Onze deskundigen hebben, om het makkelijk te maken, ook nog eens allebei dezelfde voornaam. Ruben van der Kolk is CISO van de WoodWing Group en Ruben Glasbergen quality consultant bij Herrmann BV, het adviesbureau op het gebied van kwaliteitsmanagement dat voor WoodWing de interne audits verzorgt.
Ruben Glasbergen: “De honger naar data en het groeiende aantal informatiesystemen waarin gegevens worden vastgelegd, maken het nóg belangrijker om na te denken over hoe je alles organiseert. Bedrijfsinformatie is namelijk alleen waardevol als deze beschikbaar, toegankelijk én betrouwbaar is. ISO 27001 geeft je de handvatten om dit te doen.”
Ruben van der Kolk: “Wij krijgen in zo’n beetje elk klantgesprek de vraag hoe wij onze informatiebeveiliging hebben geregeld. Logisch als je bedenkt dat zij hun waardevolle documenten en bedrijfsinformatie onderbrengen in onze systemen. De ISO 27001-certificering is ons bewijs dat wij ons informatiebeveiligingsmanagementsysteem (ISMS) op orde hebben, op alle drie de niveaus. Wat velen namelijk niet weten is dat je met ISO 27001 aantoont dat je ISMS klopt qua ontwerp, maar ook wat betreft toepassing in de praktijk en aantoonbare effectiviteit (oftewel opzet, werking en bestaan).”
Valkuil nummer een is dat er te veel aandacht wordt besteed aan de techniek en te weinig aan het bevorderen van beveiligingsbewustzijn binnen de hele organisatie. Een tweede valkuil is dat mensen zich verliezen in details en daardoor de uiteindelijke doelstelling vergeten. Maar de allergrootste misvatting is valkuil nummer drie: een ISO-certificering doen voor een vinkje van de auditor in plaats van het doorlopend verbeteren van je informatiebeveiliging.
Ruben Glasbergen: “De technische kant van het ISO-kader is vaak wel op orde. Veel bedrijven gebruiken technologie van grote bedrijven als Amazon en Microsoft en die hebben qua informatiebeveiliging hun zaken echt wel voor elkaar.” Ruben van der Kolk: “Bij WoodWing waren in het begin vooral de direct betrokkenen zich bewust van het belang van informatiebeveiliging. Voor andere medewerkers bleef het een ver van mijn bed show omdat de richtlijnen te ver afstonden van hun werk in de praktijk.”
Ruben van der Kolk: “Doe geen dingen omdat je denkt dat het moet, maar focus op díe onderdelen die concreet iets toevoegen.” Ruben Glasbergen: “Dat eerste zie je bijvoorbeeld terug bij leveranciersmanagement. In de norm staat dat je daar ‘iets mee moet doen’, maar dat betekent niet dat je elke leverancier waarmee je ooit hebt gewerkt elke week volledig door moet lichten.”
Ruben Glasbergen: "Waarom zou je een ISMS inrichten om een externe auditor tevreden te stellen? Probeer het klein te houden zodat wat je doet, doeltreffend is en bouw dat steeds verder uit.” Ruben van der Kolk: “Een ISMS moet in eerste instantie voor je organisatie werken. Maak informatiebeveiliging relevant voor je medewerkers, dan is de vertaalslag naar hun eigen werk sneller gemaakt en dat is precies waar je de grootste winst kunt behalen.”
Ruben van der Kolk: “Er zijn verschillende manieren waarop je bekende valkuilen kunt vermijden. Bij WoodWing doen we dat als volgt:”
“Het management van WoodWing heeft zelf KPI’s voor informatiebeveiliging geïntroduceerd. De periodieke awareness-training moet door ten minste 98% van de medewerkers worden voltooid en daarnaast werken we ook aan een bewustzijnsscore om meer inzicht te krijgen in de effectiviteit. Daarnaast dragen het MT en de MD's het belang van security awareness ook uit, bijvoorbeeld tijdens bedrijfsbreede meetings.”
“Het betrekken van medewerkers bij informatiebeveiliging begint bij ons al op de eerste dag. Het is onderdeel van de onboarding van nieuwe collega’s, onder andere in de vorm van een persoonlijk gesprek met een ISO of de CISO.”
“Met de tip van de maand bespreken we een actueel voorbeeld en vertellen we medewerkers wat ze in dit soort gevallen het beste kunnen doen. Wij selecteren bij interne audits juist auditees die het werk uitvoeren in plaats van dat we alleen managers ondervragen die het proces hebben ingericht en dus van A tot Z weten hoe iets werkt. Dat verhoogt hun bewustzijn en betrokkenheid en geeft een beter inzicht in onze processen en of deze op de werkvloer verlopen zoals ze in je ISMS zijn uitgewerkt.”
“We kijken hoe iemand werkt en bepalen vervolgens wat er nodig is om informatie hierbij veilig te houden. Daarmee breng je ISO 27001 naar de gebruikers en hoeven zij niet zelf te bedenken hoe informatiebeveiliging er in hun functie uitziet. Daarnaast zijn ISO-richtlijnen een vast onderdeel van projecten, waardoor we de juiste vragen op het juiste moment stellen.”
“Wij zijn ISO 27001-gecertificeerd omdat we op een gestructureerde en duurzame manier willen werken aan het verbeteren van informatiebeveiliging. Voegt een bepaald onderdeel van de norm iets toe, dan maken we het zo mooi mogelijk. Is dat niet het geval, dan volstaat de basis.”
Ruben Glasbergen: “Is je aanpak van informatiebeveiliging groter en complexer, dan kun je eigenlijk niet zonder moderne tools. Dat zie je op een positieve manier terug bij WoodWing. Elke medewerker die ik vragen stel, is zich heel bewust van het belang en de praktische toepassing van informatiebeveiliging. Daarbij kunnen ze bewijs voor dat bewustzijn moeiteloos terugvinden in het kwaliteitsmanagementsysteem Scienta in de vorm van de uitgewerkte regels en checks. Dat je de richtlijnen voor informatiebeveiliging in Scienta op een aantrekkelijke manier kunt presenteren, draagt bij aan de algehele toegankelijkheid van kennis en informatie en houdt het onderwerp levend.”
Ruben van der Kolk: “Interne audits zijn verplicht vanuit de ISO 27001-norm. Wij zien het vooral als extra voordeel omdat alles wat in de interne audit wordt opgepikt, buiten schot blijft in de externe audit. Natuurlijk is elke audit spannend, maar Ruben Glasbergen weet precies wat hij moet doen om medewerkers op hun gemak te stellen. Hij creëert binnen twee minuten een fijne, open sfeer waarbij collega’s vrijuit durven vertellen hoe ze werken. Daarmee krijgen we een goed beeld van hoe de vlag er echt bijhangt en waar we kunnen leren en verbeteren. En daar is het ons uiteindelijk om te doen.”