The Road to ISO certification

Ruim 10 jaar geleden waren we tekeningetjes aan het maken. Kleine mock ups van telefoons met stapjes in een app.  Een super simpel innovatief concept om mensen effectief met elkaar te verbinden. 

Maar dan wel op een manier die prettig is voor de gebruiker, waarbij hij zelf de regie houdt over de informatie die hij wil delen. Zelf kan bepalen met wie hij in gesprek gaat en hoe zijn persoonlijke gegevens gedeeld worden. Want privacy en vertrouwen zijn heel belangrijk als je relaties wilt opbouwen en kennis wilt delen. 

Dat kwam al snel terug in het ontwerp van de functies van Networkapp, maar we realiseerden ons natuurlijk ook dat beveiliging van je systeem en de manier waarop je ontwikkelt heel belangrijk is. Je kunt wel veel aandacht besteden aan hoe mensen met elkaar comfortabel interacteren. Als het systeem waarop dat gebeurt niet veilig is, dan zijn de gegevens van je gebruikers ook kwetsbaar. 

Maar waar begin je dan? Waar moet je op letten? Om te beginnen: logisch nadenken en relevante informatie zoeken. De OWASP top 10 bijvoorbeeld is een lijst met de 10 grootste security risico’s van het moment. OWASP staat voor “The Open Web Application Security Project”. Iedere developer moet ze kennen en bedenken of die risico’s ook bij ons kunnen voorkomen. 

Daarnaast veel inlezen en de vereisten van de ISO 27001 bestuderen. Deze norm is de norm voor informatiebeveiliging en de vereisten die daarin staan, helpen heel goed om alle risico’s en benodigde maatregelen in beeld te krijgen. De norm heeft alleen ook een heel groot nadeel. Hij is zo volledig dat hij ook heel erg groot is. 

Wij hebben geworsteld met tijd en capaciteit. Aan de ene kant wil je ontwikkelen, nieuwe dingen maken en groeien als bedrijf. Aan de andere kant wil je het veilig doen. Betrouwbaarheid vinden we heel belangrijk. Niet alleen voor ons en onze klanten, maar vooral voor de gebruikers.  Maar we zijn ook een klein bedrijf, dat wel effectief moet operereren. We kunnen ons niet permitteren om full time bezig te zijn met informatie beveiliging. 

We hebben mini risico workshops gehouden met het team en mooie gesprekken gevoerd met klanten over beveiliging. Natuurlijk was het ook fijn dat 1 van onze developers ook een opleiding heeft gedaan tot “ethical hacker”.  Hoe meer kennis aan boord, hoe beter natuurlijk. En de komst van de AVG heeft er ook voor gezorgd dat klanten bewuster na gingen denken over de risico’s. Die gesprekken helpen bij het ontwikkelen van je werkwijze. 

In eerste instantie hadden we niet het idee dat we dan ook een ISO certificering wilden aanvragen. Want eerlijk is eerlijk, het is best duur. En je committeert je aan een bepaald proces, waar je je ook echt aan moet houden. Maar op een gegeven moment zagen we dat we de meeste vereiste maatregelen al hadden geimplementeerd. 

En als je dan toch zoveel energie steekt in je informatie beveiliging, het trainen en informeren van je collega’s. Dan is het toch mooi als je dat ook aan de buitenwereld kunt tonen. Dus aan de slag met die norm. 

Dat viel in het begin toch wel een beetje tegen. Wat een papieren tijger. Alles wat we al keurig deden, snel en makkelijk bespraken, dankzij onze korte lijnen, moest op papier. 

Beleid, werkafspraken, disciplinaire maatregelen, you name it – we got it!

Maar daarna kwam voor ons nog het moeilijkste deel. Hoe toon je aan je ook echt doet wat je zegt?  Hoe monitor je voortgang, wat zijn je doelstellingen? Hoe kun je beoordelen of je die echt haalt en hoe zorg je voor een continu proces dat je helpt om te verbeteren? 

In het begin begonnen we heel voortvarend met documenten en verwijzingen naar documenten vanuit een excel met een tijdlijn. Acties controleren, vinkjes zetten, doorplannen. Het excel document werd steeds onhandelbaarder en onverzichtelijker. Ik ben op zoek gegaan naar systemen die ondersteunend werken. En natuurlijk zijn die er, maar de meesten bleken of te duur, of te onoverzichtelijk. Wij zochten een systeem dat echt hielp bij de monitoring. Dat ons signalen zou geven als we iets moesten doen. En dat ons inzicht zou geven in waar we nog kunnen verbeteren. Uiteindelijk kwamen we uit bij een Nederlands IT bedrijf. Dat vanuit dezelfde frustratie zelf maar een systeem was gaan bouwen. De isotoolkit. 

Wat een verademing. En vooral ook wat fijn om samen te sparren over wat er verder nog nodig is. We hebben een eerste interne audit laten uitvoeren en basis daarvan verdere vebeteringen doorgevoerd. 

Het was tijd om advies in te winnen, of eigenlijk een second opinion te zoeken, omdat we merkten dat we nog meer moesten focussen op de onderdelen die voor ons echt belangrijk zijn. En niet op alles wat de norm behandelt. Via onze Iso Toolkit contacten een down to earth adviseur, die ons heeft geholpen met het aanscherpen van de laatste stappen in onze documentatie en monitoring. 

En toen tijd voor de audit: Het eerste onderzoek, best spannend natuurlijk, maar we waren sneller klaar dan verwacht. De auditoren waren onder de indruk van onze systematiek en de volledigheid van onze aanpak. Nu in spanning afwachten op de definitieve beoordeling…

Update 14 november: Het certificaat is binnen! Lees meer in het Persbericht.