Compliance certificeringen: nut, noodzaak of lege huls?
Certificeringen en standaarden… er zijn er nogal wat: ISO27001, ISAE3402, SOC2, ISO9001, ISO14001 BIR & BIG, Nen7510, PCI, en zo kunnen we wel even doorgaan. Stuk voor stuk belangrijke standaarden die aangeven hoe processen ingericht dienen te worden en de kwaliteit van diensten waarborgen. Voor bepaalde doelgroepen, zoals de financiële of publieke sector, is het door wet- en regelgeving een absolute ‘must’ om hieraan te voldoen. Daarmee is het vaak ook direct een kwalificatienorm voor de leveranciers aan deze sectoren: ontbreekt de certificering dan doe je niet mee. De certificeringen lijken hierdoor bijna een doel op zich. Maar het tegendeel is waar; het dwingt een organisatie na te denken over de manier van werken en het nemen van de juiste maatregelen, en het verhoogt de kwaliteit.
De kunst is om dergelijke normen voor je te laten werken en in de gaten te houden dat je daarmee niet bureaucratisch wordt of inboet op flexibiliteit: er moet voldoende ruimte zijn voor interpretatie en invulling. Een mooi voorbeeld vind ikzelf de Code voor Informatiebeveiliging (ISO27001). Deze schrijft voor dat je beveiligingsmaatregelen moet nemen zonder te duiden ‘hoe’ je dat dient te realiseren. Het is daarmee sinds jaar en dag een uitstekende checklist. Wordt deze aangevuld met de ISAE3402, waarmee je de inrichting van alle bedrijfsprocessen beschrijft, dan is dat een zeer sterke combinatie: met de ISO27001 voldoe je aan de beveiligingsmaatregelen en voor de ISAE3402 leg je uit hoe je dat doet.
Betrek je medewerkers bij het proces en ben bevindingen voor
Voor medewerkers is het nut ervan niet altijd evident: zij willen gewoon hun werk kunnen doen, liefst zonder enige beperking. Maar wanneer je hen betrekt bij het proces en hen meeneemt in het ‘waarom’ achter dit soort normen, wordt het een interne drijfveer: we worden er allemaal beter van! Dan gaat het meteen opleveren voor zowel de klant als de organisatie zelf: meer bewustzijn bij de medewerkers, de juiste maatregelen binnen de organisatie en een betere dienstverlening aan de klant. Hulde dus aan de collega’s die dag en nacht Security & Compliancy ademen. Zij worden vaak gezien als de luis in de pels, maar zorgen ervoor dat collega’s maatregelen nemen, organisaties blijven verbeteren en aan klanten en auditors tonen… dat het werkt!
Externe auditors vervullen hun eigen rol: ze vinden altijd wel ‘iets’ en helpen zo jaar in jaar uit om de kwaliteit van de dienstverlening te verbeteren en te versterken. Zij zijn op hun beurt de luizen in de pels van de Security & Compliancy officers. De uitdaging van de afdeling Security & Compliance zit ‘m erin de bevinding voor te zijn. Zij zijn een solide onderdeel van het complete kwaliteitssysteem van een organisatie.
Alles staat en valt dus met de manier waarop je als organisatie met dergelijke normeringen omgaat, ze implementeert, je medewerkers betrekt en deze manier van werken in je organisatie adopteert.
Bij Solvinity hanteren we het principe ‘Security by Design’. Dat houdt in dat ‘alles’ wat we doen voor onze klanten in het licht van security staat. Van toegang tot het datacenter tot die van de systemen. Van simpele wijzigingen tot een volledig nieuw IT-architectuurontwerp. Of het nu in de public, private of hybrid cloud staat en of het nu om toegang bij de voordeur of het afhechten van de achterdeur gaat. Dat maakt dat security in ons DNA zit, vanaf het begin tot het eind. Met dezelfde precisie kijken we naar compliancy. We slagen met vlag en wimpel voor onder andere KPMG- en BSI Management-audits en zijn gecertificeerd in meerdere velden.
Dus, die certificeringen:
Nut?
Jazeker: het dwingt een organisatie en haar medewerkers compleet en zorgvuldig te zijn in de manier van werken.
Noodzaak?
Jazeker: het biedt de voorwaarden om de kwaliteit naar je (eind)klant te waarborgen.
Lege huls?
Zeker niet: de kracht zit in de constante kwaliteitsverbetering!
Solvinity’s meest belangrijke certificeringen en standaarden zijn ISAE3402 / SOC2, ISO / IEC27001, ISO14001: 2004 en ISO 9001: 2015.
Wil je meer weten over wat Solvinity voor de IT van jouw organisatie kan betekenen? Neem dan contact op met onze Business Managers Pieter Kuijer (06-22888801 / pieter.kuijer@solvinity.com) en Anil Ozdemir (06-82119991 / anil.ozdemir@solvinity.com).
Lees ook
Meer
De complexe wereld van IT-regelgeving voor gemeenten
Voor IT- en compliance-verantwoordelijken bij gemeenten wordt de wereld steeds complexer. Naast de dagelijkse uitdaging om...
LEES MEERSecurity controls in hybride cloudomgevingen
Een holistische benadering van security controls is cruciaal voor het verhogen van de digitale weerbaarheid.
De stand van cybersecurity in de financiele sector in Nederland
Bedreigingen worden steeds geavanceerder, regelgeving wordt strenger en de druk op IT-professionals blijft toenemen.