EASI's Cloud2be is ISO 27001 gecertifieerd. Ik vraag aan Chief Information Security Officer (CISO) Geert Van de Steen wat dat betekent en hoe alles is verlopen.
This article in English? Click here
Begin 2017 werd het zaadje geplant, maar nu is het certificaat officieel binnen! Tijd voor een gesprek met Geert.
Geert, waarom was dat ISO 27001 certificaat zo gewild?
"EASI groeit en trekt steeds grotere klanten aan voor haar clouddiensten. Die klanten vragen vandaag – en terecht – een grotere mate van beveiliging. Het was dus aan ons om op te boksen tegen de grote spelers op de markt en onze maturiteit op vlak van security aan te tonen voor Cloud2be. Hoewel we al behoorlijk wat interne procedures hadden, wil dat voor buitenstaanders weinig zeggen zolang je niet voldoet aan de officiële standaard."
"Dit certificaat brengt dus enerzijds een commercieel voordeel met zich mee, omdat we hiermee niet alleen het vertrouwen van onze klanten kunnen bevestigen. We kunnen ons ook volledig afstemmen op de behoeften van nieuwe klanten. Anderzijds tonen we hiermee ook onze maturiteit aan. We zijn erg trots op de verhoogde betrouwbaarheid en beveiliging van onze systemen en informatie."
Wat waren de belangrijkste wijzigingen die EASI moest doorvoeren?
"Grosso modo kan ik spreken over vier pijlers die we naast de bestaande procedures hebben uitgebouwd."
"Eerst en vooral is er de niet te onderschatten interne training. Wie start bij EASI krijgt een onboarding én een examen, maar dan stopt het niet. Iedereen in onze organisatie is effectief ondergedompeld in de ISO-sfeer. Beveiliging begint bij ieder van ons. Daarom investeren we heel wat in onze eigen mensen. Het hele jaar door zijn er quizjes, informatiemails en testjes. Zo blijft ISO top-of-mind."
"Daarnaast hebben we formele procedures bepaald voor het beheer van wijzigingen in ons systeem, het beheer van risico’s en het beheer van incidenten."
"Er zijn nu heldere procedures voor verschillende scenario’s bij een incident. Wat betreft de wijzigingen is er nu ook duidelijk omlijnd wie welke rechten heeft, wie wat kan aanpassen, wat we loggen, hoe we het loggen, wie dingen moet of mag goedkeuren…"
Hoe is de auditweek verlopen?
"Die week is de ultieme test van alles waar je naartoe hebt gewerkt. Je hebt de hele organisatie nodig om te kunnen slagen, dus dat is wel spannend. Op zo’n moment is het echt ‘out of your hands’."
"Een van de momenten die ik daarom niet snel zal vergeten is het moment waarop de auditor, nét na de middagpauze op een warme zomerdag ons terras wilde gaan controleren. Wie bij ons binnen wil, moet zich identificeren aan de hand van een vingerafdruk. Maar aan het terras zijn er ook twee schuifdeuren. Ik was er vast van overtuigd dat de deuren aan het terras niet gesloten zouden zijn. Wat een stress! Achteraf kwam ik te weten dat mijn collega Hélène blijkbaar nét voor ons in de refter was geweest, de deuren had zien openstaan en die had gesloten. Dan merk je de kracht van je team en de user-awareness training die we voeren."
Is EASI nu 100% beschermd?
"Neen, dat zijn we niet, maar niemand is dat ooit… Jammer genoeg bestaat perfectie op dit vlak niet. Je kan ernaar streven, altijd verbeteren, zelfs voor wie 99.5% beveiligd is, blijft er een risico van 0.5% bestaan. Risico’s zullen er altijd zijn, daarom vereist ISO geen perfectie. Een verslag zonder opmerkingen is letterlijk ongezien bij een audit."
"Ze spreken owel over major of minor non-conformities. Bij major non-conformities faal je. Dat zijn fundamentele wijzigingen die je nog moet doorvoeren vooraleer je een certificaat kan bemachtigen. Minor non-conformities zijn ‘part of life’ – het zijn vaak geïsoleerde gevallen. Zolang de auditor merkt dat je hier correct op reageert en de juiste actie onderneemt, gaat het niet om een struikelblok."
"ISO certifieert met andere woorden geen perfectie maar excellentie en dat is het meeste naar waar wij kunnen streven. Net daarom ben ik bijzonder fier op ons rapport. De kritieken van de auditor waren zeer positief. In totaal werden slechts drie minor non-conformities vermeld en dat is toch uitzonderlijk weinig voor een initieel uitgereikt certificaat."
En nu?
"Voor ons is het ISO verhaal een blijver. We zullen elk jaar beter en beter worden op vlak van security. Dit certificaat geldt 3 jaar, mits een jaarlijkse een audit. Bij slechte evaluaties kan je het certificaat kwijtraken. Daarom blijven we waakzaam en zullen we blijven inzetten op onze vier pijlers."
"Samen met collega Patrick, die eveneens reeds uitgebreide ervaring had met ISO 27001-trajecten, bieden we onze ISO-expertise nu ook aan ter beschikking van onze klanten. Zo begeleidden we reeds enkele bedrijven succesvol richting ISO 27001 certificaat. Een interessante extra dimensie voor mijn professionele carrière!"
