Een interview met Patrick van der Weide
Patrick van der Weide* van Voclarion heeft als Security Officer en touwtrekker de implementatie van het ISMS voor Voclarion uitgevoerd. Voclarion besloot om met ISO certificering aan de slag te gaan. Aangezien zij veel deelnemen aan aanbestedingen en zochten daarom een framework voor hun ISMS. Zij kozen ervoor om het ISMS in hun eigen ERP-systeem te implementeren. Patrick vertelt hoe zij het ISMS in hun ERP-systeem hebben geïmplementeerd en hoe zij dit hebben ervaren. En hoe zij hun ISO 27001 certificaat hebben behaald.
Over Voclarion Voclarion is een IT-bedrijf dat zich ook op softwareontwikkeling richt. Zij startten in 2003 met de ontwikkeling van een zelfstandig VoIP telefonieplatform. Dit in-house ontwikkelde platform wordt wereldwijd gebruikt door ondernemingen, overheid en non-profit organisaties. Sinds 2014 richt Voclarion zich ook op de zorgsector en het MKB.
Hoe zijn jullie in contact gekomen met Protify? Patrick heeft zich eerst zelf ingelezen in ISO 27001 de norm voor informatiebeveiliging en wilde deze certificering graag zelf bij Voclarion implementeren. Hiervoor ging Patrick op zoek naar een online systeem of framework. Patrick zocht daarom een partij die deze oplossing kon bieden. Hij kwam na contact met meerdere partijen uit bij Protify, omdat zij het meest eerlijke verhaal hadden over de verwachtingen.
Waarom voldoen aan ISO 27001? Voclarion koos voor ISO 27001 certificering, omdat sinds de implementatie van AVG in 2018 aanbestedende diensten steeds meer de eisen voor ISO 27001 opnemen. Zij nemen regelmatig deel aan aanbestedingen, waardoor zij de noodzaak hiervoor zagen. Dit was ook meteen een goed startpunt voor een inhoudelijke verbeterslag. De implementatie van een ISMS geeft je hier de handvaten voor.
Inhoudelijke verbeterslag Voclarion is organisch gegroeid en uit eigen ervaring opgezet, niet per se met een bepaalde structuur. In de VoIP markt zijn er veel zaken veranderd, zo draaiden oplossingen vroeger on premise (op locatie) bij de klant, nu in the cloud. Dat betekent dat ook de software daarop moet worden aangepast. ‘Door deze veranderingen moet je zorgen dat je dit goed vormgeeft. Denk bijvoorbeeld aan regels, dat niet iedereen de eigen serverruimte binnen mag komen. Je wordt door het certificeringsproces en toepassing van het ISMS in je organisatie bewogen na te denken over zaken, waar je anders wellicht niet aan zou denken. Om zo te zorgen dat je aan de eisen kunt voldoen die de norm stelt.’
Plan-Do-Check-Act: continue verbetering
‘Protify liet ons realiseren dat continu verbeteren een belangrijke pijler is van je ISMS. Het gaat om de Plan-Do-Check-Act (PDCA)-cyclus. Bij het lezen van de norm en zien van de regels heb je dat in eerste instantie niet goed in de gaten. Door echt met het systeem te werken, zie je hoe het systeem is opgebouwd en kun je ervoor zorgen dat je aan de eisen voldoet. Ook leer je als organisatie door deze methode goed waar de pijnpunten liggen. Zo voer je als onderdeel van je ISMS een risicoanalyse uit. Hier zijn gestandaardiseerde risico’s opgesteld, die je aanzetten om na te denken over de risico’s van jouw organisatie en waar die pijnpunten voor jou liggen. Om vervolgens te bepalen hoe je hier een verbeteringsslag aan kunt brengen.'
Implementatie van het ISMS Voclarion heeft het ISMS geïmplementeerd in hun eigen uitgebreide ERP systeem. In dit systeem konden zij al werken met wederkerende taken, taak omschrijven, deadlines stellen en binnen een taak communiceren over de werkzaamheden). In het ERP registreren de medewerkers hun uren, taken, werkzaamheden en communiceren hierover. Aangezien de mensen hun weg al goed in dit systeem konden vinden, besloten zij dit aan te houden. Daarnaast wilden ze graag alles centraal houden, zouden alle bedrijfsprocessen zijn geïntegreerd. De risicoanalyse en de beheersmaatregelen bleken lastig te implementeren in het ERP, ondanks dat het wel wat meer werk kost, bleek dit toch de beste oplossing.
Audit Tijdens de audit zijn er slechts twee kleine tekortkomingen geconstateerd, die zij in de periode erna konden corrigeren. Patrick is tevreden, zij kregen een groot compliment over hun implementatieniveau, aangezien zij al op een punt zaten, waar andere organisaties normaal pas na een jaar zitten. De audit was niet alleen voor Voclarion maar ook voor het zusterbedrijf The IP company, die een communicatieoplossing levert voor maritieme schepen. "The IP Company was al in een vergevorderd stadium van implementatie van de ABDO2019 norm, een soort maritieme equivalent van ISO27001. ‘Het certificeringstraject van ISO 27001 en de begeleiding van Protify heeft ons enorm geholpen, ook het ISMS conform ABDO2019 veel beter neer te zetten.’ vertelt Patrick.
Het certificeringstraject van ISO 27001 en de begeleiding van Protify heeft ons enorm geholpen, ook het ISMS conform ABDO2019 veel beter neer te zetten.
Wil jij ook voldoen aan ISO 27001 of advies over het implementeren van een ISMS? Neem contact met ons op en we gaan graag het gesprek aan hoe we jouw organisatie kunnen helpen.
*) Patrick is sinds 1 januari 2022 niet meer werkzaam bij Voclarion.
Comments