The Networkers heeft in juni 2023 hun ISO 27001 certificaat behaald in negen maanden tijd, een bijzondere prestatie. ‘Wij zien het als een team effort!’ Mark Herder, Operationeel Manager van The Networkers kijkt terug op een leerzame periode. Mark en zijn collega Rens Kluitmans, Chief Technology Officer, hebben samen het ISO-project begeleid en zijn erin geslaagd om een cultuur te creëren waarbij collega’s elkaar aanspreken wanneer er regels voor informatiebeveiliging niet worden nageleefd. Doe je dat niet, dan moet je trakteren!
Lees het verhaal van The Networkers en welke transitie zij hebben doorgemaakt in de organisatie, wat zij hebben geleerd van het ISO-certificeringsproces en krijg tips.
Over The Networkers
The Networkers is gespecialiseerd in networking en security; IT in de breedste zin van het woord. Zij leveren diensten van het adviseren en ontwerpen van IT-netwerken, inmeten van wireless tot aan implementaties van switching en firewalls voor zowel kleine bedrijven, tot aan grote gemeentes en zorginstellingen. Zij voeren deze diensten uit voor zowel partners als eindklanten in Nederland. Partners schakelen hen in wanneer zij bijvoorbeeld niet de technische kennis paraat of beschikbaar hebben. Dan werkt The Networkers als onderaannemer om hen te assisteren met de implementatie. Een groot deel van de werkzaamheden speelt zich af bij de eindklanten, waar naast de genoemde diensten, ook een stuk beheer en onderhoud wordt geleverd
Waarom Protify?
The Networkers en Protify hebben door de jaren heen verschillende keren elkaar ondersteund en in het verleden zaten zij op hetzelfde bedrijventerrein. Het was niet wie wordt de partner voor het certificeringsproces, want de keuze voor Protify was al gemaakt.
Mark legt uit: ‘Protify lijkt op ons type organisatie; een organisatie die gemakkelijk communiceert en openstaat voor dingen. Danielle de Vaal heeft ons gekoppeld aan Tim Kemper en dat was meteen een goede match! Tim is een vent die goed snapt hoe het wereldje en IT in elkaar zit en hij heeft een technisch hart. Hij heeft de Gap-analyse uitgevoerd en ons geholpen de eerste opzet te maken. Zeker omdat wij nog wel eens van de hak op de tak kunnen springen, bleef Tim structureel en punctueel. Daarnaast kan hij goed vertellen en uitleggen.’
Keuze voor ISO 27001 certificering
Omdat The Networkers richt zich zowel op partners als op eindklanten richt, vonden zij het belangrijk zelf gecertificeerd te zijn. En omdat zij zich onder andere op het publieke domein richten, is ISO 27001 een voorwaarde en soms zelfs een knock-out criterium bij aanbestedingen. ‘Wij nemen zelf deel aan aanbestedingen, maar begeleiden ook andere bedrijven om aanbestedingsdocumenten te schrijven. Wij moeten op de hoogte zijn van de huidige stand van zaken en aantonen dat wij nadenken en het belang inzien van informatiebeveiliging.’ aldus Mark.
“Het was wel spannend om te kiezen voor ISO 27001, omdat er nogal wat gaat veranderen in je organisatie.”
Team certificering
In september 2022 is The Networkers gestart met de certificering voor ISO 27001 en is de organisatie ingelicht over het certificeringsproces. Nadruk is gelegd op de verwachtingen en dat dit kan leiden tot veranderingen in de organisatie en soms zelfs vervelend kan zijn, maar het zich uiteindelijk zal terugbetalen. Rens Kluitmans (CTO) en Mark Herder (Operationeel manager) hebben samen het project voor de certificering uitgevoerd. Gedurende en voorafgaand aan het certificeringsproces hebben zij hebben gezorgd dat mensen in de organisatie op de hoogte werden gehouden, door middel van presentaties en voerden regelmatig overleg met het management.
‘Wij zien het proces echt als een team effort en we willen graag benadrukken dat door het vertrouwen dat Sam Bezzarri (CEO) ons heeft gegeven, het ertoe heeft geleid dat dit proces zo goed en snel is verlopen. Samen met de ondersteuning die wij hebben gehad van Protify.’
‘Rens en ik wisten dat er zaken formeel gemaakt moesten worden. De procedures en processen, zaten wel voor 80% in ons hoofd en deden het ook, maar het stond nergens. Daarom werd er per definitie ook niet per se op gecontroleerd en gemonitord. Nu staat het echt op papier en is het een proces geworden.’
ISO 27001 certificaat in 9 maanden!
Rens en Mark zaten minimaal één dag per week samen en eens per twee à drie weken hadden zij een afspraak met Tim Kemper om de volgende stap in het proces te doorlopen. Zij hielden de organisatie op de hoogte tijdens hun maandelijkse, zogenaamde ‘Geeksessie’, waar alle technische collega’s bij elkaar komen om onder andere business, cases, nieuwe technologieën en tips en tricks met elkaar te bespreken evenals bedrijfsbrede informatie wordt gedeeld. In deze sessie hebben zij een ISO-blok ingebouwd, waar steeds een deel werd besproken; hoe gaan we om met beveiliging/met documentatie/ons eigen interne netwerk/documentatie/printen en wat mag wel en wat mag niet. Zij startten met een toelichting en lieten vervolgens de discussie ontstaan. Die output gebruikten zij voor het overleg met Tim Kemper en keken hoe die informatie kon worden toegepast.
Na het behalen van het certificaat kost het hun nu ongeveer twee uur per week om de zaken bij te houden. Deze werkzaamheden worden gelogd en bijgehouden in de ProActive Compliance Tool (PCT).
ProActive Compliance Tool (PCT) als onderdeel proces
‘De PCT zit gewoon extreem goed in elkaar. Wat vooral prettig is, is dat het hele systeem in elkaar verweven is, als je op plek één iets aanpast, dan neemt de PCT het onderhuids in het systeem mee. Daardoor hoef je niet alles langs te lopen om zaken aan te passen, dat maakt die tool steengoed. De PCT houd je scherp door de planning en de wederkerende taken. Je ontvangt signaleringen wanneer er dingen klaar staan en zaken moeten gebeuren.’ geeft Mark enthousiast aan.
Verandering in de organisatie na invoering ISO 27001 certificering?
‘Het is het algemene plaatje, processen die je als IT-er doet of oppakt waarbij je dingen uit goede wil doet, maar niet altijd de tijd hebt om het netjes te doen.’
The Networkers geeft nu extra aandacht aan structuur en proberen tegelijkertijd het naleven van de regels van de norm ook wat luchtiger te maken. Als je afspraken niet nakomt op het gebied van informatiebeveiliging, moet je als collega trakteren. Er is een sfeer waarin mensen elkaar erop durven aan te spreken als er iets niet goed is uitgevoerd.
Voorbeelden aanpassingen in de organisatie:
- VOG check bij selectieprocedure van nieuwe medewerkers
- Nieuwe medewerker krijgt een ISO-presentatie in de eerste week
- Processen voor vakantiedagen, uren schrijven, uitgifte goederen en declaraties
- Uniformiteit als bedrijf zijnde en wat zij uitdragen
- Niet meer snel documenten delen via Wetransfer, Whatsapp of PDF, ‘doordat het ons allemaal heel gemakkelijk wordt gemaakt, kun je snel over de standaarden heen stappen.’
Tips van Mark Herder voordat je met ISO 27001 start
- Onderschat certificering niet en weet waar je aan begint; het heeft echt impact op je bedrijfsvoering. Je gaat soms best discussies krijgen (met collega’s) en dat is niet altijd leuk.
- Neem de tijd en ruimte en plan! Wij hebben het in negen maanden voor elkaar gekregen, door goede begeleiding, maar ook omdat we intern de ruimte intern hebben gekregen om hieraan tijd te besteden.
- Betrek je team!
‘Wat ik belangrijk vind is dat we elkaar erop aan kunnen spreken als er iets niet goed is.’
Willen jullie net als The Networkers een partner die jullie ondersteund op het gebied van ISO 27001?
Neem contact met ons op, zodat we samen kunnen bespreken wat de beste oplossing is voor jouw organisatie.
