‘ISO 27001-certificering solide basis voor informatiebeveiliging’

H&R Business IT Solutions ondersteunt al sinds 1991 organisaties bij het ontwikkelen en beheren van hun complete IT-omgeving. Het Utrechtse familiebedrijf biedt daarvoor een uitgebreid dienstenportfolio, van consultancy en projectmanagement en implementatie en migratie tot werkplekinrichting en data- en cloudoplossingen. Persoonlijke dienstverlening in een business die steeds onpersoonlijker wordt, dat is het devies van H&R. Daarbij hoort ook het op een verantwoorde en vertrouwelijke manier omgaan met klant- en bedrijfsgegevens en dus certificeerde H&R zich onlangs bij Kiwa voor de standaard ISO 27001. Projectmanager Junior van Rooij vertelt er meer over.

Waarin onderscheidt H&R Business IT Solutions zich van concurrenten?

Bij H&R ontwikkelen we de IT-omgeving van de toekomst voor onze relaties en installeren en beheren die gedurende de gehele lifecycle. Wij kijken daarbij verder dan enkel en alleen de IT-behoefte, maar streven ernaar om onze klanten te helpen om hun organisatie écht verder te ontwikkelen. Wij zijn van mening dat IT de business moet ondersteunen, zodat organisaties tijd en ruimte hebben om zich te richten op hun eigen ontwikkeling. Daarbij ligt onze kracht in de persoonlijke aandacht die we aan onze klanten geven. In de praktijk betekent dit dat onze relaties voor elk IT-vraagstuk snel kunnen schakelen met de juiste specialist van H&R. We merken dat persoonlijk en laagdrempelig contact iets is waar klanten veel behoefte aan hebben.

Hoe ging H&R om met informatiebeveiliging vóórdat het ISO 27001-traject werd ingezet?

Op technisch vlak waren er al veel zaken goed ingeregeld. We beheren al jaren IT-omgevingen voor onze klanten, met name MKB-organisaties, en security is daarbij een belangrijke pijler voor een succesvolle managed service dienstverlening. Toch heeft deze certificering ons gedwongen om kritisch te kijken naar wat er al staat en ons geholpen om meer bedrijfsbreed te denken. Voorheen werd er meer gedacht vanuit afdelingen en werden beslissingen vaker gedecentraliseerd genomen en vastgelegd. Met deze ISO-certificering zijn afdelingen onderling beter op elkaar afgestemd en volgen we als bedrijf één duidelijke lijn op het gebied van informatiebeveiliging.

Waarom besloot H&R om op te gaan voor ISO 27001-certificering?

Wij willen vertrouwen uitstralen naar onze relaties en daarbuiten en onze interne beveiliging een keer kritisch onder de loep nemen. We deden al veel op het gebied van security, maar deze certificering is een waardevolle erkenning dat wij dit zeer serieus nemen, vooral voor partijen die ons nog niet kennen. Daarnaast komen we de vraag naar een ISO-certificering steeds vaker tegen in de markt, bijvoorbeeld bij aanbestedingen.

Waarom kozen jullie voor Kiwa?

Kiwa is een gerenommeerde naam in de markt, ook in de IT-sector. Behalve dat de ISO 27001 een wereldwijd erkende kwaliteitsstandaard is die aantoont dat een bedrijf veilig met informatie omgaat, voegt certificering door Kiwa daar nog eens de erkenning aan toe dat wij de certificering serieus nemen en niet alleen om commerciële redenen wilden behalen. Gevoelsmatig versterkt dat het vertrouwen nog verder.

Hoe zag het certificeringtraject eruit?

Uiteindelijk heeft het traject een jaar geduurd. We zijn gestart met het formuleren van een gezamenlijke aanpak en voorwaarden. Vervolgens hadden we wekelijks een meeting met het ISO-team. In het begin werd nog veel gezocht naar de juiste werkwijze en hoe het informatie security management system (ISMS) uiteindelijk opgebouwd moet worden. Halverwege zijn we intern al live gegaan en kort daarop hebben we een interne audit laten uitvoeren door een externe partij. Zo zagen we op tijd wat goed werkt in de praktijk en waarvoor nog extra aandacht nodig was.

Wat waren die aandachtspunten?

Er zijn altijd zaken die je nog kunt verbeteren. Daar gaan we dan nu ook weer mee verder. Momenteel staan er geen grote punten meer open, maar we willen wél ons beleid op het gebied van mobile device management verder aanscherpen.

Wat levert het ISO 27001-certificaat H&R op?

De algehele professionaliteit is toegenomen. Er is een solide basis gelegd waar verder op gebouwd kan worden. Ook zorgt certificering ervoor dat je niet ‘verslapt’, maar gedwongen wordt om regelmatig stil te staan bij de gang van zaken. Processen zijn onder de loep genomen, verbeterd en vastgelegd. Mensen zijn bewuster gaan werken. Voor onze klanten is het een bevestiging dat hun IT-omgeving bij ons in goede handen is. Nadat we bekend hadden gemaakt dat we ons ISO 27001-certificaat binnen hadden, kregen we direct veel complimenten en felicitaties van onze relaties. Ik denk ook dat het ons zal helpen onze propositie naar buiten toe te versterken.

Hoe kijken jullie terug op het traject?

We zien het vooral als een leerzaam traject. De uitdaging was, zoals we al hadden voorspeld, de tijd die iedereen er in moet investeren. Het certificeringstraject liep parallel aan de dagelijkse operatie. Dat zorgde soms voor een uitdaging. Gedurende het traject hebben we ook veel aandacht besteed aan het stimuleren van het bewustzijn van onze medewerkers, bijvoorbeeld met posters, een quiz, nieuwsberichten etc. Je ziet dat men er nu serieus mee omgaat en dat het leeft. De kunst is om dit vast blijven houden.