Dit artikel richt zich op CISO’s die certificering overwegen en op de belangrijkste spelers in het bedrijf die het proces zouden kunnen faciliteren of het zouden kunnen gebruiken voor hun bedrijfsontwikkeling. We bespreken de culturele uitdaging, de commerciële voordelen en zelfs de noodzaak van projectmanagementvaardigheden.
Hartelijk dank aan Sven Van den Broeck, CISO bij Sofico, voor het delen van zijn ervaring en de vruchtbare samenwerking met ons team. Gefeliciteerd met het behalen van de certificering binnen de gestelde termijn!
Wat waren voor u de belangrijkste redenen om ISO 27001 gecertificeerd te worden?
Natuurlijk is een van de meest voorkomende redenen voor bedrijven om deze reis te beginnen de behoefte aan security governance om de groeiende bedreigingen het hoofd te bieden. Sven wilde vooral 3 andere redenen benadrukken die verder gaan dan beveiliging.
- De groei van ons bedrijf: Met meerdere vestigingen hadden we behoefte aan meer structuur en regels om vooruit te komen.
- De eisen van onze klanten: In eerste instantie was het niet positief kunnen beantwoorden van hun vraag ‘bent u ISO 27001 gecertificeerd’ geen dealbreaker. Maar het bracht wel extra intern werk met zich mee om de klant gerust te stellen door al hun aanvullende vragen te beantwoorden. Maar uiteindelijk voelden we de urgentie en noodzaak om een certificaat te verstrekken om nieuwe contracten te kunnen starten of om verder te kunnen werken aan bestaande contracten. Voor dienstverleners, zoals wij, is het een vereiste geworden om zaken te kunnen blijven doen met sommige klanten.
- Proactief zijn met het oog op komende, nieuwe of bijgewerkte nationale of internationale regelgeving: bestaande normen worden strenger of er verschijnen nieuwe. Deze uitdagende context en de druk van de regelgeving hebben ons doen besluiten ISO 27001 te implementeren om ons voor te bereiden op de toekomst.
Wat was de reikwijdte van het project?
Sofico is een softwareontwikkelingsbedrijf met 8 kantoren verspreid over verschillende continenten. Momenteel werken er ongeveer 350 medewerkers voor ons.
De belangrijkste gebieden waren ontwikkelingsprocessen en uitdagingen voor meerdere kantoren, zoals fysieke bescherming en organisatorische veranderingen.
Na vergaderingen met Approach en intern werd het duidelijk dat de reikwijdte moest worden uitgebreid naar de hele organisatie.
Dit omvatte mensen, processen en technologieën voor een allesomvattende aanpak.
Wat was de benodigde investering in termen van middelen en tijd om het project te voltooien?
We moesten onze certificering behalen voor1 januari 2021 en we hadden 18 maanden voor de boeg om dit te bereiken. “Het is goed om een duidelijke deadline te hebben. Want als je die niet hebt, is het gemakkelijker om uit te stellen. Het eerste wat we dus moesten doen was een retroplanning en een stappenplan maken om ervoor te zorgen dat we voor de deadline gecertificeerd zouden zijn”.
Het project bestond uit twee fasen:
- De eerste fase werd gebruikt om het bedrijf voor te bereiden op de volgende stap: Het team opzetten en intern de juiste kandidaten vinden, de hele organisatie informeren, de reikwijdte van het project en de rollen en verantwoordelijkheden (RACI-matrix) definiëren.
- De implementatie zelf duurde 9 maanden omdat deze parallel moest worden uitgevoerd voor al onze 8 kantoren over de hele wereld.
Het project had sneller kunnen worden afgerond, maar we hebben extra tijd genomen in de voorbereidingsfase (details hieronder).
Om de voortgang soepel te laten verlopen, hebben we een interne ISO-organisatie opgezet en voor elk kantoor een Local Information Security Officer (LISO) aangesteld.
Als CISO leidde ik het nieuwe team en was ik de Project Manager Accountable.
Waarom een externe partner gebruiken om uw certificeringsproces te ondersteunen?
“Geen gebruik maken van een externe partner, zonder zelf of binnen je organisatie enige kennis te hebben, is een no go.”
Zelfs als je ISO 27001 en interne audittrainingen hebt gevolgd, geeft het je alleen inzicht in wat de norm is. Het geeft je geen praktische informatie over hoe een ISMS werkt.
“Feedback krijgen van een externe expert en dat hij onze aanpak ter discussie stelde, was precies wat we nodig hadden. Het hielp ons om van de theorie naar het echte leven te gaan.”
Het gebruik van een externe partner om je te adviseren en te begeleiden tijdens je reis heeft ons proces versneld.
Wat zijn uw aanbevelingen voor organisaties en CISO’s die geïnteresseerd zijn in een ISO 27001-certificering?
Tijdens de implementatiefase zijn projectmanagementcompetenties en -middelen essentieel.
“Het implementeren van het ISMS gaat meer over projectmanagement dan over technische vaardigheden. Als projectleider besteedde ik bijna al mijn tijd aan het zorgen dat alle projecten op schema liepen. Het is cruciaal om de hoeveelheid tijd die nodig is voor projectmanagement niet te onderschatten. Dus, mijn eerste aanbeveling – als je een drukke CISO bent – zou moeten zijn om een toegewijde en ervaren projectmanager aan te stellen of, indien nodig, de functie uit te besteden.”
Ten tweede, denk bij het plannen van het budget voor het project niet alleen aan de kosten voor een externe partner om je te begeleiden (je zult tijd en geld besparen met hun expertise, het is een waardevolle investering), interne middelen en voor de audit. Maar reserveer ook een budget voor de aanschaf van de tools die nodig zijn om een ISMS te kunnen uitvoeren!
Ten derde is het belangrijk om ervoor te zorgen dat de middelen beschikbaar zijn, over de juiste competenties beschikken en aan boord van het project zijn. Hun medewerking, beschikbaarheid en competentie zijn essentieel om het proces zo soepel mogelijk te laten verlopen.
Onderschat tot slot het belang van de bedrijfscultuur niet. We hadden de tijd om het project af te ronden kunnen verkorten, maar dat had een negatieve impact op onze cultuur kunnen hebben. We wilden er zeker van zijn dat we onze ‘Sofico Cultuur’ zouden behouden. Het was een uitdaging om te zien hoe we de certificering konden implementeren zonder onze manier van werken in gevaar te brengen. Het was van vitaal belang om ervoor te zorgen dat iedereen in het bedrijf het doel van de certificering begreep en dat ze hun zorgen konden delen. Bovendien stelde de feedback ons in staat om een stap terug te doen en een aantal van onze beslissingen te herzien voordat we verder gingen. Om iedereen aan boord te krijgen, moet je eerst het doel van het project delen. Laat mensen vragen stellen en beslissingen aanvechten, het resultaat kan alleen worden verbeterd als uw organisatie zich betrokken voelt.
Waarom heb je voor Approach gekozen?
Hoewel we oorspronkelijk naar bekende internationale bedrijven keken, merkten we dat de persoonlijke benadering ontbrak. En dat was uiteindelijk het belangrijkste aspect in de dagelijkse samenwerking.
“Onze voorkeur ging uit naar het samenwerken met een bedrijf op mensenmaat en het opbouwen van een sterk partnerschap. Met Approach konden we profiteren van sterke expertise om ons op weg te helpen, zonder gewoon een nummer te zijn.
Wat was de toegevoegde waarde van Approach in het project?
Een van hun toegevoegde waarden was hun vermogen om van theorie naar praktijk te gaan. Het vertalen van de regels naar een echt actieplan vereist een sterke veldexpertise en onze toegewezen expert van Approach deed dat erg goed!
Ten tweede daagden ze ons uit en zorgden ze ervoor dat we grondig genoeg waren in onze implementatie. Dat is echt essentieel als je je project succesvol wilt uitvoeren binnen je tijdlijn – maar ook om goed voorbereid te zijn op de externe audit.
En tot slot hielpen hun beschikbaarheid en flexibiliteit ons om door te gaan, zonder door een probleem te worden tegengehouden. Tijdens het hele project zullen er voortdurend vragen en obstakels opduiken en de mogelijkheid hebben om snel goed advies en aanbevelingen te krijgen is cruciaal.
“Ook al hebben we ons certificaat behaald, ik weet zeker dat onze samenwerking met Approach nog niet is afgelopen.”
Klaar om uw ISO 27001-reis te beginnen? Neem contact met ons op
