Informatiebeveiliging onder controle krijgen
Een nieuw ISMS
Leon van der Valk, Chief Information Security Officer bij SPIE Nederland, herinnert zich hoe het begon: "In 2020 bereidden we ons voor op de ISO 27001-certificering toen externe druk ons dwong tot actie: we hadden plotseling snel een nieuw Informatiebeveiligingsmanagementsysteem nodig. Onze IT-partner wees ons op ISOPlanner™. We deden een test, de resultaten waren onmiddellijk overtuigend, en we kochten de applicatie."
Schaalbaar en functioneel
Hij vervolgt: "ISOPlanner™ was oorspronkelijk gebouwd voor kleinere bedrijven, maar samen hebben we het zo gevormd dat het past bij een grote organisatie. Elk van onze divisies werkt in zijn eigen silo, en die silo's zijn met elkaar verbonden, zodat het platform schaalt naar onze structuur in plaats van ertegenin te gaan."
Essentieel onderdeel van bedrijfsprocessen
Nadat de test succesvol bleek, werd ISOPlanner™ uitgerold binnen de organisatie en werd het een vast onderdeel van het ISO 27001-certificeringsproces. "Ongeveer 30 collega's werken er nu mee, verspreid over management, IT en de business units." zegt hij, "Toegangsrechten tot applicaties worden allemaal via IT binnen het platform beheerd. ISOPlanner™ is echt een onderdeel geworden van onze bedrijfsvoering en onze beveiliging."
Gebruiksvriendelijk en functioneel
Wat SPIE Nederland het meest waardeert, is hoe toegankelijk het platform is. Van der Valk: "Vergeleken met vergelijkbare tools is ISOPlanner™ veel toegankelijker en gebruiksvriendelijker. Omdat het gemakkelijk op te pakken is, heb ik geen enkele weerstand ondervonden van collega's. Ik herhaal, geen weerstand. Het is één grote strijd minder. Je wilt geen interne weerstand bestrijden, je moet je richten op het project zelf."
Structuur, overzicht en begeleiding
Van der Valk vervolgt: "De waarde blijkt pas echt op het moment dat je moet weten wat je nu precies moet doen. Geef iemand een 100 pagina's tellende Engelse standaard en het eerste wat je terugkrijgt is, 'Ja, maar wat moet ik dan doen?' Ik heb het zelf meerdere keren moeten lezen, en ik ben een beveiligingsspecialist."
ISOPlanner™ beantwoordt die vraag. Het beschrijft de volgende actie, structureert het onderliggende bewijs dat de auditor wil zien, en zorgt ervoor dat een grote groep mensen op dezelfde manier werkt. Hij voegt toe: "Ik kopieer geen documentatie, we werken in SharePoint. ISOPlanner™ haalt die documenten binnen en koppelt ze direct aan de risico's en beleidsregels."
Een partner, geen pakket
SPIE Nederland waardeert ook de open communicatielijn met het ISOPlanner™-team. Van der Valk:
Vooruitlopend op NIS2
Met ISOPlanner™ behaalde SPIE Nederland zijn eerste doel: ISO 27001-certificering voor de startende business units. Vijf certificaten zijn nu binnen, verspreid over verschillende divisies, en er komen er nog meer aan.
Hij kijkt vooruit: "ISOPlanner™ stelt ons in staat om vooruit te lopen op wat komen gaat. Er komen nieuwe regelgevingen aan die onze organisatie hard zullen raken, waaronder NIS2 en IEC 62443 voor cybersecurity in industriële automatisering, die regelt hoe industriële infrastructuur en processen worden beveiligd. We moeten daar nu op inspelen, en ISOPlanner™ maakt het eenvoudig: die standaardset komt binnenkort naar het platform. Dat is het punt, ze blijven op de hoogte van wat de markt daadwerkelijk nodig heeft."
Waar het allemaal op neerkomt...
Van der Valk concludeert: "Het komt hierop neer: ons certificeringswerk is eenvoudiger, duidelijker en veel minder een sleur. We hebben een echt communicatiemiddel dat elke divisie en business unit bedient en collega's en management op de hoogte houdt. En het is prettig samenwerken, we leren van elkaar en we blijven allebei de zaken vooruit helpen."
