Terugblik webinar: Kennissessie Scienta x Brand Compliance. Hoe haal je ISO 27001 zonder stress?

Yes, die prospect wil je nieuwste klant worden! Bijna alles is doorgesproken en de offerte is praktisch ondertekend. ‘Graag willen we alleen zien wat jullie beleid is rondom informatiebeveiliging’.

Dat wordt komende tijd heel veel energie steken in aantonen dat je je informatiebeveiliging op orde hebt. Je doet daar natuurlijk al van alles mee maar dat staat niet ergens op één plek om zo even makkelijk te delen. Terwijl je concurrent alleen een een mail met een ISO certificaat hoeft te sturen, moet jij een team samenstellen die alles uitzoekt.

Dat is precies één van de grootste redenen om voor een ISO 27001 certificaat te gaan. Je onderscheid je van je concurrenten en de waarde van je organisatie vermeerdert. Maar waarom staan organisaties niet massaal in de rij voor dit certificaat en wat levert het verder nog op? Want feit is, je haalt zo’n certificaat niet 1, 2, 3… Hier ging het webinar ‘Hoe haal je ISO 27001 zonder stress’ over.

Marieke opent het webinar en vertelt over haar achtergrond in de Sales, haar ervaringen met klanten en hoe we zelf, bij Scienta, ons ISO 27001 certificaat haalden in oktober 2021.

Bekijk het webinar terug:

Jade Reilink van Brand Compliance neemt het woord en vertelt als accountmanager dat ze eerste aanspreekpunt is voor klanten. Haar focus ligt op informatiebeveiliging. Om meteen met de deur in huis te vallen: ISO 27001 is niet het meest boeiende onderwerp. “Hoe zorg je ervoor dat het leuk blijft?”, vraag Marieke zich hardop af en Jade legt uit hoe zij haar dagelijkse werk interessant houdt, voor zichzelf en haar klanten.

“Het is taai inderdaad, maar wij zorgen voor een hele persoonlijke manier van werken. Zodat je als klant precies weten hoe het traject eruit ziet. Events, webinars doe ik ook graag. Zo blijft het interessant.”

ISO 27001 is voor alle soorten organisaties, alle sectoren en van multinational tot eenmanszaak. “De vraag is wel of je terugkrijgt, wat je er aan moeite en energie in stopt”, merkt Jade op. Een ISO certificaat haal en behoud je niet zomaar.

Kort gezegd is ISO 27001 voor alle organisaties geschikt die informatie willen beveiligen. Of de bijkomende risico’s van het beheren van informatie nou intern of extern zijn, beveiligen van informatie moet je al snel. “Denk daarbij niet alleen aan digitaal. Ook alles op papier, wat voor sloten je gebruikt. Wat van toepassing is verschilt per organisatie, zolang je maar efficiënt met informatiebeveiliging aan de slag wil is ISO 27001 iets voor jouw organisatie.”

AVG of GPDR gaat over persoonsgegevens. 27001 is meer, maar het is er wel een onderdeel van legt Jade uit. Twee vliegen in één klap dus. 

“Dat verschilt”, begint Jade. “Soms haal je een certificaat in drie maanden, anderen doen er ruim een jaar over. Het hangt af van welke en hoeveel risico’s er zijn.”

Jade gaat in op het doel van ISO 27001. “Waar staat een ISMS van een organisatie? Een ISMS is een een systeem en je beoordeelt je processen op risiconiveau. Wat moet gebeuren en dan kijk je verder. Dat is waar we naar kijken.”

Marieke vertelt over de ervaring van Scienta. “Wij deden er ongeveer een jaar over, maar een klant van ons was er drie maanden mee bezig.” Gemiddeld duurt het acht maanden tot een jaar voor organisaties om hun certificaat te halen. “Sneller is niet beter”, benadrukt Jade. “Vaak zie je juist dat die bedrijven die het snel haalden, een lastigere eerste audit krijgen een jaar later.”

Marieke: “Wij kunnen zelf heel goed rijden, maar hadden ons rijbewijs nog niet.” Dat ging wringen. Scienta besloot om voor het ISO 27001 certificaat te gaan omdat steeds meer potentiële klanten erom vroegen. Ervaren wat klanten ook moeten doormaken en hoe we Scienta hier zelf voor kunnen gebruiken, is dan een extra mooi meegenomen.

Kwaliteit verbetert hierdoor. Maar ook collega’s werken efficiënter. “Je beschermt je kennis en personeel”, legt Jade uit. “Je ligt als ondernemer dus minder wakker. Waarom toch die berg?”, merkt Marieke op. Jade: “Het kost tijd. Personeel moet er energie in steken.”

“Een andere reden is het budget. Het eerste jaar kost het veel tijd en maak je de meeste kosten. Dat wordt na het eerste jaar wel minder maar nog steeds. Daarna komt het onderhoud met een jaarlijkse toetsing. Ook zie ik dat klanten heel veel en heel druk alles willen beschrijven en daardoor vastlopen, opgeven en geen hulp krijgen. Je kan het moeilijker maken dan nodig.”

Marieke herkent dat. “We wisten het en toch gebeurde het dat we vastliepen en als braafste jongetje van de klas te veel gingen doen.” Jade geeft als tip hiervoor: “Bedenk dat we een managementsysteem toetsen (ISMS), niet hoeveel risks je beheerst. Je hoeft dus niet alles al opgelost te hebben. Wel moet alles uitgelegd worden. Daarbij kan je de 27005 als extra bijlage gebruiken.”

Bij Scienta doen we dat zo:

“Auditors worden hier altijd heel blij van. Mensen erbij betrekken kan Scienta heel goed”, vertelt Marieke erbij. Dat snapt Jade wel. “Wat je hier heel goed ziet is dat een kwaliteitsmanagementsysteem een manier van werken is en niet alleen een stuk software. Het geeft je houvast en structuur, maar je moet er zelf mee aan de slag om het te vullen.”

Betrokkenheid is van belang, na die certificering zwakt het erg af. De eerste controle audit is het lastigst. “Het verslapt en het is niet meer top of mind. Een breed draagvlak is key daarin, dus hou het levend bij je collega’s”, weet Jade.

Een andere valkuil is alle beheersmaatregelen toepassen zonder die te koppelen. Jade legt uit: “Je kan zes sloten op een deur zetten, maar als vervolgens je collega’s er 20 minuten over doen om binnen te komen ga je je doel voorbij. Heb je dan goed de Verklaring van Toepassing (VVT) toegepast? Is het een het gevolg van het ander?” De VVT is een document waarin je de maatregelen van toepassing verklaart of niet en de uitzonderingen. “Een houvast en de basis van je ISMS.”

Je hebt er vast over gehoord, ISO 27002. Maar hoe, wat en waar? ISO 27002 is een bron van beheersmaatregelen die je kunt implementeren, maar nog niet verplicht. 27001 annex A is echt verplicht. Dat is een bijlage van 27001 en die is wel verplicht.

27002 mag je dus gebruiken, maar moet niet. “Je mag zelfs daarnaast je eigen beheersmaatregelen bedenken. 27002 is niet te certificeren, het is alleen een richtlijn.” Legt Jade uit. Hier vind je daar meer over.

Een goede en interessante awareness training is een handige en creatieve manier om de betrokkenheid te vergroten voor je medewerkers. Collega’s hou je op deze manier scherp. Awareness trainingen kan je met ellenlange powerpoints doen maar je kan het ook zo insteken dat je het nooit meer vergeet.

“Bij Scienta hebben daar een mooi voorbeeld van”, vertelt Marieke. “Twee teams tegenover elkaar, technisch tegenover commercieel team. Iedereen dacht ‘dat wint het technische team’, die hacken ze wel. Maar als commercieel team hebben we een familielid verkleed als schoonmaker het pand binnen laten gaan en gezorgd dat één van de technische medewerkers de deur openliet. Toen had het commerciële team gewonnen. Als je het dan hebt over awareness, dat vergeet ik nooit meer.”