Sinds oktober 2021 zijn wij ISO 27001 gecertificeerd. Dat wil zeggen dat we hoge eisen stellen aan hoe we omgaan met bedrijfsgevoelige informatie, vertrouwelijke gegevens en privacy. Wat betekent dat precies, en wat merken opdrachtgevers hier van? We vroegen het aan onze collega Bastiaan.
Wat is ISO 27001?
Sinds oktober 2021 is Forty ISO 27001 gecertificeerd. De ISO 27001 is een wereldwijde norm op het gebied van informatiebeveiliging. Met deze certificering tonen we aan dat we hoge eisen stellen aan hoe we omgaan met bedrijfsgevoelige informatie, vertrouwelijke gegevens en aan privacy. Ons beleid en de processen op dit gebied zijn in een twee weken durende audit geëvalueerd. En met succes: we hebben de certificering behaald! Of het nu gaat om het ontwerpen, ontwikkelen, onderhouden of hosten van onze digitale producten; we zorgen ervoor dat informatiebeveiliging in alle lagen van de organisatie goed geregeld is. En dat we goed op de hoogte zijn van de huidige wet- en regelgeving. Zo beschermen we onze gegevens, de gegevens van onze opdrachtgevers en de gegevens van gebruikers optimaal. Bastiaan Terhorst was de kartrekker voor het inregelen van de processen en voorbereiding van de audit. Om meer te weten te komen over wat ISO 27001 inhoud gingen we met hem in gesprek.
Hoi Bastiaan! Het aanpassen van beleid, processen en audit van twee weken. Dat klinkt als een flinke klus. Kun je de term ISO nog aanhoren?
“Ja dat klopt, het was flink wat werk maar ik kan de term ISO nog horen. Als je aan dit traject begint dan voel je al snel het belang hiervan. Het is niet iets wat je doet omdat het moet, maar het is iets wat je als organisatie doet omdat je gelooft dat het belangrijk is. “Ik geloof nog steeds dat het belangrijk is, en dat het nodig is, als je kijkt naar bijvoorbeeld het toenemende aantal cyberaanvallen. Samen met ons zusterbedrijf Greenberry hebben we het certificaat behaald. Floris van Greenberry en ik hebben er beiden super veel energie ingestoken en het was fijn om dit samen met hem te kunnen doen.”
Waar ben je het meest blij mee?
“In het begin dacht ik: waar beginnen we aan. In samenwerking met een extern adviesbureau startten we met een nulmeting, waarin je bekijkt wat hebben we al wel en wat nog niet op orde. Gelukkig was die nulmeting positief en bleek dat we al veel deden op het gebied van informatiebeveiliging. Ik ben het meest trots op dat we dit met zijn allen hebben behaald. Zonder ondersteuning van je collega’s haal je het certificaat niet. Je moet veel verschillende beleids- en beheerafspraken met elkaar op orde brengen. Die leggen we vast in ons Information Security Management System en deze worden continu aangescherpt en verbeterd. Dit gaat van het regelen dat alle collega’s op een beveiligde verbinding thuis en onderweg kunnen werken, tot hoe we de deur aan het einde van de werkdag op kantoor achter ons dichttrekken. Het vraagt iets van iedereen binnen Forty. En het is mooi om te zien dat dit met elkaar lukt.”
Is het wennen voor de andere collega’s?
“Het is een mindset die door iedereen in de organisatie erkend, begrepen en gedragen moet worden. Met elkaar creëer je bewustwording rondom veilig werken. Zo hanteren we security by design voor alle digitale producten die we maken. Maar dat is niet een standaard riedeltje dat we uitvoeren, dat is een continu gesprek met het team over hoe dat dan precies werkt, wat dat precies betekent. Iedereen pakt zijn verantwoordelijkheid super goed op, al heeft in de dagelijkse praktijk de ene persoon er meer mee te maken dan de andere. Zo heeft officemanagement er in verhouding veel mee te maken bij de intake van nieuwe collega’s, en als een collega ons verlaat. Zij zorgen ervoor dat alle toegang goed wordt afgesloten en apparaten worden ingeleverd. De uitdaging is om zowel de meer betrokken als de minder betrokken collega’s bij de les te houden. Het is een gezamenlijke verantwoordelijkheid om ervoor te zorgen dat we veilig werken en dat informatiebeveiliging op de agenda blijft staan. Dat is iets wat continu aandacht nodig heeft en moet blijven groeien.”
Waarom is ervoor gekozen een ISO-certificaat te halen?
“We vonden het altijd al belangrijk dat onze informatiebeveiliging en veiligheidsprocessen goed zijn ingeregeld. Zeker in een tijd waar bedrijven steeds meer risico lopen op ransomware en andere cyberaanvallen op hun digitale data. Als je als organisatie (digitale) proposities ontwikkelt waar gevoelige data in kan zitten, voelt het niet meer dan logisch om dit goed geregeld te hebben. Eigenlijk moet iedere organisatie dit goed doen. Dit vonden we al, en nu kunnen we onafhankelijk aantonen dat we dit intern en voor onze klanten op orde hebben. Je ziet het ook in de markt: er wordt steeds vaker gevraagd om een ISO-certificering. Het heeft de voorkeur of is zelfs een vereiste om met bepaalde organisaties samen te kunnen werken.”
Wat merken opdrachtgevers ervan nu Forty ISO-gecertificeerd is en volgens deze eisen en normen werkt?
“Om te borgen dat informatiebeveiliging een vast onderdeel is in onze projectaanpak beginnen we bij een nieuwe samenwerking met het doornemen van een security checklist. Hiermee bepalen we samen welke mate van informatiebeveiliging er voor de specifieke opdracht vereist is. Denk hierbij aan vragen over welke informatie er wordt verwerkt, welke data we opslaan, wie er toegang krijgen tot die data en met welke systemen we gaan werken. Door een project hiermee te beginnen, creëer je bewustzijn over welke gevoeligheden er zijn en wat ieders rol daarin is. De input die we ophalen met de security checklist leggen we vervolgens vast en wordt onderdeel van de formele opdrachtbevestiging. En tijdens het samenwerken zullen de afspraken worden doorgevoerd in de processen.”
Heb je nog een leuk fun-fact om mee af te sluiten?
“Iedereen is bewuster geworden van informatiebeveiliging binnen de organisatie nu we dit traject met zijn allen hebben doorlopen. Dat zie je terug in de vragen die erover worden gesteld, maar ook in kantoorhumor: als je nu je laptop niet afsluit als je even van je plek bent, klapt iemand ‘m geheid dicht of wordt er een apart bericht vanuit jouw account in Slack gegooid!”
Meer informatie over onze ISO 27001 certificering vind je hier.
