Klantcase: Infield ICT

“Het managementsysteem is letterlijk van iedereen in onze organisatie. Door de manier waarop we het hebben aangevlogen worden zowel de werkwijze als het systeem echt door iedereen gedragen.” Zo vertelt Martijn Stuart, eigenaar van Infield ICT. Puur vanuit intrinsieke motivatie gingen hij en zijn team aan de slag met de implementatie van ISO 27001, de norm voor informatiebeveiliging. En met succes! Op 24 november 2021 behaalde Infield ICT, met ondersteuning van CertificeringsAdvies Nederland, het certificaat en daar plukt de organisatie nu al de vruchten van. In deze klantcase vertelt Martijn Stuart over zijn ervaringen.

Infield ICT is een snelgroeiende organisatie die inmiddels ruim tien jaar bestaat. Met name de laatste jaren maakt de organisatie een flinke groei door. Sinds 2015 is men gegroeid van drie naar 17 medewerkers. Infield ICT is gespecialiseerd in ICT-dienstverlening voor grote en kleine bedrijven. De nadruk ligt op de cloud. Denk daarbij aan geautomatiseerde cloud-infrastructuren. Op die manier kan Infield ICT haar klanten herhaalbaar en onderhoudbaar een veilige omgeving bieden op basis van Microsoft Azure. Daarnaast begeleidt Infield ICT haar klanten met de transitie naar de cloud. Tot slot behoort ook managed dienstverlening op zowel de cloudplatformen die zij zelf bouwen alsmede op bestaande cloud en on-premise omgevingen, tot het dienstenpakket.

Martijn Stuart is directeur, (project-)manager en infrastructuurarchitect met meer dan vijfentwintig jaar ervaring in ICT, variërend van werkplekbeheer en architectuur tot projectleiding en productmanagement. Martijn: “Een branche waarin we erg actief zijn is de zorgsector. Daar weten we inmiddels aardig de weg. Zo managen we onder andere 24/7 een ziekenhuis op Curaçao. Voor hen hebben we alles ontworpen, gebouwd, gemigreerd en ingericht. We verzorgen het volledige beheer op afstand.”

“Op gegeven moment hebben we besloten om aan de slag te gaan met de implementatie van ISO 27001”, zo vertelt Martijn. “Dit wilden we echt puur vanuit onze intrinsieke motivatie. Enerzijds omdat we onze eigen processen, werkzaamheden en manier van werken wilden professionaliseren. Informatiebeveiliging is van groot belang met betrekking tot IT-systemen en tevens een handvat om de interne organisatie te professionaliseren. Anderzijds is het een goed middel om extern te laten zien dat wij informatiebeveiliging niet alleen pretenderen serieus te nemen, maar dat ook aantoonbaar doen. Zo kunnen we kwalitatief goede dienstverlening bieden en naar buiten toe laten zien dat we veilig en zorgvuldig met informatie omgaan.”

De consultants van Infield ICT hebben regelmatig zelf klant-organisaties, waaronder diverse ziekenhuizen, ondersteund bij de implementatie van een managementsysteemnorm zoals ISO 27001 of NEN 7510. Martijn: “Doordat we vaak zelf aan de andere kant van de tafel hebben gezeten, wisten we vanuit die ervaring hoeveel werk er bij een ISO 27001 implementatie komt kijken. We zijn er daarom niet te licht ingestapt. Ons vak is ICT en cloud automation. ISO-implementatie is een ander vak. Om die reden hebben we vanaf dag één gezegd: we doen het zelf, maar wel met hulp van een coach. Zo zijn we op zoek gegaan naar een partner die ons gedurende het hele ISO 27001 traject kon ondersteunen, zowel in de vorm van advies als met behulp van ondersteunende systemen.

Na een selectieproces hebben we gekozen voor CertificeringsAdvies Nederland (CAN) als partner. De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan. Bovendien zijn we bij Infield ICT erg pragmatisch ingesteld. Het is heel makkelijk om je bij ISO te verliezen in regels, richtlijnen en ‘pakken papier’. Dat is precies wat we niet wilden. We wilden het juist toepasbaar maken. Bij dat alles sloot de aanpak van CAN heel goed aan. Zo zijn we met elkaar aan de slag gegaan.

De consultants van CAN zijn altijd heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats. Doordat je dit soort handvaten krijgt aangereikt, werkt dat een stuk makkelijker dan wanneer dat niet het geval is. Zoals gezegd hebben we alles zelf opgezet met behulp van de coaching van CAN. Op sommige momenten hadden we vanwege tijdsdruk of beperkte kennis behoefte aan meer ondersteuning van de consultant. Dat was altijd op korte termijn mogelijk. Die flexibiliteit van op- en afschalen naar behoefte was erg prettig.”

Martijn vervolgt zijn verhaal: “CAN heeft ons gecoacht en ondersteund om in eerste instantie het beleid rondom informatiebeveiliging vorm te geven. Vervolgens zijn we samen aan de slag gegaan met het uitschrijven van de beheersmaatregelen en van daaruit hebben we letterlijk alles vanaf de grond aan opgebouwd. Het was daarbij heel prettig dat er via CAN een ondersteunend systeem beschikbaar was in de vorm van Atlassian Confluence waarin we ons Information Security Management System (ISMS), samen met CAN, hebben opgezet. Voor ons was het belangrijk bij die keuze dat het vanaf dag één ons eigen systeem zou worden en dat het geen ‘ISO handboek’ zou zijn. We wilden het echt doorleven en implementeren.

Door deze manier van werken werden we gedwongen om er goed over na te denken en er echt ons systeem van te maken. Vervolgens was het erg leuk dat dit tijdens de audit goed naar voren kwam. De auditor kon duidelijk zien dat het systeem van invloed was en iedereen eraan heeft meegewerkt. Het managementsysteem is letterlijk van iedereen in onze organisatie. Door de manier waarop we het hebben aangevlogen worden zowel de werkwijze als het systeem echt door iedereen gedragen.”

“We plukken nu al de vruchten van onze aanpak”, zegt Martijn enthousiast. “We voeren daadwerkelijk uit wat op papier is gezet. Gevolg is dat processen soepeler lopen, er meer gedocumenteerd wordt en we besluiten beter vastleggen. Mensen binnen de organisatie zijn zich echt (meer) bewust van het feit dat ze werken met informatie van klanten. Er is echt een cultuur ontstaan waarin mensen, zonder wijzend vingertje, elkaar aanspreken op veilig omgaan met informatie.

Er heerst een open sfeer waarin mensen elkaar durven aan te spreken op verbeterpunten met betrekking tot informatiebeveiliging. Dat is vaak een ondergeschoven kindje. Gelukkig is dat bij ons niet het geval en dat is belangrijk: je kunt wel regels en richtlijnen opstellen, maar het gaat om het gedrag van mensen. Door die cultuur zijn we nu al aan het groeien. Er staan allerlei verbetertickets open waarmee we continu (kunnen) verbeteren. We staan nooit stil. Stilstand is achteruitgang, zeker in IT. Elk systeem dat er is moet continu verbeterd worden en dat kan alleen maar als mensen elkaar aanspreken op dingen die beter kunnen.”

Hand in hand met de ISO 27001 implementatie is er ook een security awareness strategie opgezet. Martijn: “Zo doen we bijvoorbeeld phishing testen waarbij neppe phishing mails worden verstuurd om te kijken hoe mensen daarop reageren. Dat soort zaken worden besproken tijdens maandelijkse overleggen. Ook in ieder persoonlijk evaluatiegesprek en bij elke stand-up komt security (awareness) altijd naar voren. Soms heel uitgebreid, soms puur met focus op wat goed en fout gaat en daarnaast houden we viermaal per jaar een awareness sessie met focus op de zaken die van belang zijn en de risico’s kunnen beperken. Al met al is security awareness geïntegreerd in onze volledige overlegstructuur.

Op 24 november 2021 heeft Infield ICT het ISO 27001 certificaat behaald waarbij de auditor geen enkele bevinding of verbeterpunt heeft aangedragen. Martijn: “We zijn er in totaal 18 maanden mee bezig geweest. Dat is niet erg, omdat het onze intentie was om het goed op te zetten en er echt de tijd voor te nemen. Uiteindelijk kost het dan behoorlijk wat investering in tijd en geld, maar dat is het zeker waard. We plukken daar nu de vruchten al van, zowel intern als extern. Onze klanten zijn er erg blij mee. We kunnen bij opdrachtgevers die een ISO 27001 certificering eisen direct aantoonbaar maken dat we gecertificeerd zijn. Dat is een groot voordeel.

We gaan nu, samen met CAN, verder met het uitbouwen van onze informatiebeveiliging. Al met al zijn we ontzettend tevreden over de samenwerking met CAN. CAN is van harte aan te bevelen als partner!”