Zoeken
Onze Uitgevers
Rosanne Zijerveld-Bader
Nick van Baaren
Marlon de Jager-Wessel

Nieuwe ISO 27001 certificering bevestigt veilige workflow

Regelmatig komt in het nieuws dat ondernemers slachtoffer zijn geworden van cybercriminaliteit. Ondernemers Stephan Jansen en Pieter Reijneker van Scala Solutions uit Huizen zijn zich hier maar al te goed van bewust en besloten daarom hun bedrijf te laten certificeren met het toonaangevende ISO 27001 certificaat voor informatieveiligheid. Na enkele jaren van voorbereiden is het zover en mogen de heren zich ISO gecertificeerd noemen. 

‘De voorbereidingen voor de certificering startten rond 2018’, vertelt Stephan. ‘We zijn in feite een relatief kleine organisatie voor een ISO-certificering, maar we merkten dat klanten er wel meer naar gingen vragen. Doordat we zelf groeien, krijgen we vaker met klanten te maken die gevoelige data hebben. Die data beheren wij en we voelen ons verantwoordelijk om dit goed te beveiligen. Nu zijn we ons daar sowieso altijd al bewust van, maar voordeel van een ISO-certificering is dat je dat aantoonbaar maakt voor opdrachtgevers. Voorheen moest er voor sommige klanten eerst een audit plaatsvinden, alvorens ze hun data aan ons overdroegen. Daar kwamen we altijd glansrijk doorheen, maar het kost een klant wel tijd. Nu is die audit bij voorbaat gedaan en zien opdrachtgevers gelijk: daar zit ik goed.’

Veranderingen
Om gecertificeerd te raken, moeten alle zaken rondom informatieveiligheid op orde zijn. Daarvoor moesten bij Scala Solutions verschillende veranderingen worden doorgevoerd. ‘Toch hoefden we niet heel veel aan te passen, vindt Pieter. ‘Het zat ‘m vooral in kleine dingen. Zo hadden we allemaal één toegangscode voor de deur en nu heeft iedereen een persoonlijke code. Hetzelfde geldt voor algemene wachtwoorden, die we nu centraal beheren in een wachtwoordkluis en daardoor eenvoudig kunnen aanpassen als dat nodig is. Dat soort kleine aanpassingen zijn goed om te doen en dragen wel degelijk bij. Toch verandert er tegelijkertijd niet zoveel in onze werkwijze. Er is altijd al grote alertheid geweest onder de collega’s, dus daar hoeven we gelukkig niets aan te veranderen.’

Persoonlijk
‘De grootste wijziging was het in gebruik nemen van een ticketsysteem’, vertelt Stephan. ‘Dat gebruiken we voornamelijk als interne tool om zaken vast te leggen. Voor onze klanten verandert daarin niets. We vinden het belangrijk dat we persoonlijk contact hebben met onze opdrachtgevers. Wie ons belt krijgt meteen de helpdesk aan de lijn. Daar zitten collega’s met verstand van zaken, die veel vragen gelijk kunnen oplossen. Die korte lijnen en snelle service willen wij gewoon blijven bieden. Voor de ISO-certificering was het echter noodzakelijk om goede documentatie te hebben, vandaar dat een ticketsysteem voor intern gebruik noodzakelijk was. We zullen klanten nooit vragen om via dat systeem hun vragen in te sturen. Dat past niet bij ons.’

‘We zijn een relatief kleine organisatie voor een ISO-certificering, maar we merkten dat klanten er wel meer naar gingen vragen’

Goede crisis
Stephan vervolgt: ‘De invoering van het systeem was vorig jaar mei. In de eerste maanden van de lockdown werden grote migraties uitgesteld en konden we geen klanten bezoeken. Dat gaf mij de tijd en gelegenheid om samen met onze kwaliteitsmanager Chris het hele ticketsysteem in één keer te implementeren. Het was uiteindelijk slechts twee maanden dat we het door de lockdown wat rustiger hebben gehad, want sinds juni vorig jaar loopt eigenlijk alles weer door als vanouds. Het was fijn dat we in die rustige maanden dat hele project al hadden aangepakt. Never waste a good crisis, zullen we maar zeggen!’

Backup
Deze zomer implementeerde Scala Solutions ook een compleet nieuw backupsysteem voor hun servers. ‘Dat was voor ISO niet nodig, maar vinden we wel erg belangrijk’, vertelt Pieter. ‘De grootste dreiging voor het mkb op het gebied van cybercriminaliteit is momenteel ransomware. Ik hoor bedrijven vaak zeggen dat bij hen niets te halen valt. Dat kan best zo zijn, maar het gaat criminelen vaak niet eens om jouw data. Wanneer je computer en servers vergrendeld worden, kun je zélf nergens meer bij en vragen criminelen bitcoins om te ontgrendelen. Je hele bedrijf ligt dan simpelweg plat. Zonder backup zit je dan klem en moet je bijna wel betalen. Soms is zelfs de backup besmet met dezelfde gijzelsoftware. Dan ben je nog verder van huis. Wij hebben het nu zo ingericht dat dat laatste bijna niet kan gebeuren. Ik zeg bewust bijna, want zo snel als beveiligingsopties ontwikkelen, ontwikkelen hackers zich ook. Het blijft een kat- en muisspel, waarbij je continu op je hoede moet zijn. Met het huidige systeem voldoen we echter weer aan de modernste normen om veilig én snel backups te maken en terug te zetten. Want de capaciteit van de backups is ook enorm vergroot. Het oude systeem had een nacht nodig om alles bij te werken, maar met onze nieuwe techniek gaat dat vele malen sneller.’

Scala Academy
‘Nu de ISO rond is, hebben we ook de Scala Academy in het leven geroepen’, vertelt Stephan. ‘Iedere medewerker moet onze nieuwe normen en werkwijze kennen. Omdat we het afgelopen jaar veel vanuit huis werkten, hebben we instructievideo’s opgenomen om dit aan alle collega’s uit te leggen. Nieuwe collega’s en stagiaires krijgen deze video’s vanaf nu eerst te zien, als onderdeel van hun inwerktraject. Die video’s vormen de basis van onze Academy, die we de komende tijd gaan uitbreiden. Collega’s kunnen hierin verder trainingen volgen op gebied van techniek en productkennis, maar we zullen ook trainingen toevoegen op het gebied van softskills, zoals communicatie. Zo verrijken we onze kennis en kunnen we blijven groeien.’

InterviewIT & ICTICT/ ITUtrecht