Het wordt steeds belangrijker om aan te tonen dat je als organisatie voldoet aan alle eisen rondom informatiebeveiliging. Kaliber besefte dit en besloot hun organisatie klaar te stomen voor het ISO 27001 certificeringstraject. Onlangs reikte DigiTrust het officiële certificaat uit.
Nienke van Heusden, Managing Director, en Erik Westra, Technical Director, leggen uit hoe de ISO 27001 implementatie Kaliber als organisatie een stukje professioneler maakt. Zij tonen hiermee ook naar hun opdrachtgevers aan dat zij op de juiste manier met informatiebeveiliging omgaan.
Meer aandacht voor informatiebeveiliging
Digitaal bureau Kaliber combineert strategie, creativiteit en technologie om interactie tussen mensen en merken te creëren. Nienke: “We helpen merken groeien en hun doelgroep in beweging te brengen. Zo’n 5 jaar geleden wijzigden we onze koers. We veranderden van projectorganisatie naar accountorganisatie. Wat inhoudt dat we meer inzetten op het bouwen van lange termijn relaties met onze opdrachtgevers in plaats van werken van project naar project. Onze focus ligt nu op het kraken van hun vraagstukken en bieden van de beste oplossingen.”
Erik: “De wereld verandert en grote bedrijven nemen de laatste jaren hun beveiliging serieuzer. Het zorgvuldig omgaan met gegevens is belangrijk. Er ontstaan namelijk steeds vaker datalekken en er worden meer cyberaanvallen gemeld. Ook onze opdrachtgevers willen dit goed geregeld hebben. Zij verwachten dan ook dat hun leveranciers hun informatiebeveiliging op orde hebben. Je zet jezelf als bureau buiten spel als je geen ISO-27001 certificering hebt.”
Helder in de communicatie
In de voorbereiding op toetsing aan de ISO 27001-norm werd Kaliber bijgestaan door Nieuwhuis Consult. Nienke: “Hun consultant werd in feite onderdeel van ons projectteam om ISO 27001 binnen onze organisatie te implementeren. Hij tipte ons ook DigiTrust als certificerende instelling. Dit op basis van goede ervaringen uit het verleden. Het eerste contact voelde direct goed. Er was een klik. DigiTrust communiceerde daarbij erg duidelijk over hoe de toetsing in zijn werk zou gaan.”
De normregels vertalen naar werkbare situaties
Het implementeren van de ISO 27001-norm binnen de organisatie vroeg om de nodige tijd en aandacht. Erik: “We wilden dat de implementatie organisatie breed gedragen werd en dat het geen technisch project zou worden. We konden draagvlak creëren door de noodzaak helder uit te leggen. Informatie is het goud van deze tijd. En wanneer je een zak goud in handen hebt, kun je die niet rustig op tafel zetten en weglopen. Door dit soort vergelijkingen probeerden we de soms ingewikkelde materie meer tastbaar te maken.”
Nienke: “Het belangrijkste was om de regels van de norm door te vertalen naar een werkbare situatie voor Kaliber. Zodat iedereen begreep wat er verwacht werd en onze organisatie wendbaar bleef. Terwijl wij bewijslast verzamelden en alle regelingen in drievoud uitschreven. Het was lastig om die vertaalslag te maken.”
Erik: “Dat hadden we vooraf inderdaad onderschat. Het was een flinke kluif om de wat rauwe tekst uit de norm voor iedereen logisch te maken en toe te passen binnen onze organisatie. Vervolgens moesten we ook een vertaaldocument opstellen zodat we wisten hoe onze maatregelen correspondeerden met de regels uit de norm.”
Zorgen dat alles goed gedocumenteerd werd
Gedurende de implementatie kwamen ze erachter dat ze goed op weg waren. Nienke: “Vanuit een klein projectteam namen we iedereen in het bedrijf mee in het traject. Via periodieke checks, bewustzijn sessies en presentaties. Daardoor wisten we op een gegeven moment dat we alles goed ingeregeld hadden. Het was vervolgens een kwestie van de juiste bewijslast verzamelen en documenteren.”
Erik: “De vooraf geschetste tijdlijn bleek niet realistisch. Het team was klein en het vergde veel werk. Dat we naast onze dagelijkse werkzaamheden moesten oppakken. Maar terugkijkend over het hele proces zijn we zeer tevreden.”
Duidelijke terugkoppeling tijdens de audit
Erik: “Vlak voor de audit waren we zenuwachtig. Het voelde alsof we op weg waren naar een mondeling examen. Je weet namelijk niet wat je kunt verwachten. De auditor van DigiTrust was ontspannen en stelde ons op het gemak. Hij had duidelijke agendapunten en koppelde steeds terug wat zijn bevindingen waren. Hij legde precies uit wat voor effect een bepaald resultaat had. Daarbij zat hij er niet om met zijn vingertje te wijzen. Met de regels van de norm in acht genomen, leidde hij ons op een prettige manier door de toetsing heen.”
Nu begint het pas
Nienke: “Waar we bij aanvang met name interesse hadden in het behalen van de certificering, merken we nu dat veel processen beter gestroomlijnd zijn. Dat helpt als er nieuwe mensen of freelancers binnenkomen. Kaliber is als organisatie professioneler geworden.”
Erik: “ISO is geen doel op zich. Het is een stempel die je krijgt wanneer je volgens een bepaalde manier werkt. Wat dat betreft lijkt het op een bevalling. Na de eerste audit begint het pas en moet je zorgen dat je organisatie zich blijft ontwikkelen. Het stemt ons trots dat we nu ISO 27001 gecertificeerd zijn.”
