Enthousiast vertelt hij nu over het ISO 27001 project binnen Scienta. “Dat merkten wij aan de vragen die bij onze Sales afdeling gesteld werden door prospects. Ook onze bestaande klanten wilden dat we dit lieten zien. Bijvoorbeeld of we een backup restore konden doen. Dat kost veel tijd om dat steeds aan je klant aan te tonen. ISO 27001 is daar al je bewijs voor. Met je certificaat zeg je: ‘Ja dat kunnen wij, kijk maar.’ Scheelt een hoop dubbel werk.
“We zijn eerst eens gaan kijken ‘wat hebben we en wat doen we al volgens de ISO 27001 norm?’. Want we documenteerden bijna alles al wel omdat we uiteraard onze eigen Scienta software ook zelf gebruiken. Maar waar we aan moeten voldoen, daar hadden we wat hulp bij nodig.”
“Bij LOKO gingen we langs. Die organisatie kennen we goed en we wisten dat zij onlangs ISO 27001 gecertificeerd zijn. Om van ze te leren, bespraken we hun ervaringen en valkuilen. Zij vertelden al snel dat de drang om alles te willen beschrijven, de grootste valkuil is. Die valkuil liepen we alsnog in hoor, maar doordat je je ervan bewust bent kom je niet erin vast te zitten.”
“Eén van de meest memorabele onderdelen van het het hele ISO 27001 traject was de eerste jaarlijkse awareness training. We deelden alle collega’s op in twee groepen, developers en operations vs niet-technische medewerkers, die tegen elkaar streden. de opdracht was: zorg dat de andere groep ‘hackable’ is. Dat mocht op alle manieren.”
“Iedereen dacht: ‘Dat gaat development en operations sowieso winnen!’ Maar het was het geniale plan van juist het niet technische team om een familielid als schoonmaker einde dag in het pand te laten. Een teamlid van het technische team liet voor hem de deur open na sluitingstijd en toen had het andere team gewonnen. Zo betrek je iedereen meteen bij zo’n ISO traject en wordt het belang ervan in één klap duidelijk.''
Familielid van één van de medewerkers van Scienta kan zo het pand in omdat een lid van het andere team voor hem de deur openliet. Dit had een insluiper kunnen zijn.
“Nou, door ISO 27001 kom je ook achter je eigen tekortkomingen. We hadden bijvoorbeeld nog geen goede grip op Asset Management gezien onze omvang. Ik wist alles nog precies, maarja dat zat allemaal in mijn hoofd en is niet houdbaar met onze groei. Daar moest aandacht naartoe om dat te verbeteren. Verder hebben we wat documentatie verbeterd en herschreven. Toch weer dat beschrijven x 10 waar je dan in door kan slaan.”
“Kader Group hielp ons met onze interne audits en met hen hebben we een stuk of vijf sessies gedaan. Die waren enorm leerzaam. Scienta’s software was ook wel echt een fijne manier om alles bij te houden. Dat zeg ik niet alleen omdat ik bij Scienta werk, het is ook echt zo. Door je eigen kwaliteitsmanagement software te gebruiken, hebben we daar ook weer verbeterpunten kunnen doorvoeren. Sommigen zijn ook met de 9.0 release al doorgevoerd anderen staan nog op de roadmap. Zoals de operationele planning, dat moet straks nog beter kunnen binnen Scienta.”
“Klopt. We zouden Scienta niet zijn als we niet ook alles zouden automatiseren en de lat bijna té hoog leggen. Dat is nu, achteraf, extreem handig. Maar toen kostte het heel veel extra tijd. Door die automatiseringsslag, kunnen we andere bedrijven ook weer beter helpen. Inmiddels zijn er al een paar organisaties die dit van ons konden overnemen. Hierdoor voldeed hun ISMS binnen no time aan alle normen. Je kán je ISO 27001 dus wel halen binnen drie maanden. Dat hebben we al gezien.”
Ruben leunt nog iets verder achterover. “Ja nu blijven we automatisch scherp. Het is niet zo ‘je hebt je certificaat, nu doen we er niks meer aan’ maar zoveel werk als het aan het begin was, is het niet meer. Je bent ook zekerder. We hebben dingen besproken en verbeterd die anders nooit naar boven waren gekomen.”
“Naar verdere verdieping gaan we zeker nog kijken. We zijn nu nog aan het genieten van het behalen van ons 27001 certificaat.”