In september 2023 heeft Fenêtre het ISO 27001 certificaat voor informatiebeveiliging na een proces van bijna een jaar behaald. Eric Kruis (partner) vertelt over een proces met pieken en dalen, maar ook hoe zijn beeld over informatiebeveiliging volledig is veranderd. Eric vindt dat informatiebeveiliging hoger op de agenda mag komen te staan bij ondernemers.
Door de stappen voor de certificering te doorlopen, heeft Fenêtre de blinde vlekken in kaart gebracht en de puntjes op de i gezet. Lees hoe Fenêtre ISO 27001 certificering heeft ondervonden en welke inzichten zij hebben gekregen.
Over Fenêtre
Fenêtre is in 2006 opgericht door Eric Kruis en Roger Hendriks. Inmiddels werken er 60 mensen bij Fenêtre en werken zijn vanuit Den Haag, Leiden en Utrecht.
Fenêtre is een full service internet ontwikkelingsbedrijf dat organisaties ondersteunt met consultancy, softwareontwikkeling en onderhoud. Waarbij zij zich op maatwerk applicaties richten, voor het wat grotere klein- en middenbedrijf (vanaf 100 personen), voornamelijk in de zakelijke en financiële dienstverlening. Denk hierbij aan applicaties voor administratiesystemen, portalen, websites en andere (vooral administratieve) processen die spelen in de B2B wereld.
Keuze voor ISO 27001
Fenêtre werkt onder andere voor verzekeraars in de B2B markt, zoals het verzekeren van onder andere vastgoed en voertuigen. Bij deze partijen staat informatiebeveiliging hoog op de agenda, dus als zij deze klanten willen bedienen, moeten zij ISO 27001 gecertificeerd zijn.
Daarnaast geeft Eric aan: ‘We zijn als organisatie gegroeid, bedienen we steeds grotere klanten, die ook meer van ons vragen. Met tien man, kun je nog wat aan de keukentafel beslissen, maar met 60 personen moet je processen standaardiseren en wordt dat ook steeds belangrijker.’
Waarom de keuze voor Protify?
Danielle de Vaal is een contact uit het zakelijke netwerk van Eric, zij hebben elkaar tien jaar geleden bij een gemeenschappelijke klant leren kennen. Naast Protify heeft Eric nog twee andere partijen benaderd, maar daar klikte het niet op dezelfde manier. ‘Het bleek te passen en met name, omdat zij ook een relatief klein bedrijf zijn en we elkaar snel begrepen. Het heeft geleid tot een hele prettige samenwerking.’
Vertrouwen is belangrijk, wanneer je de keuze maakt voor een leverancier op het gebied van informatiebeveiliging. ‘Je gaat best wel met de billen bloot als je zo’n traject ingaat.’ vertelt Eric.
Het team voor ISO-certificering
Eric Kruis is verantwoordelijk voor de middelen, personeel en operatie; alles wat met het primaire proces te maken had, maakte deel uit van zijn taken. Waardoor hij een groot deel van de processen heeft moeten beschrijven. Zijn compagnon Roger Hendriks heeft de rol van Chief Information Security Officer (CISO) en richtte zich meer op de informatiebeveiliging, CVE-issues en meldingen.
De organisatie wordt geïnformeerd via een maandelijkse bijeenkomst, hier staat informatiebeveiliging inmiddels vast op de agenda, waarbij onder andere updates en (nieuwe) procedures worden gedeeld. Wanneer de procedures waren opgesteld, werden de interne verantwoordelijken, uitvoerend ingezet. Bijvoorbeeld om de personeelsdossiers op basis van de nieuwe structuur na te lopen of de informatiebeveiliging van servers te controleren.
Werken met de ProActive Compliance Tool (PCT)
Fenêtre maakt gebruik van de PCT: ‘Het mooie is: zit in een bewezen structuur en het werkt goed voor ons. Omdat die structuur los staat van de normering, konden wij vrij eenvoudig naar van versie ISO 27001 versie 2017 naar 2022. Dit hebben wij tijdens het certificeringsproces gedaan op advies van Danielle.’
‘Wanneer je bedrijf als 17 jaar bestaat, kom je erachter dat wat je hebt gedaan, niet allemaal past in de werkwijze, die certificering vereist. Dat betekent dat je achterstallig werk moet verrichten, wat best veel werk oplevert. Daarom was de ‘kapstok’ (red.: voorzetteksten in de PCT) die Protify aanleverde echt goud waard, dit gaf ons een goed houvast om de procedures op te stellen.’
Tijdsbesteding en het proces van certificering
Het was een proces met pieken en dalen. Het kost tijd, moeite en discipline, maar het is wel interessant. Nu Eric hierop terugkijkt, ‘Ik ben blij dat wij nu het proces in kaart hebben gebracht. We weten wat onze blinde vlekken zijn en hebben de puntjes op de i gezet. Wij kunnen achteraf zeggen dat we best trots mogen zijn, op wat we allemaal doen.’
Normaal is Fenêtre de projectleider in een proces, nu was het fijn dat iemand anders de kar trok. Eens per 4 weken was er een afspraak met Protify om een onderdeel van het ISO 27001 proces door te nemen. De werkzaamheden moesten door Eric en Roger naast het andere werk worden uitgevoerd, waardoor er veel avonduren in zitten.
‘Ik merk nu met alles wat ik doe, zowel binnen het bedrijf, als zelfs privé, ik heel anders kijk naar informatiebeveiliging. Terwijl ik durf te zeggen dat ik me daar al erg van bewust was, maar door dit traject ben ik nog veel bewuster ben geworden.’
Sinds Fenêtre het ISO 27001 certificaat heeft behaald, blijft het nog wel een uitdaging om de certificeringswerkzaamheden structureel te blijven uitvoeren. Wel helpen de periodieke overleggen om de benodigde acties mee te nemen. Maar het blijft een aandachtspunt, ‘we moeten de scherpte erin zien te houden.’
Wat doet Fenêtre nu anders door ISO 27001?
Fenêtre heeft grote stappen gezet door de invoering van ISO 27001. De bedrijfsvoering is anders ingericht, interne processen zijn geoptimaliseerd. Er is nu sprake van continuïteit en consistentie in de organisatie.
Eric geeft een aantal voorbeelden van procedures en/of processen die zijn aangescherpt of opgesteld:
- We denken bewuster na over effecten en de noodzaak van ons handelen, zoals reputatieschade. Wat als een document in de verkeerde handen komt?
- Wanneer er is iets niet goed is gegaan, kijken ze wat zij hiervan kunnen leren, naast dat ze het oplossen natuurlijk.
- Uitgevoerde projecten en de bijbehorende informatie worden goed afgesloten en opgeruimd indien nodig.
- Externe leveranciers worden begeleid in het bedrijfspand, bijvoorbeeld bij werkzaamheden aan de serverruimte.
- Medewerkers moeten trakteren op taart als zij hun PC onbeheerd achterlaten.
- Er is meer interne bewustwording op phishing: gekke of bijzondere voorbeelden van phishing mails worden gedeeld.
Tips en inzichten voor andere organisaties?
Eric deelt zijn inzichten: ‘Ik dacht eerst veel te klein; wij maken software en dat moet heel veilig zijn. Het is heel technisch, je moet zorgen de firewalls en de back-ups goed geregeld zijn. Gaandeweg het traject, bespreek je het primaire proces hebt en leg je dat tegen de lat van informatiebeveiliging, dan zie je dat informatie op veel meer plaatsen zit. En daardoor ook het gevaar. Waardoor het onderwerp veel groter is geworden en besef daarvan ook.’
‘Het werkt twee kanten op, je doet het voor jezelf om je dienstverlening te verbeteren en om bewuster met informatie om te gaan. Maar het heeft ook mijn blik veranderd met wie ik samenwerk, ik kijk anders en bewuster. Doordat wij ons volwassener zijn gaan gedragen, heeft dit ook effect gekregen op onze omgeving en die checken we nu ook beter.’
Inmiddels vindt Eric dat het een verplicht onderdeel zou moeten worden, ‘al wanneer je je bedrijf opricht bij de Kamer van Koophandel (KvK). Informatiebeveiliging mag bij ondernemers hoger op de agenda komen staan. Want je hebt best wel een verantwoordelijkheid voor je klanten.’
- Huur een ISO-expert in, het is zonde van je eigen tijd en je hebt het zo terug verdient.
- Neem het serieus.
- Neem er echt de tijd voor.
Samenwerking met Protify?
Eric wil graag benadrukken dat hij heel blij is met Protify en dat zegt hij niet snel over een leverancier.
‘Daar ben ik heel positief over, uiteraard vond ik hen soms een ‘pain in the ass’ maar dat kwam niet door hun manier van werken, maar doordat we een heel stappenplan moesten doorlopen dat dat veel werk genereerde.’
‘Ze dachten goed mee, ze begrepen ons, waren pragmatisch, hoe kunnen we dit slim doen, dus niet van de norm afwijken, maar wel, ik zou het zo doen. Door hun bak aan ervaring, hebben ze ons een vliegende start gegeven.’
Wil jij goed begeleid het ISO 27001 certificeringstraject doorlopen?
Neem contact met ons op en we gaan graag met je in gesprek om te kijken welke route het beste bij jouw organisatie past.
