Meer informatie Ja, ik geef toestemming
Door Dagmar Ingelse Leestijd 2 min.

Hoe ISO-certificering leidt tot een cultuuromslag: 3 voorbeelden uit de dagelijkse praktijk

Wat waren we trots toen we in 2018, na een zeer intensieve voorbereiding, onze ISO 9001, ISO 27001 en NEN 7510 certificering behaalden. Deze onafhankelijke toets of je bedrijfsvoering en de informatiebeveiliging op orde zijn, biedt zekerheid aan opdrachtgevers, partners en andere stakeholders. Ieder jaar worden we opnieuw doorgelicht en dat heeft onze manier van denken en werken grondig veranderd.

ISO certificeringen

Onafhankelijke, externe beoordeling

ISO 9001 is een belangrijke maatstaf voor de kwaliteit, transparantie en betrouwbaarheid van je organisatie. Het ISO 27001 certificaat geeft aan dat je voldoet aan alle (internationale) normeisen op het gebied van informatiebeveiliging. NEN 7510 is een aanvullende (Nederlandse) norm voor beveiliging van informatie uit de gezondheidszorg.

Bij Way2Web hebben we de lat altijd al hoog gelegd als het gaat om kwaliteit, betrouwbaarheid en veiligheid. Door onze werkwijze door een onafhankelijke derde partij te laten toetsen, konden we aan anderen, maar zeker óók aan onszelf, laten zien dat we aantoonbaar in control zijn.

Jaarlijkse toetsing, maandelijkse audit

Ieder jaar wordt opnieuw bekeken of we voldoen aan ISO/NEN-eisen en daar blijft het niet bij. Iedere maand legt onze speciaal hiervoor opgeleide interne auditor Patricia ons het vuur aan de schenen om te checken of we de zaken op orde hebben en welke relevante ontwikkelingen er zijn.

Zo’n audit lijkt aanvankelijk op een terugkerend examen, maar heeft er inmiddels toe geleid dat we bedrijfsbreed, continu en proactief over deze thema’s nadenken.

Het is belangrijk dat iedere medewerker zich altijd bewust is waar hij of zij mee bezig is. En dat de werkprocessen en de techniek zodanig zijn ingericht dat iemand de juiste dingen kan doen (en de verkeerde dingen niet). We loggen echt alles – zelfs of iemand die logs vervolgens zou verwijderen om zijn sporen uit te wissen!

ISO-gecertificeerd tot in onze genen

Onze organisatie is er nu op ingericht om risico’s te signaleren en om goed op te letten wat er bijvoorbeeld binnen onze én andere organisaties misgaat. We hebben daar zelfs een interne chatgroep voor opgericht. Daar worden meerdere keren per week bepaalde gebeurtenissen gemeld waar we van kunnen leren.

Die onderwerpen worden vervolgens besproken met de ontwikkelteams, er wordt beleid op geschreven en vertaald naar onze infrastructuur. Zo borgen we verbeteringen. Het continu nadenken over het verbeteren van kwaliteit en veiligheid is dus dankzij ISO (nog veel meer) in ons DNA gaan zitten.

Voorbeeld 1: browserextensies

Wij denken dat browserextensies de komende tijd tot de grootste securityrisico’s gaan behoren. Deze extensies, plug-ins en add-ons voegen functionaliteit toe aan je browser. Vaak heel handig maar ook riskant als je niet weet waar ze precies vandaan komen. Het kan namelijk malware zijn.

Omdat browserextensies relatief veel kunnen en ‘live’ kunnen meeluisteren in de browser omdat je ze zelf installeert, is het lastig te beveiligen en te monitoren. Wij willen dat toch onder controle krijgen door bijvoorbeeld met onze werkplekbeheerder ‘whitelists’ af te dwingen binnen de configuratie van al onze hardware.

browser extensions

Een whitelist is een lijst browserextensies die te vertrouwen zijn. De lijst stellen we in onderling overleg op en wordt aangepast volgens een interne procedure. Het controleren van de uitvoering van de procedure én de resultaten doen we minimaal jaarlijks en leggen we ook weer vast. Wel zo veilig!

Way2Web Peter Paul Dagmar overleg

Slimme bestickering op de ramen om inkijk te voorkomen

Voorbeeld 2: werken vanuit (t)huis

Een logisch gevolg van het afgelopen jaar is dat al onze collega’s vanuit huis werken. Dit soort zaken testten wij al voordat de pandemie ontstond, omdat het onderdeel is van ons continüiteitsplan. Dat neemt echter niet weg dat de veiligheidsrisico’s van langdurig thuiswerken anders zijn dan die op kantoor. Wat doen we daarmee?

Het is niet te voorspellen of te bepalen ‘hoe veilig’ een thuiswerkplek is. Op ons kantoor zijn allerlei zichtbare en onzichtbare veiligheidsmaatregelen genomen tegen inbraak. Of denk aan slimme bestickering op de ramen om inkijk te voorkomen. Een thuiswerkplek daarentegen kan niet gecontroleerd worden.

Daarom treffen we drie soorten maatregelen:

  • 1. We benadrukken elke maand tijdens bedrijfsbrede sessies welke risico’s er zijn (en waar onze collega’s zelf op kunnen letten).
  • 2. We stellen ze in staat om hun eigen verantwoordelijkheid serieus te nemen en zorgen voor materiaal waar dat nodig is.
  • 3. Tot slot zoeken we altijd naar een objectieve test om bepaalde zaken op afstand voor al onze collega’s te kunnen meten. In dit geval de (nota bene door onszelf ontwikkelde) Veilig Wonen-scan van het Centrum voor Criminaliteit en Veiligheid dat veel aspecten afdekt. Briljant!
Way2Web Ezra Peter Paul

Voorbeeld 3: blijf updaten!

Het is voor alle hard- en software die we gebruiken van groot belang dat we voortdurend op de hoogte blijven van nieuwe updates, met name die gericht zijn op veiligheid. Vandaar ook dat een update bij Way2Web nooit als ‘optioneel’ wordt gezien.

Natuurlijk is het werkplekbeheer hierop ingericht en worden belangrijke updates zo snel mogelijk doorgevoerd. Hetzelfde principe hanteren we voor alle softwareapplicaties die wij onderhouden. In samenwerking met onze hostingspecialisten updaten we zelfs de servercontainers wanneer dat nodig is.

Uiteraard is ‘de vondst’ soms sneller dan ‘de patch’. Dat is precies de reden waarom we een speciale lijst met relevante tech media hebben opgesteld die, regelmatig én via RSS, door een vast aantal collega’s worden doorgrond. En ook die lijst wordt weer regelmatig bijgewerkt volgens een vaste procedure.

Tot slot

Je bedrijf voorbereiden om te laten certificeren is aanvankelijk een heidens karwei waar je vele dagen aan kwijt bent. Het is nieuw voor je en het gaat om enorme hoeveelheden voorwaarden, eisen en protocollen.

Toch blijkt na verloop van tijd dat je de filosofie erachter eigenlijk geïnternaliseerd hebt. Het zit in je DNA en je bent er als het ware van nature continu mee bezig. En ook dat, zo hebben we ervaren, is een waardevolle kwaliteitsimpuls voor je organisatie.

Bent u klaar voor the next level?

De digitale transformatie biedt fantastische nieuwe mogelijkheden en kansen. Ook voor uw onderneming, dat weet ik zeker. Als IT-specialist én ondernemer praat ik daar graag eens met u over verder. Geheel vrijblijvend natuurlijk. Zullen we een afspraak maken?