Er is niet meer aan te ontkomen. De cyberinbraken vliegen je om de oren en termen als ransomware en cryptolockers zijn niemand meer vreemd. Kwaadwillenden zijn op zoek naar zwakke plekken in organisaties en systemen om snel rijk mee te worden. Bijvoorbeeld door data te stelen of door interne medewerkers te verleiden de data door te geven. Niet alleen gemeentes en andere grote organisaties lopen dit risico, ook kleinere bedrijven die niet in het nieuws komen worden getroffen. Organisaties worden zich daarom steeds meer bewust van de noodzaak van het veilig omgaan met persoons- en bedrijfsgegevens van klanten en medewerkers. Datalekken en andere IB-incidenten leiden niet alleen tot schade in de dienstverlening maar kunnen ook het imago schaden. Daarom is het volgens Brendan Smith en Marien Dis van Higher Mountains voor ieder bedrijf tijd om risico’s op het gebied van informatiebeveiliging en privacy te identificeren, analyseren en aan te pakken.
“Hoe vertaal je zo’n norm naar iets in de praktijk waar een organisatie iets aan heeft en waar een auditor enthousiast van wordt en een certificaat voor afgeeft?”
“En zeker de wat kleinere bedrijven kunnen daar wat hulp bij gebruiken van adviseurs in combinatie met een oplossing zoals de software van Inception. Met kant en klare stappen en documenten, zodat het ook voor deze organisaties betaalbaar en begrijpelijk is.”, vertelt Marien. Hij is sinds 2016 actief op het gebied van informatiebeveiliging en privacy en helpt bedrijven bij het behalen van hun certificeringen. “Het zijn boeiende jaren geweest om te ontdekken hoe zo’n norm in elkaar zit en wat er nou gevraagd wordt. En hoe vertaal je dat naar iets in de praktijk waar een organisatie iets aan heeft en waar een auditor enthousiast van wordt en een certificaat voor afgeeft.”
Bij één van de klanten die Marien op die manier heeft mogen helpen, leidde Brendan de organisatie. “Zelf had ik als directeur in het begin ook zoiets van: papieren tijger, regel het maar. Maar ik heb echt wel geleerd dat ik in het begeleiden van zo’n traject een verantwoordelijkheid heb en voorbeeldgedrag moet tonen met mijn inzet en betrokkenheid. Ondanks dat het in eerste instantie vaak gezien wordt als een verplicht nummer kan je die nieuwe kennis en awareness ook weer uitstralen naar je klanten en medewerkers.”
ISO 27001 implementatie | fluitend door je audit
En met die ervaring vanuit verschillende kanten van de medaille, zijn Brendan en Marien het bedrijf Higher Mountains begonnen. Ze helpen verschillende soorten bedrijven onder andere in de branches ICT en Zorg met de implementatie van informatiebeveiliging en certificering. Hun filosofie voor een geslaagd traject? Een gedeelde verantwoordelijkheid. Marien vat samen: “Wat wij proberen is de organisatie dusdanig betrekken dat ze het na onze hulp ook zelf kunnen”. “Informatiebeveiliging moet geen last zijn voor de medewerkers maar een hulpmiddel om zich te kunnen ontwikkelen en hun klanten beter mee te kunnen bedienen.”, vult Brendan aan.
Iemand uit de directie moet verantwoordelijk zijn, daar begint het volgens de heren bij. Er wordt een projectgroep opgesteld en vanuit daar gaat het de hele organisatie door, dat is hun aanpak. Zo krijgen alle medewerkers een stukje eigenaarschap mee. Krijgen ze geen commitment vanuit de directie? Dan houdt het snel op. “Dat is een vereiste om het echt te laten landen bij een organisatie en het traject succesvol te maken.”
De bekroning is dan een certificering en daarna kunnen bedrijven het managementsysteem grotendeels zelf beheren. “Met een beetje hulp van ons nog steeds, als je ergens tegenaan loopt. Maar het liefst wel zonder ons. Daar worden wij blij van.”
“Door je medewerkers serieus te betrekken, heb je steeds minder hulp van buiten nodig om het systeem te onderhouden en te verbeteren en ga je fluitend door je volgende audit.”
Higher Mountains heeft intussen een mooie lijst klanten die de meerwaarde van informatiebeveiliging persoonlijk hebben ervaren, maar volgens Marien duurt het meestal even voor die kwartjes vallen. “Onbekend maakt onbemind, vaak starten dit soort trajecten vanuit een soort moetje. De klant eist het, maar wij zien er het nut niet zo van in. Door, net als bij Inception, je medewerkers serieus te betrekken, heb je steeds minder hulp van buiten nodig om het systeem te onderhouden en te verbeteren en ga je fluitend door je volgende audit. Zo ga je als bedrijf vanzelf ervaren wat de meerwaarde is van het beheersen van je risico’s en het hierdoor gerust kunnen stellen van je klanten en medewerkers.”
Overtuigd van het nut? Wij Ook! Gelukkig hoef je het informatiebeveiligingswiel niet uit te vinden. In deel twee van deze blog lees je over het gemak van het gebruik van een ISO-norm als hulpmiddel om je risico’s te verkleinen. Met een beetje hulp van Higher Mountains en Inception natuurlijk. 😉
Meer lezen?