10 april 2018
Door Ingrid Bader
Zetacom is sinds kort gecertificeerd op het gebied van informatiebeveiliging (ISO 27001 en NEN 7510 voor de zorg). Bijzonder is dat dit geldt voor de hele organisatie en dat wij hiervoor veel verder zijn gegaan dan voor de certificering nodig was. Resultaat is een excellente certificatie die tot uiting komt in de meerwaarde die wij onze klanten kunnen bieden op het gebied van informatieveiligheid. Wij kunnen dit iedereen aanbevelen en geven u daarom graag een kijkje in onze ‘keuken’. < Terug naar overzicht

Informatiebescherming en de bescherming van persoonsgegevens wordt steeds belangrijker voor organisaties, mede door de Europese privacywetgeving (GDPR/AVG) die per 25 mei 2018 ingaat. De certificering van Zetacom onderstreept dat al onze werkprocessen, logische en fysieke beveiligingsmaatregelen voldoen aan de normen van ISO 27001 en NEN 7510. Formeel is dit een belangrijke garantie dat wij de beschikbaarheid, integriteit en vertrouwelijkheid van informatie waarborgen en daarmee een betrouwbare partner zijn op het gebied van informatiebeveiliging.

Het ging ons echter om meer dan het formele certificaat. Wij willen voor klanten ook echt een waardevolle partner zijn op het gebied van informatiebeveiliging. De certificatie was voor ons geen ‘moetje’ maar een ‘lift’ om onszelf naar een hoger niveau te brengen. Graag delen wij onze ervaringen met klanten, leveranciers en partners. Niet om onszelf op de borst te slaan, maar om een gesprek te starten waar we allemaal beter van kunnen worden.

Dit zijn onze waardevolle ervaringen:

Kies de juiste partner voor certificering

Ons ambitieniveau was hoog en wij hebben een partner gezocht die daarbij paste: BDO Nederland. De BDO-consultant heeft succesvolle certificeringen begeleid in de IT en in de Zorg, een perfecte match met Zetacom. BDO hanteert bovendien een pragmatische aanpak door te werken met standaard formats voor de ISO-documenten. Het traject ging daardoor meer over de implementatie dan over de interpretatie van ISO-richtlijnen. Hierdoor konden wij snel alle formele stappen nemen en hielden we tijd over voor wat echt belangrijk is: de bewustwording van onze medewerkers.

Informatieveiligheid is vooral mensenwerk

Ons uitgangspunt is dat informatieveiligheid, ondanks de vooruitstrevende techniek, uiteindelijk voor 70 procent mensenwerk is. Daarom hebben wij de lat op het gebied van bewustwording en training van medewerkers extra hoog gelegd. Het doel was dat het onze klanten zou opvallen dat de Zetacom-engineer informatiebeveiliging proactief ter sprake brengt.

De bewustwording begon met een persoonlijke videoboodschap van onze CEO Dick Dompeling aan alle medewerkers, over het belang dat hijzelf hecht aan privacy. En hoe dat ook geldt voor onze klanten en leveranciers. Zo zijn wij intern de gesprekken gestart over het belang van informatiebeveiliging en hoe onze mensen zelf verantwoordelijkheid kunnen nemen op dit gebied. Samen met onze IT-manager Gabor Schilten (CISSP) heb ik enerverende gesprekken gehad met onze engineers over hun ervaringen bij klanten en over de (technische) oplossing hiervan. Met nadruk hebben wij het ook gehad over het aanspreken van klanten, leveranciers en management op onveilig gedrag. Want hoe zorg je dat jouw ‘opmerkingen’ over het niveau van informatiebeveiliging bij de klant bespreekbaar worden? Ik ben er trots op dat hiervoor inmiddels meerdere van onze mensen persoonlijk complimenten en bedankjes hebben gekregen van onze klanten. Doelstelling gehaald!

Maak informatiebeveiliging onderdeel van alle bedrijfsprocessen

Ik ben van mening dat informatiebeveiliging alleen kan worden gegarandeerd als de gehele organisatie gecertificeerd is. Daarom heeft Zetacom bewust gekozen om alle afdelingen en bedrijfsprocessen te certificeren en niet slechts een of twee afdelingen. Het voordeel is dat alle medewerkers die aan het bewustwordingsprogramma meedoen elkaar en mij scherp houden.

Passende auditor die je uitdaagt

Als systemintegrator loopt Zetacom vaak vóórop in de ontwikkeling van techniek. Wij hebben dan ook bewust gezocht naar een certificerend auditor die ons uitdaagt. Die hebben wij gevonden bij KIWA. Onze auditor heeft veel ervaring in de zorg en zoveel passie voor IT dat geen enkele technologische ontwikkeling hem onbekend was. Onze engineers respecteerden zijn kennis en daarmee gingen de audits direct over de écht belangrijke onderwerpen.

De oogst: excellente certificering en hoog bewustzijn

Het certificeringsproces heeft bij ons ongeveer een half jaar geduurd. De technische en fysieke beveiliging waren al op een hoog niveau en moesten vooral duidelijk benoemd en gedocumenteerd worden. Informatiebeveiligingsbeleid, managementsysteem en risicoanalyse zijn efficiënt uitgevoerd aan de hand van de standaard formats van BDO. En informatiebeveiliging was het onderwerp van gesprek aan onze lunchtafel. De certificerende auditors van KIWA concludeerden uiteindelijk dat onze informatiebeveiliging op alle gebieden naar een hoog niveau is gebracht, met een zeer hoog niveau van awareness bij onze medewerkers. Dat was voor ons de bevestiging dat we ook echt het verschil hebben gemaakt.

Meer weten?

Wilt u weten over deze blog en onze ervaringen of wilt u eens van gedachten wisselen over mogelijke oplossingen voor uw organisatie? Neem dan contact op met Ingrid bader, CFO via i.bader@zetacom.nl of 088 938 2203