-1080-680.jpg)
Misschien heb je er weleens iets over voorbij horen komen, de NIS2-wetgeving. Deze Europese richtlijn verplicht bedrijven om hun digitale beveiliging op orde te hebben. Bedrijven moeten hun beveiliging niet alleen blijven verbeteren en in staat zijn om cyberaanvallen snel te melden, maar ook mogelijke schade beperken. Ook jem-id heeft met deze wetgeving te maken. Als digitale schakel in onder andere de voedselvoorziening, dragen wij een grote verantwoordelijkheid. Zowel voor onze klanten als voor onszelf was het daarom een logische stap om ons te laten certificeren op het gebied van digitale beveiliging. Information Security Officer Jeroen neemt je mee in dat proces.
ISO 27001-certificering
We hebben gekozen voor de ISO 27001-certificering. Deze certificering toont aan welke stappen een organisatie heeft genomen om (klant)gegevens zo veilig en beschikbaar mogelijk te beheren. Deze norm gaat onder andere in op risicobeoordeling, beheersmaatregelen, verantwoordelijkheden, bewustwording, inzicht in incidenten, opvolging daarvan én continue verbetering. Hoewel een ISO 27001-certificering niet automatisch betekent dat je voldoet aan de NIS2-wetgeving, sluit de inhoud hier wel nauw op aan.
Van ‘Mister Security’ naar ‘Information Security Officer’
“Jij weet wel het een en ander van dataveiligheid en controles toch?” Die vraag kreeg ik van collega Martijn in een van mijn eerste weken toen ik in 2018 als kersverse jem-id'er begon. Ik kwam uit de uitzendwereld waar - door de aard van de gegevens die je beheert - erg streng gecontroleerd wordt op dit onderwerp. Toen ik ‘ja’ antwoordde, gaf hij aan een leuke klus voor mij te hebben. Om aan klanten te laten zien dat wij zorgvuldig omgingen met klantgevoelige data, wilden we ons hierop laten controleren door een externe partij. Ik kreeg de taak om ons hiervoor klaar te stomen. Naast de technische beveiliging was het bewustzijn van (data)veiligheid onder collega’s, ook wel ‘security awareness’, een belangrijk onderdeel van het proces. Door alle security-presentaties en reminders om je computerscherm te vergrendelen, werd ik al snel met een knipoog ‘Mister Security’ genoemd.
Achteraf gezien was dit Data-Governance-project in 2019 een voorloper op de ISO 27001-certificering. Toen jem-id besloot zich te laten certificeren voor de ISO27001, werd al snel duidelijk dat er een meer officiële rol nodig was en werd Mister Security, Information Security Officer.
Certificaat vooral een bevestiging
Voor ons was het logischer om ons te laten certificeren dan om het niet te doen. Dataveiligheid is namelijk altijd belangrijk geweest voor ons. Tijdens de controle in 2019 kregen we een mooi compliment van het controlebureau Ernst en Young: "Jullie hebben het op sommige vlakken beter beveiligd dan we bij verschillende banken hebben gezien.”
Sinds het traject in 2019 is er een security-team gevormd. Collega’s vanuit verschillende rollen zoals directie, systeembeheer, ontwikkeling en integratie komen elke twee weken samen om security onderwerpen te bespreken. Van awareness tot systeembeheer, van laatste ontwikkelingen tot beleid. Collega’s kunnen via een speciaal kanaal onderwerpen inbrengen, waarna het securityteam deze bespreekt.
Een intensief traject
Zelfs als je alles op orde denkt te hebben, is een certificering een intensief traject. De certificeringsnorm stelt helder vast waarop er gecontroleerd wordt. Het meeste werk zat bij ons in het opstellen van bewijsvoering zodat alles op de juiste manier gecontroleerd kon worden. Samen met een externe adviseur hebben wij ervoor gezorgd dat ons informatiemanagementsysteem aan de te controleren onderdelen voldeed. Dit begon met een interne audit en interviews over de al genomen maatregelen, werkwijzen en hoe dit al was vastgelegd. Wij zijn een praktisch bedrijf, dus alles tot in detail vastleggen was wel een stapje verder dan we gewend waren.
Door onze specialisaties in zowel de AGF- als de sierteeltsector hebben we eigenlijk twee aparte audits doorlopen. Deze twee afdelingen opereren namelijk gescheiden op het gebied van ontwikkeling en klantbegeleiding. Hoewel wij bij jem-id één uniforme werkwijze hanteren, zitten de verschillen vooral in de details en juist die zijn belangrijk voor deze certificering. Dit leidde ertoe dat we, naast de voorbereidingen, maar liefst zes volle dagen aan audits hebben doorlopen. Tijdens deze dagen werden uitgebreide interviews afgenomen met collega’s uit verschillende teams.
Een positieve verrassing was dat onze ontwikkelprocessen vaak strenger waren dan wat we in ons securitybeleid hadden vastgelegd. Een auditeur vraagt goed door en prikt er snel doorheen als je niet kunt bewijzen wat je zegt dat je doet.
Niet alleen voor het papiertje
Natuurlijk is het certificaat iets om trots op te zijn, maar je bent niet klaar als je die in handen hebt. De certificering is geen momentopname, maar een continu proces waar je je als bedrijf aan verbindt. Met deze certificering krijg je een zekere structuur in je informatiemanagementsysteem. Een van de eisen is dat je jaarlijks kunt aantonen dat je dat systeem continu verbetert. Dit betekent dat bedrijfsprocessen op basis van analyses en controles actief worden aangepast, met bewezen meetbare verbeteringen als resultaat. Dat is voor ons wel de grootste verandering tot nu toe geweest. Er is meer administratie bij gekomen om te kunnen aantonen dat we verbeteringen volgens een vast stramien doorvoeren. Gelukkig zat het continu verbeteren bij ons al goed ingebakken en dat viel onze auditor ook meteen op. Iedereen wordt actief aangemoedigd om met ideeën te komen, die waar mogelijk snel worden opgepakt en geïmplementeerd. Dit is niet alleen beter voor onszelf, maar uiteindelijk vooral ook voor onze klanten.
Benieuwd geworden?
Dataveiligheid wordt alleen maar relevanter en voor iedereen belangrijk, zelfs als je je niet hoeft te laten certificeren. Benieuwd geworden hoe we ervoor zorgen dat al onze collega’s niet zomaar weglopen van hun pc zonder het scherm te vergrendelen? Of er niet op schadelijke links in mails wordt geklikt? Neem dan gerust contact met ons op!
-780-0.JPG)
