Als eigenaar van Saasen Groep houdt Arno Saasen zich dagelijks bezig met risico’s, continuïteit en crisisbeheersing. Al bijna dertig jaar helpt zijn organisatie bedrijven, zorginstellingen, onderwijsorganisaties en overheden om voorbereid te zijn op situaties die je liever niet meemaakt. Daardoor kwam ook de vraag op tafel hoe Saasen Groep zelf omgaat met informatiebeveiliging.
Saasen Groep behaalt ISO 27001-certificering: “Je zult het samen moeten doen”
Hoe informatiebeveiliging onderdeel werd van de dagelijkse praktijk
Arno legt uit: “Wij helpen organisaties om na te denken over risico’s en continuïteit. Dan moet je ook kritisch kijken naar je eigen organisatie. Je kunt anderen moeilijk adviseren als je het zelf niet goed geregeld hebt.” Volgens Arno werd en wordt informatiebeveiliging de afgelopen jaren steeds belangrijker. Klanten stelden vaker vragen over de manier waarop gegevens worden beschermd en hoe processen zijn ingericht. Dat was voor hem geen verrassing.
Volgens Arno werd en wordt informatiebeveiliging de afgelopen jaren steeds belangrijker. Klanten stelden vaker vragen over de manier waarop gegevens worden beschermd en hoe processen zijn ingericht. Dat was voor hem geen verrassing. “Je merkt dat organisaties daar steeds bewuster mee bezig zijn. Zeker in de zorg, het onderwijs en bij overheden. Dat zijn ook veel van onze klanten. Ik wilde niet wachten tot iemand zou zeggen dat het van ons verwacht werd. Ik vond dat we daar zelf verantwoordelijkheid in dienden te nemen.” Die gedachte vormde het startpunt voor het ISO 27001-traject.
In de zoektocht naar begeleiding bij ISO 27001 kwam Arno uit bij Conformiso. Tijdens het traject hielp Conformiso om de norm begrijpelijk en praktisch te maken. Arno merkte direct de meerwaarde. “Je kunt een norm lezen, maar daarmee weet je nog niet wat dat voor jouw organisatie betekent. Conformiso hielp ons om die vertaalslag te maken. Wij brachten de praktijk mee en zij de kennis van de norm.”
We hebben het serieus aangepakt
Toen Saasen Groep besloot om met ISO 27001 aan de slag te gaan, wilde Arno voorkomen dat het een project zou worden dat alleen draaide om een certificaat. “Je kunt natuurlijk ergens een certificaat voor halen, maar daar heb je weinig aan als het daarna weer in de kast verdwijnt. Voor ons draaide het traject vooral om de vraag hoe informatiebeveiliging onderdeel kon worden van de dagelijkse praktijk. Dat betekende dat we medewerkers betrokken en hen leerden begrijpen waarom bepaalde afspraken werden gemaakt”, vertelt Arno. “We hebben het serieus aangepakt. Niet alleen voor het certificaat, maar om het echt in onze organisatie te borgen.”
Tijdens het traject merkte Arno dat veel organisaties geneigd zijn om direct naar oplossingen te kijken. Zelf wilde hij eerst begrijpen waar Saasen Groep stond. Hij legt uit: “Welke informatie hebben we eigenlijk? Welke risico’s lopen we? Wat willen we beschermen? Dat zijn de vragen waar we eerst naar hebben gekeken.” Vanuit dat inzicht werd stap voor stap gewerkt aan het verder inrichten van processen en procedures.
Geen papieren systeem, maar iets van de organisatie
Een belangrijk uitgangspunt voor Arno was dat medewerkers zelf betrokken waren en zijn bij het opstellen van werkwijzen. Hij zag weinig waarde in documenten die door een adviseur worden geschreven en vervolgens ergens worden opgeslagen. Hij vertelt: “Mensen schrijven bij ons dus echt zelf hun protocollen.” Dat is een groot verschil. Medewerkers weten zelf hoe hun werkzaamheden eruitzien en welke afspraken in de praktijk werkbaar zijn. Door hen actief mee te laten denken, ontstond niet alleen betere documentatie, maar ook meer draagvlak.
“Als iemand zelf heeft meegedacht over een procedure, begrijpt diegene ook veel beter waarom iets belangrijk is. Dan wordt het geen verplichting van bovenaf”, voegt hij eraan toe. Dat zorgde ervoor dat informatiebeveiliging niet iets werd van een klein groepje mensen binnen de organisatie, maar een onderwerp waar iedereen een rol in heeft.
Ik slaap er oprecht beter van
Naarmate het traject vorderde, kreeg Arno steeds meer inzicht in de manier waarop informatie binnen de organisatie werd beheerd. Saasen Groep ontwikkelde een eigen managementsysteem waarin acties, documenten en controles worden bijgehouden. Dat gaf volgens hem veel meer rust dan hij vooraf had verwacht: “Het geeft interne borging. Ik slaap er oprecht beter van.” Arno lacht als hij dat zegt, maar hij meent het serieus. Voorheen waren bepaalde zaken afhankelijk van geheugen, losse notities of individuele medewerkers. Nu weet hij dat acties terugkomen wanneer dat nodig is en dat documenten periodiek worden beoordeeld: “Je weet dat dingen niet zomaar blijven liggen. Dat geeft vertrouwen.”
Daarnaast merkte hij dat het traject hem ook op een andere manier naar de organisatie liet kijken. “Je gaat jezelf veel meer vragen stellen. Wie heeft toegang tot bepaalde informatie? Wat gebeurt er als een systeem uitvalt? Wat doe je als gegevens niet beschikbaar zijn? Dat soort onderwerpen worden veel concreter.”
Conformiso maakte de norm begrijpelijk
Hoewel Arno zelf nauw betrokken was bij het traject, vond hij het belangrijk om begeleiding te krijgen van iemand die ervaring heeft met ISO 27001. Via Conformiso kreeg Saasen Groep ondersteuning bij het traject richting certificering. “Conformiso heeft serieus duidelijk gemaakt wat de norm inhoudt. Wat betekent dit voor jouw bedrijf? Wat is de aanpak? Waar beginnen we?” Volgens Arno maakte dat een groot verschil. “Je kunt een norm lezen, maar daarmee weet je nog niet wat dat voor jouw organisatie betekent. Conformiso hielp ons om die vertaalslag te maken.” Hij kijkt positief terug op de samenwerking omdat beide partijen hun eigen expertise inbrachten. Conformiso kende de norm en de certificeringseisen, terwijl Saasen Groep wist hoe de organisatie werkt en waar de uitdagingen lagen. “Dat vulde elkaar goed aan. Wij brachten de praktijk mee en zij de kennis van de norm.”
De zwakste schakel bepaalt de sterkte van de keten
Tijdens het traject werd voor Arno steeds duidelijker dat informatiebeveiliging niet alleen draait om techniek. Veel organisaties denken volgens hem als eerste aan software, firewalls en systemen. Hoewel die belangrijk zijn, zit de grootste uitdaging vaak ergens anders. Arno legt uit: “Uiteindelijk gaat het over mensen. Je bent afhankelijk van je partners, toeleveranciers en afnemers. Je zult het samen moeten doen.” Volgens Arno geldt dat voor vrijwel iedere organisatie: “De zwakste schakel bepaalt de sterkte van de keten. Je kunt zelf alles goed geregeld hebben, maar als ergens anders iets misgaat, kun je daar alsnog gevolgen van ondervinden.” Dat inzicht sluit volgens hem goed aan bij het werk dat Saasen Groep al jaren uitvoert. Ook bij crisismanagement draait het om voorbereiding, samenwerking en weten wat je van elkaar mag verwachten.
Eerst weten waar je staat
Nu het certificaat is behaald, ziet Arno ISO 27001 niet als een eindpunt. Voor hem heeft het traject vooral gezorgd voor meer inzicht, meer bewustwording en een betere borging binnen de organisatie: “We weten beter waar we staan, welke risico’s er zijn en wat we doen om die risico’s te beheersen.” Voor organisaties die nadenken over ISO 27001 heeft hij daarom een helder advies: “Ik zou eerst investeren in inzicht. Op welk niveau sta je nu? Wat wil je allemaal regelen? Welke data wil je beschermen? Waar wil je naartoe?”
Volgens Arno begint daar uiteindelijk alles mee: “Als je weet waar je staat, kun je bepalen welke stappen nodig zijn. Dan wordt ISO 27001 geen verplicht nummer, maar iets waar je organisatie echt beter van wordt.” Na anderhalf jaar werken aan de certificering kijkt hij tevreden terug op het traject. Niet omdat er nu een certificaat aan de muur hangt, maar omdat informatiebeveiliging onderdeel is geworden van de manier waarop Saasen Groep dagelijks werkt.
En dat was voor hem vanaf het begin het belangrijkste doel.
Weten wat Conformiso voor jouw bedrijf of organisatie kan betekenen op het gebied van kwaliteit, informatiebeveiliging, gezond & veilig werken en milieu? Neem dan contact op voor een vrijblijvend kennismakingsgesprek.
INSCHRIJVEN NIEUWSBRIEF
Abonneer je nu op onze nieuwsbrief!