Klantcase: ULU
Onze klant ULU vertelt over hun ervaringen met het ISO 27001 implementatietraject en onze outsourcingsdienst: Security Officer as a Service!
CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!
info@certificeringsadvies.nlWat als informatiebeveiliging al een belangrijke rol speelt binnen je organisatie, maar je vanuit je klant(en) tóch de eis krijgt voor het behalen van de ISO 27001 norm? Binnen een jaar? Voor die uitdaging kwam technologiebedrijf ULU te staan. ULU is een organisatie die applicaties bouwt op basis van data uit voertuigen. Daarnaast leveren ze ook nog eens eigen hardware om toegang te krijgen tot die datastroom. Met zo’n 30 medewerkers (waarvan ongeveer 70% engineer) bedienen zij allerlei soorten doelgroepen met (vaak) een stuk maatwerk. In deze klantcase vertelt Geertjan Berman, operationeel verantwoordelijk voor ULU, over hun ISO 27001 implementatietraject.
Alles weten over informatiebeveiliging?
Bekijk dan snel onze online gids over informatiebeveiligingsmanagaement en ontdek alles over informatiebeveiliging.
Informatiebeveiliging zit in ons DNA
Geertjan begint zijn verhaal: ‘Wij doen veel met informatie en werken continu met data. Informatiebeveiliging zit daardoor al lange tijd in het DNA van onze organisatie. Toch hebben we op een gegeven moment redelijk snel geconcludeerd dat we aan de slag wilden met ISO 27001. Dat had eigenlijk verschillende redenen. We kwamen het sowieso al vaak tegen bij tenders, waar wij dan allerlei documentatie aan het aanleveren waren om maar aan te kunnen tonen dat wij, ondanks dat we niet ISO 27001 gecertificeerd waren, wel net zo goed en veilig werkten. Buiten de tenders vonden we ISO 27001 ook bij ons bedrijf passen. Het kwam in een stroomversnelling toen een klant de certificering van ons (binnen een jaar) eiste. Dat was het laatste duwtje in de rug.’
Tip: Security Officer as a Service inhuren?
Outsourcing is aan de orde van de dag. Wij kunnen op allerlei manieren invulling geven aan het vervullen van de Security Officers rol bij jou in de organisatie.
Bekijk Security Officer as a Service dienst.
Complex traject
‘We begonnen het ISO 27001 implementatietraject met behulp van een andere certificeringspartner. Daarmee zaten we helaas niet op één lijn. Dat resulteerde in een traag en complex traject, terwijl wij erop hadden gehoopt dat het inhuren van een implementatiepartner het traject juist versnelt. We hebben toen de knoop doorgehakt om het traject met deze partner stop te zetten.’
‘Door het eerste traject hebben we geleerd dat we het ontzettend belangrijk vinden om iemand fysiek bij ons op kantoor aanwezig te hebben. Dan gaat iemand onze business ook beter begrijpen waardoor we stappen kunnen maken. We zijn toen terechtgekomen bij CertificeringsAdvies Nederland. Omdat onze tijd begon te dringen hebben we meteen het ‘zwaarste pakket’ afgenomen. Laurens Hekkink (adviseur Informatiebeveiliging) kwam in het begin twee dagen in de week bij ons langs. Dat hebben we zo langzaamaan af weten te schalen.’ vervolgt Geertjan zijn verhaal.
‘Het werd simpel gemaakt’
Geertjan: ‘De vorige partij had de implementatie zó complex gemaakt dat we het gevoel hadden dat we nog ver van ISO 27001 af stonden. Wat voor ons ontzettend hielp, is dat Laurens het heel simpel maakte. Alles deden we in kleine stapjes. En daarnaast liet hij ons ook inzien dat we eigenlijk al veel dingen goed deden. We moesten die dingen gewoon alleen nog opschrijven. Iedere sessie en implementatiedag namen we weer kleine stapjes. Laurens nam ons hierin aan de hand mee. Na een tijdje kom je er dan achter dat je eigenlijk al best ver bent.’
Vergroot bewustwording onder medewerkers!
Informatieveilig handelen gaat hand in hand met gedrag en handelen van medewerkers. Het is daarom ontzettend belangrijk om medewerkers wegwijs te maken met het oog op de gevaren van online handelen. Met onze e-learning Security Awareness train je jouw medewerkers en verklein je de risico’s.
De impact van ISO 27001 op de organisatie
‘Voordat we ISO 27001 behaalden waren we al serieus bezig met dataveiligheid en informatiebeveiliging. Er zijn daardoor weinig dingen die we door de implementatie heel anders zijn moeten gaan doen. Mensen meekrijgen ging daardoor ook wel vanzelf. Dat is natuurlijk ook het voordeel van een kleine onderneming. Je hoeft niet 100 mensen te informeren en zorgen dat ze het zelf doen. Wat dat betreft heeft de certificering dus niet zoveel impact gehad op onze organisatie. ‘
‘Waar het wél duidelijk positief effect op heeft gehad is een stuk professionalisering van ons bedrijf. Voorheen deden we wel goede dingen, maar schreven we ze niet op. Door het implementatietraject zijn we kritisch naar onze processen gaan kijken, zijn we hierover met elkaar in gesprek gegaan en hebben we op diverse vlakken optimalisaties doorgevoerd. Daarnaast hebben we ook extra aandacht geschonken aan awareness: begrijpen wat we doen, maar vooral ook waarom we het doen en waarom het belangrijk is. Dat hoeft niet eens heel complex te zijn, de simpele dingen tellen ook. Bijvoorbeeld je scherm locken wanneer je ervan wegloopt.’
‘Doordat we nu het ‘wat en waarom’ hebben opgeschreven kun je het ook bewijzen. Het is mooi als je het een auditor kan laten zien, maar je hebt er zelf ook echt baat bij. Als we over twee maanden denken ‘Hoe kwamen we ook alweer op dit idee?’, dan kunnen we dat gewoon teruglezen’.
Continu aandacht voor informatiebeveiliging
‘Inmiddels zijn we ISO 27001 gecertificeerd en hebben we ervoor gekozen om Laurens in te huren als Security Officer as a Service. We merken aan onszelf dat we snel weer overgaan tot de orde van de dag. Laurens houdt ons hierin scherp en brengt structuur aan. ISO 27001 informatiebeveiliging verdwijnt daardoor niet naar de achtergrond, maar blijft onderwerp van gesprek. Doordat we er continu mee bezig zijn, hoeven we er over 11 maanden ook niet weer over te gaan stressen omdat de audit er weer aan komt.’
Security Officer as a Service (SOaaS)
Met de implementatie van een managementsysteemnorm en het behalen van een certificering ontstaat er een nieuwe rol binnen je organisatie: De Security Officer. Iemand zal immers de verantwoordelijkheid en coördinatie op zich moeten nemen. Van de operationele planning en uitvoering van alle taken tot het opzetten en onderhouden van het managementsysteem en de certificering. Wanneer je de capaciteit (tijd en kennis) binnen je organisatie beschikbaar hebt kun je ervoor kiezen om deze rol intern toe te bedelen. Echter kiezen veel organisaties ervoor om deze rol uit te besteden aan een externe specialist. Voordelen die daarbij komen kijken zijn o.a.:
- Eigen medewerkers kunnen zich blijven focussen op hun kerntaken;
- De continuïteit van de operationele werkzaamheden rondom het managementsysteem is geborgd en niet afhankelijk van één interne medewerker die ziek kan worden of vertrekken;
- Een extern specialist neemt naast zijn expertise ook ervaring mee vanuit andere organisaties;
- Bevindingen van een externe specialist worden door medewerkers vaak meer ter harte genomen dan die van een interne collega (vreemde ogen dwingen);
- De contractvorm van een Officer as a Service is flexibeler dan die van een medewerker in loondienst. Het aantal contractuele uren kan naar behoefte worden op- of afgeschaald.
‘Daarnaast zien we veel toegevoegde waarde in het inhuren van Laurens als Security Officer. Hij weet alles over onderwerpen als wetgeving en privacy bijvoorbeeld. Sterker nog: hij moet het weten! Hij heeft daarnaast bij CertificeringsAdvies Nederland intern ook allerlei sparringspartners en deskundigen. Hij (en daardoor wij ook) is op die manier altijd op de hoogte van de nieuwste ontwikkelingen. Dat zouden wij zelf op eigen houtje nooit kunnen. Daar zijn we ook te klein voor. Stel, we stellen intern wel iemand aan als Security Officer, hoe zorgen wij er dan voor dat hij in zijn eentje ook expert blijft op dit gebied?’
Geertjan sluit af: ‘Ondanks dat Laurens een externe deskundige is die wij inhuren, is hij al helemaal ‘ingeburgerd’. Hij zit bij ons op kantoor tussen de collega’s en luncht bijvoorbeeld ook met ons mee. Iedereen kent hem, kan hem bereiken en kan hem vragen stellen. Andersom doet Laurens dat ook. Dat zorgt ervoor dat iedereen enthousiast en op de hoogte is van hetgeen waar we mee bezig zijn. We zijn met zijn allen ontzettend trots op onze certificering én natuurlijk ook het niveau van informatiebeveiliging in ons bedrijf.’
CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!
info@certificeringsadvies.nlAlles weten over outsourcing?
Kom in contact of vraag vrijblijvend een offerte aan!
- Snel contact
- De voordelen van een Officer as a Service
- De bijbehorende kosten
- Ons OaaS programma