Klantcase: ConnectWorks
Onze klant ConnectWorks vertelt over hun ervaringen met onze outsourcingsdienst: Security Officer as a Service!
CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!
info@certificeringsadvies.nlConnectWorks is een IT-specialist, opgericht in 2004 door Wouter van Weeren en Mark Maathuis. Inmiddels is hun organisatie uitgegroeid naar een partij van zo’n 50 medewerkers, waarbij de focus wordt gelegd op de menselijke kant van ICT. Aangezien ConnectWorks aantoonbare kwaliteit en informatieveiligheid hoog in het vaandel heeft staan, is de organisatie zowel ISO 27001 als NEN 7510 gecertificeerd. Wouter, medeoprichter van ConnectWorks vertelt: “We willen alles altijd goed doen. Zowel voor onszelf als voor anderen. Dat zit in onze aard. Op een gegeven moment gingen we onszelf afvragen: Hoe kunnen we klanten laten zien dat we veilig met hun data omgaan? En dat we processen hebben opgesteld en maatregelen hebben getroffen om hun gegevens te beschermen? En daarnaast kregen we, vooral vanuit de zorgsector, vragen naar certificeringen. Een mooie oplossing daarvoor was om aan de slag te gaan met de ISO 27001 en NEN 7510 normen. Dit hebben we destijds gedaan met ondersteuning van Laurens Hekkink (adviseur informatiebeveiliging bij CertificeringsAdvies Nederland (CAN)). Inmiddels vervult hij bij ons de rol als Security Officer.”
Kom alles te weten over informatiebeveiliging!
ISO-implementatie vergt tijd en energie
Wouter: “Toen we beslisten dat we met de ISO 27001 en NEN 7510 normen aan de slag zouden gaan, hebben we ervoor gekozen om zelf de implementatie ervan te gaan doen. We hebben toen wel externe hulp ingeschakeld zodat vanuit de normen werd uitgelegd wat wij moesten gaan doen. We zijn toen in contact gekomen met Laurens. Deze manier van (samen)werken is jarenlang goed gegaan. Tot nze organisatie op een gegeven moment groeide en functies veranderden. Daardoor kwamen we steeds verder van de operatie af te staan. Een prima ontwikkeling, maar dat zorgde ervoor dat het ‘ISO-stuk’ bij mij kwam te liggen. Daardoor kwamen er ook een hoop taken bij mij terecht. Dat waren voor mij echt ‘moetjes’.
Zeker toen we in 2021 een organisatie overnamen die ook ISO 27001 gecertificeerd was, werd het een lastig verhaal. We moesten toen dus twee verschillende Information Security Management Systems (ISMS) in elkaar gieten. Dat was niet meer voor mij weggelegd en daarnaast had ik er ook de tijd niet voor. Binnen onze organisatie hadden we hier ook niemand beschikbaar voor en buiten dat heerst er ook schaarste in dit vakgebied. Toen hebben we gezegd: waarom besteden we het niet gewoon uit? We hebben een goede klik met Laurens en hij weet hoe wij als organisatie werken. Dus sindsdien is Laurens bij ons werkzaam als Security Officer (as a Service).”
Security Officer as a Service (SOaaS)
Met de implementatie van een managementsysteemnorm en het behalen van een certificering ontstaat er een nieuwe rol binnen je organisatie. Iemand zal immers de verantwoordelijkheid en coördinatie op zich moeten nemen. Van de operationele planning en uitvoering van alle taken tot het opzetten en onderhouden van het managementsysteem en de certificering. Wanneer je de capaciteit (tijd en kennis) binnen je organisatie beschikbaar hebt kun je ervoor kiezen om deze rol intern toe te bedelen. Echter kiezen veel organisaties ervoor om deze rol uit te besteden aan een externe specialist. Voordelen die daarbij komen kijken zijn o.a.:
- Eigen medewerkers kunnen zich blijven focussen op hun kerntaken;
- De continuïteit van de operationele werkzaamheden rondom het managementsysteem is geborgd en niet afhankelijk van één interne medewerker die ziek kan worden of vertrekken;
- Een extern specialist neemt naast zijn expertise ook ervaring mee vanuit andere organisaties;
- Bevindingen van een externe specialist worden door medewerkers vaak meer ter harte genomen dan die van een interne collega (vreemde ogen dwingen);
- De contractvorm van een Officer as a Service is flexibeler dan die van een medewerker in loondienst. Het aantal contractuele uren kan naar behoefte worden op- of afgeschaald.
Meer toegevoegde waarde door outsourcing
Laurens (Security Officer) vertelt: “Als Security Officer as a Service ben ik verantwoordelijk voor de continue verbetering van het ISMS van ConnectWorks. In deze rol voer ik maandelijks onderhoud uit met betrekking tot het managementsysteem (ISO 27001 en NEN 7510) om de organisatie te ontzorgen. Dit omvat een breed scala aan werkzaamheden, waaronder het faciliteren van SWOT- en stakeholderanalyses, het schrijven van nieuw- en het verbeteren van bestaand beleid op het gebied van informatiebeveiliging en het begeleiden van risicoanalyses.”
Wouter vult aan: “Met de groei van je bedrijf ben je op allerlei vlakken aan het professionaliseren. Dus de ontwikkelingen van je ISMS moeten ook gewoon doorgang vinden. En daar is kennis en tijd voor nodig. Nu we deze rol hebben uitbesteed halen we hier meer toegevoegde waarde uit. We hebben iemand die zich volledig focust op ons ISO 27001 en NEN 7510 ISMS. Het is dus niet iets wat ‘erbij hangt’, maar het is écht onderdeel van onze organisatie.”
“Handvaten om je organisatie naar een hoger niveau te tillen”
“Ik ben allergisch voor de uitspraak ‘omdat het moet van ISO”, aldus Wouter. Zo zit zo’n norm niet in elkaar. Je moet het juist zien als handvaten om je organisatie naar een hoger niveau te brengen. Uit onze eigen ervaring merken we dat je aan de ‘voorkant’ nog niet direct doorhebt wat voor impact bepaalde processen en beheersmaatregelen kunnen hebben. Dan denk je: wat een gedoe… en voor de klant ook. Maar later pluk je hier echt de vruchten van. Als ik bijvoorbeeld kijk naar onze eigen procedure rondom password resets, zie ik dat het zowel ons, maar ook zeker de klant in de afgelopen jaren al diverse keren beschermd heeft. Je ziet dan dat je beheersmaatregel nuttig is geweest. En doordat je de handvaten en richtlijnen van een norm volgt, kun je uiteindelijk ook met zekerheid garanderen dat je zaken goed geregeld hebt.”
Laurens: “Het mooie aan de samenwerking met ConnectWorks is dat we precies hetzelfde tegen ISO/NEN-normen aan kijken: je organisatie is het uitgangspunt, niet de norm. Geen onnodige ballast omdat het moet van ISO! Ik werk dan ook nauw samen met de directie en stel in samenspraak met hen doelstellingen op die ik vervolgens monitor om de voortgang van het ISMS te bewaken. Die samenwerking met de directie is essentieel voor mij om ervoor te zorgen dat we zoveel mogelijk waarde uit hun ISMS halen. Ik begeleid daarnaast ook grote wijzigingen om ervoor te zorgen dat deze gecontroleerd worden doorgevoerd. Een belangrijk onderdeel van mijn werk is daarnaast het plannen van in- en externe audits. Ik begeleid de uitvoer van deze audits, registreer de bevindingen den monitor de opvolging van de verbeteringen. Het is mijn verantwoordelijkheid om ervoor te zorgen dat alle incidenten en datalekken worden geregistreerd en opgevolgd.”
“Ons ISMS sluit aan op onze organisatie”
“Een belangrijke factor voor ons eigen ISMS is dat het volledig aansluit op onze denkwijze en onze manier van werken. Dat is essentieel. Het draagvlak is dan groter en de ‘ballast’ wordt getransformeerd naar toegevoegde waarde. Laurens kent de normen daarnaast goed en hij weet wat wij als organisatie doen en hoe wij naar bepaalde dingen kijken. Hij heeft feeling met ons. Dat scheelt. Laurens helpt ons voornamelijk met – voor ons het grootste euvel van de ISO 27001 norm – alle dingen die we doen en de manier waarop we dat doen vastleggen. Hij helpt ons dit stuk inzichtelijk te maken. Vooral zijn methodische manier van werken is iets dat ik prettig vind. En wat natuurlijk ook meehelpt is dat we een goede klik hebben met Laurens.” vertelt Wouter verder.
Laurens voegt daaraan toe: “Het is altijd leuk om samen te mogen werken met organisaties die gemotiveerd zijn om er een succes van te maken. Je merkt dat het draagvlak dan hoger is en dat je sneller stappen kunt maken. Dit zijn inspirerende voorbeelden voor andere organisaties.”
Transitie ISO 27001:2022
Dit jaar gaat ConnectWorks in samenwerking met CAN aan de slag met de transitie naar de ISO 27001:2022. Laurens sluit af: “Als SOaaS blijf ik me inzetten om ervoor te zorgen dat het ISMS van de organisatie voortdurend wordt verbeterd en dat de organisatie volledig voldoet aan de geldende normen en voorschriften op het gebied van informatiebeveiliging.”
Ook de ISO 27001:2022 transitie maken?
Wouter sluit af: “Uiteindelijk gaat het om het kunnen garanderen van kwaliteit. Zowel binnen je organisatie als naar buiten toe. We zijn continu aan het verbeteren en dat tilt onze organisatie echt naar een hoger niveau.”
CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!
info@certificeringsadvies.nlAlles weten over outsourcing?
Vraag een offerte aan voor de Security Officer as a Service!
- Geheel vrijblijvend
- Advies op maat
- Alle mogelijkheden
- Snel contact