VacaturesWat is een onmisbare pijler voor een IT-bedrijf? Informatiebeveiliging – zeker met de toenemende dreiging van cyberaanvallen. ISO 27001 helpt organisaties om hun informatie veilig en gestructureerd te beheren, zodat vertrouwelijkheid, beschikbaarheid en integriteit goed geborgd zijn. Maar hoe zet je zo’n systeem in de praktijk op? Ideo en dochterbedrijf BlueHike gingen het traject met Diks Process Support aan. Bart Elshout, CISO bij Ideo en BlueHike, vertelt hoe dat verliep.
Belang van de ISO 27001
Ideo optimaliseert service- en onderhoudsprocessen binnen SAP. Dochterbedrijf BlueHike richt zich op serviceprocessen in Salesforce. “In totaal werken er ruim 90 mensen bij ons voor internationale organisaties die in de Benelux gevestigd zijn. Voor beide bedrijven is goede informatiebeveiliging van groot belang.” De ISO 27001-certificering dook bij aanbestedingen steeds vaker op als eis. “Je kunt een externe partij de documentatie laten opstellen, maar intern moet het gedragen worden. Personeel moet begrijpen wat de inhoud betekent en hoe je volgens de norm werkt. Daarom wilden we juist veel zelf doen en ondersteuning krijgen in de vorm van coaching en begeleiding. Zo blijft het hangen en blijft het ISMS ook intact. Omdat we regelmatig samenwerken met multinationals, neig je al snel naar té uitgebreide documentatie of tooling. Dan is het fijn als iemand meedenkt over wat nu écht noodzakelijk is.” Die sparringpartner vond hij bij Diks Process Support. “We hadden meteen een klik met Peter. En het was een groot pluspunt dat hij dit traject zelf ook eens doorlopen had.”
Leerzame begeleiding
De samenwerking begon met het aanbrengen van de juiste focus. “Dat gaf meteen rust en structuur”, vertelt Bart. Hoe die structuur eruitzag? “Peter gaf ons per onderdeel een heldere, uitgebreide uitleg. Vervolgens bespraken we samen onze uitwerking. Peter gaf dan tips en maakte een planning op basis van prioriteit. Die werkwijze herhaalde zich iedere twee weken, waardoor we steeds gericht verder konden bouwen. We kregen ook regelmatig voorbereidende opdrachten voor de volgende sessie, zodat we gerichte vragen konden stellen. Die werkwijze was heel leerzaam: het gaf de kans om ons goed in de materie te verdiepen en de feedback die we kregen was altijd duidelijk.” Een voorbeeld van een goed feedbackpunt ging over informatie labelen. “We schreven al snel te veel op, waardoor het later lastig zou worden de documentatie up-to-date te houden. Peter had veel ideeën over hoe we dit goed op konden lossen.”
Externe audit
Na een periode van intensieve begeleiding volgde de externe audit. “Dat vond ik spannend”, vertelt Bart. “Je werkt er maanden naartoe en dan wil je natuurlijk dat het allemaal klopt. Peter was tijdens de auditperiode bereikbaar voor het geval we het niet eens zouden zijn met een oordeel van de externe auditor en even wilden sparren. Dat gaf me een gerust gevoel.” Ideo en BlueHike gingen uiteindelijk soepel door de audit. “Dat hebben we echt te danken aan de interne inzet en de goede begeleiding”, vertelt Bart. Er werden door de auditor wel een aantal afwijkingen genoteerd: een aantal authorisatie-aanvragen konden beter gedocumenteerd worden. “Daar kon ik me helemaal in vinden, een mooi verbeterpunt.”
Meer kansen bij aanbestedingen
Of de samenwerking overeenkwam met de verwachtingen? “Absoluut”, concludeert Bart. “We hebben het traject snel en effectief doorlopen. Het was te merken dat Peter dit zelf al meerdere keren doorleeft heeft. Niet alleen als coach, maar ook met zijn voeten in de klei. We hebben echt alles uit de begeleiding gehaald.” Ideo en BlueHike hebben nu de ISO 27001-certificering op zak. “Daar zijn we ontzettend blij mee: we hebben nu nóg meer inzicht in onze interne processen. Daarnaast opent het deuren bij nieuwe aanbestedingen.” Bart verwacht nog lang samen te werken. “Wet- en regelgeving verandert continu, neem bijvoorbeeld de AI Act en NIS2. Hoe moeten we ons daarop voorbereiden? En als het eenmaal zover is: wat moeten we dan in onze werkwijze en processen aanpassen? Na de begeleiding die we gehad hebben, weet ik zeker dat we met Diks Process Support ook daarover goed kunnen sparren.”
Bij Diks Process Support zijn we trots op deze mooie samenwerking. Wil jij net als Bart ook een keer sparren over de ISO 27001? Neem dan gerust contact op!
Gerelateerde artikelen over ISO 27001
Wilt u meer weten over informatiebeveiliging en het opzetten van een effectief ISMS? Bekijk dan onze aanvullende artikelen waarin we onder andere ingaan op de eisen van ISO 27001, het uitvoeren van een risicoanalyse, het borgen van securitymaatregelen en de stappen richting ISO 27001-certificering.