‘ISO 27001-certificaat geeft ons als startup een streepje voor’

Nedscaper, met vestigingen in Amsterdam en het Zuid-Afrikaanse Kaapstad, levert vanuit de cloud Managed Extended Detection and Response (MXDR) services. Hiermee ontzorgt het jonge bedrijf zijn klanten volledig als het gaat om het opsporen en beperken van cyberrisico’s. Ook ondersteunt de startup organisaties die hun cybersecurity zelf willen inrichten en levert het diensten op het gebied van compliance. In dit werkveld worden hoge eisen gesteld aan het veilig en vertrouwd omgaan met digitale informatie. Lead compliance consultant Steijn Scheutjens vertelt hoe Nedscaper hiermee omgaat en zijn inspanningen op dit gebied onlangs bekroond zag met een ISO 27001-certificering.

Kun je allereerst wat meer vertellen over Nedscaper, Steijn?

Nedscapers voornaamste activiteit is het leveren van volledig cloudgebaseerde MXDR-diensten. Hiermee leveren wij 24/7 bescherming tegen dreigingen, doen we onderzoek bij een mogelijke inbraak, geven we inzicht in mogelijke dreigingen en mitigeren we die voor onze klanten. Daarnaast leveren we ook consultancyservices aan organisaties die in control willen zijn over hun cyberveiligheid. Tenslotte zijn we ook actief op het gebied van ICT-compliance, over de hele breedte: van technische implementatie tot inrichting van governance.

Welke kwaliteitsnormen zijn voor jullie organisatie van belang?

We zien in onze markt dat middelgrote tot grote organisaties die een partner zoeken op het gebied van cyberveiligheid vaak eisen dat een leverancier werkt volgens de ISO 27001. Verder staan er op onze roadmap nog certificeringen op het gebied van assurance en certificeringen die specifiek zijn gericht op onze activiteiten als managed security services provider.

Waarom gingen jullie als startup direct op voor ISO 27001-certificering?

We hebben onszelf van meet af aan ten doel gesteld om onze klanten de hoogst mogelijke kwaliteit te leveren. Nedscaper wil dit graag zowel aan de voorkant als aan de achterkant implementeren en uitdragen. Met de behaalde ISO 27001-certificering en de certificeringstrajecten die we nog in petto hebben, willen we ons commitment aan continue verbetering en professionalisering duidelijk maken.

Hoe hebben jullie de ISO 27001-eisen vertaald binnen de organisatie?

Omdat we een organisatie zijn die volledig cloudgebaseerd werkt, kostte het wat moeite om de standaard te implementeren. Maar met ondersteuning van een goed ingelezen lead-auditor van Kiwa en slimme onderlinge afstemming hebben we het toch voor elkaar gekregen om de externe audit uit te voeren.

Waarom koos Nedscaper voor Kiwa?

Voordat we aan het certificeringstraject begonnen, wisten we al dat we niet in het ‘standaardprofiel’ zouden passen. Daarom wisten we vooraf óók dat we in zee moesten gaan met een ervaren certificeringspartner, een specialist die bekend is met moderne systemen en werkwijzen. En op basis van dat profiel was Kiwa voor ons de logische keuze.

Dit was voor Nedscaper het eerste certificeringstraject. Hoe hebben jullie je hierop voorbereid?

Voor Nedscaper als bedrijf was dit inderdaad het allereerste certificeringstraject, maar we hebben veel mensen aan boord die ervaring hebben met audits. Om iedereen binnen de organisatie ‘up to speed’ te krijgen, hebben we wel extra tijd geïnvesteerd. In gerichte sessies hebben we de aanwezige kennis en ervaring gedeeld en door goed gebruik te maken van de tussentijdse bevindingen vanuit Kiwa bleven we van begin tot eind in control.

Wat willen jullie startups meegeven die ook voor een certificering willen gaan?

Begin met het vaststellen van een tijdspad en een deadline. Oriënteer je goed en zorg dat je een duidelijk beeld hebt van je relevante sterktes, zwaktes en organisatorische uitdagingen. Als je dat in beeld hebt, kun je het beoogde traject daar op aanpassen en een partner zoeken die je daarin complementeert. Als startup kun je misschien minder leunen op de bestaande ‘institutionele kennis’, maar je bent wel veel wendbaarder. Buig dat nadeel om in een voordeel door die kennis in te winnen en snel toe te passen.

Wat zou je achteraf zelf anders gedaan hebben?

De in 2022 gereviseerde versie van de ISO 27001 sluit beter aan op ons bedrijfsmodel. Achteraf gezien hadden we daarom misschien nog iets langer moeten wachten met certificering. Maar we vonden vorig jaar het binnenhalen van het ISO 27001-certificaat toch nét wat belangrijker. Bij de volgende audit kunnen we dan gaan voor de 2022-versie van de norm.

Wat gaat het ISO 27001-certificaat Nedscaper opleveren?

Certificering is voor onze bestaande klanten en prospects een stuk extern gevalideerd bewijs dat aantoont dat onze waardes, visie en werkwijze versterkt en bevestigd worden. Dat geeft ons dat cruciale streepje voor op de concurrentie.