Ben je MKB’er? Doe wat past bij jouw organisatie.
De praktijkcase van Aragorn
Een ICT-specialist, zelf een middelgrote organisatie, met veel klanten in het MKB is goed bekend met de uitdagingen van informatiebeveiliging. Wat zijn veelvoorkomende issues in informatiebeveiliging en specifiek bij de implementatie van ISO 27001? In deze praktijkcase deelt Aragorn hun ervaringen
Over Aragorn
Aragorn is al meer dan 35 jaar gespecialiseerd in hoogwaardige dienstverlening op het gebied van ICT-infrastructuur, met een specialisme in cybersecurityoplossingen. In een tijd waarin technologie het kloppend hart is van veel organisaties zorgen zij met 38, technisch zeer kundige, medewerkers voor ICT maatwerkoplossingen voor het MKB.

De aanleiding
Alweer een hele tijd geleden was een potentiele klant in de zorgsector voor Aragorn de aanleiding om te starten met een ISO 27001-certificering. Deze (inmiddels al jaren) klant van Aragorn gaf destijds aan dat een ISO 27001 certificering voorwaarde was om een samenwerking aan te gaan.
De aanpak
“Vanwege ons vakgebied waren we al goed georganiseerd op het gebied van de technische maatregelen rondom informatiebeveiliging. Met dat als startpunt zijn we gaan kijken naar de bestaande werkwijze en mogelijke verbeterslagen. Een specifiek ISO 27001 thema, zoals directiebeoordeling, hebben we bijvoorbeeld toegevoegd. Voor ons was vanaf het begin in ieder geval heel duidelijk dat we geen papieren tijger wilde.” — Martijn Lafeber, directeur Aragorn.
Aragorn was bewust op zoek naar een oplossing die ISO 27001 laat aansluiten op de bestaande manier van werken ISO 27001 moest op een vanzelfsprekende wijze onderdeel van dagelijkse de werkzaamheden worden.”
Weerstand
“ Mensen blijven lang bij Aragorn werken. Een deel van onze medewerkers had daardoor in het verre verleden als eens een ISO 9001 certificering ervaren. Herinneringen die zijn blijven hangen, zaten vooral in de hoek van veel extra en overbodige vastleggingen. Dat maakte dat een deel van de organisatie sceptisch was bij de start van het ISO 27001 project.
Een praktische en pragmatische aanpak met implementatie van de ProActive Compliance Tool (PCT) heeft daarbij het verschil gemaakt. Mensen moesten overtuigd raken dat dit project niet een herhaling van de oude ervaring zou zijn.
Ook de interne communicatie is hierbij heel bewust ingezet. Bijvoorbeeld door steeds presentaties te geven met updates.
Op die momenten lieten we medewerkers zien dat we niet van plan waren om extreem veel te wijzigen. Nog belangrijker was dat we steeds beredeneren of en waarom een wijziging nodig was.” aldus Martijn.
Security Officer op maat
Een belangrijke rol bij de implementatie van ISO 27001 is die van de Security Officer. Bij Aragorn hebben ze ervoor gekozen om die rol op te splitsen. “Vaak zijn technisch sterke personen wat wars van administratieve vastlegging. Wij hebben ervoor gekozen om mensen echt in te zetten in hun kracht. Daarom hebben wij een Operationeel Security Officer die het adminstratieve stuk voor haar rekening neemt. De Technical Security Officer voegt waarde toe vanuit zijn technische kennis. Samen dragen zij de ontwikkelingen op het gebied van informatiebeveiliging uit binnen de organisatie en zorgen voor borging. Dat werkt goed voor ons.”
Martijn geeft vanuit zijn rol als directeur zelf het goede voorbeeld. Hij houdt zich zichtbaar aan alle gemaakte afsprake rondom informatiebeveiliging. Dat is belangrijk voor draagvlak.
Resultaten
Aragorn heeft meerdere nieuwe klanten kunnen verwelkomen omdat een ISO 27001 cerificering één van de selectie-eisen was. Ook de groei van organisaties die te maken hebben met de NIS2 zorgt ervoor dat er meer en vaker gekeken wordt naar het toetsen van ketenverantwoordelijkheid.
De ISO 27001 implementatie met de inzet van de PCT zorgt ervoor dat Aragorn continu blijft verbeteren.
Het helpt ons focus te houden op innovatie en pro-actieve ondersteuning van onze klanten.
Het meest voorkomende verbeterpunt
“Wat wij echt heel vaak bij organisaties tegenkomen, is dat een autorisatiematrix ontbreekt of onvolledig is.”
Aragorn wordt gevraagd om gebruikersaccounts technisch aan te maken. Al snel blijkt dat er eigenlijk nog nooit goed is nagedacht over wie en, vooral, vanuit welke rollen autorisaties toegekend moeten worden.
“Zeker in het MKB, waar diverse rollen vaak bij één persoon liggen, lopen wij hier regelmatig tegenaan.” Het is eigenlijk een HR vraagstuk en geen ICT vraagstuk. Klanten die dat goed op orde hebben werken bijvoorbeeld met een automatische koppeling vanuit AFAS software. Zodra een nieuwe medewerker wordt toegevoegd in AFAS, ontstaat het account met de juiste autorisaties. Technisch kan dat allemaal gemakkelijk. Het scheelt heel veel werk. De voorwaarde is wel dat er vooraf goed wordt nagedacht over een sluitende autorisatiematrix. Denk na over de rechten vanuit specifieke functieprofielen in plaats vanuit het individu.”
Waarom Protify?
“Protify & Aragorn kennen elkaar al lang. Doordat we deels eenzelfde klantengroep bedienen, begrijpen we het MKB goed. De samenwerking verloopt altijd heel fijn. Dus toen wij zelf wilden certificeren, lag de keuze voor Protify voor de hand.”
Inmiddels zoeken Aragorn en Protify de samenwerking bij klanten actief op.
De medewerkers van Aragorn zijn technisch sterk. Protify geeft invulling aan beleidsmatige vraagstukken. “Daar vullen we elkaar aan. Zo bieden we samen de Security Quickscan aan.”
Dit Security Assessment is maatwerk, volledig afgestemd op de specifieke organisatie. Samen met Protify hebben we aandacht voor het complete ICT-beveiligingslandschap. Beleidsmatig én technisch.
Wil je ook een ISO 27001 behalen?
Overweeg je de stap naar ISO 27001 en wil je dat hierbij zowel de technische als de beleidsmatige blik aandacht krijgt?
Neem gerust contact met ons op voor een vrijblijvend kennismakingsgesprek. Samen zorgen we dat jouw organisatie op een voor jou passende manier werkt aan informatiebeveiliging.
