de beoordeling van onze medewerkers.’
Zijn er al merkbare gevolgen van jullie ISO-certificering? Yvo vertelt: ·‘Ja wij hebben een aanbestedingstraject gewonnen, waarbij ISO 27001 een eis was en dat konden we nu aantonen. Het heeft voor ons natuurlijk een commercieel belang, wij hebben klanten bij overheden en gemeentes die deze certificering van ons verlangen. Maar dat was niet de grootste drijfveer. Juist voor onszelf het proces goed in te richten en te weten dat je je zaken goed op orde hebt is nog belangrijker. Uiteindelijk gaan wel steeds meer bedrijven verlangen dat je je security goed op orde hebt. En dat is voor ons nu goed op orde.’
Hoe gaat dat nu? Jullie heb je ISMS opgezet, is jullie aanpak nu veranderd? Yvo vertelt: 'Het ISO-team bestaat nog steeds, we hebben nu een certificeringsoverleg in het leven geroepen. Waarbij wij zaken bespreken die wat met informatiebeveiliging te maken hebben maar ook de wederkerende taken die voortkomen uit de ISO-norm. Het fijne van de tool (PCT) is dat je een trigger ontvangt dat er een taak open staat. Omdat deze tool proactief met je meewerkt, wordt het ook opgenomen in je dagelijkse proces. En bespreek je dit en handel je ernaar. Het is niet meer zo dat je er dagelijks mee bezig bent, zoals met het opzetten van het ISMS maar het is wel onderdeel van je werk. Het komt wekelijks terug. Hoe staat het met openstaande taken, hebben we het awareness overleg gehad? Wat staat er nog op de planning?'
Heb jij tips voor mensen die ISO 27001 certificering willen behalen?
Onderschat het niet en geef de betrokken medewerkers de ruimte hieraan te werken. Doordat wij als ISO-team onze focus konden richten op de inrichting van het ISMS en de het certificeringstraject is het ons in een relatief kort tijdsbestek gelukt.
Zoek een expertisepartner zoals Protify om de ISO-materie toe te lichten. De materie kan best complex zijn, zeker wanneer je hier nog nooit mee in aanraking bent geweest.
Zorg dat je ISO 27001 onderdeel maakt van je bedrijfsproces.
Doe het om de juiste reden! Niet primair om meer commerciële activiteiten te kunnen ontplooien. Ja, het is een afgeleide, maar zorg dat dit niet de hoofdmoot is!
Zie het als een soort verzekering voor jouw organisatie op het gebied van informatiebeveiliging. Het geeft een gerust gevoel, doordat je door het jaar heen checks uitvoert.
Nu we gecertificeerd zijn, begint het eigenlijk pas. Vergelijk het met een rijbewijs: nadat je dit behaald hebt, leer je pas echt autorijden.
Hoe nu verder? Protify heeft ons ondersteund bij het opstellen van het ISMS en ons daar bewust van gemaakt. Nu trekken wij als ISO-team dat verder door in de organisatie. Nu we gecertificeerd zijn, begint het eigenlijk pas. Vergelijk het met een rijbewijs: nadat je dit behaald hebt, leer je pas echt autorijden. We zijn wel van plan om nog gebruik te maken van de diensten van Protify voor de eerstvolgende interne audit. Je merkt toch dat de vragen echt wel heel specifiek kunnen zijn, ik denk dat het in het eerste jaar nog te vroeg is om dit helemaal alleen te doen. Dus we worden graag nog aan de hand meegenomen. We kijken uit naar de verdere samenwerking.
Meer informatie? Neem contact met ons op als jij graag advies wil over ISO 27001 certificering voor jouw organisatie.