Zonder certificering doe je niet mee. Maar wat is de waarde van certificering van papierloos vergaderen? In de wirwar van certificaten en keurmerken, is het soms lastig om door de bomen het bos te zien. Duurzaamheid, veiligheid of kwaliteit: overal is wel een certificaat voor. DocWolves, het bedrijf achter OurMeeting, is ISO-gecertificeerd. Maar wat zegt dat nu eigenlijk?
Veel klanten van DocWolves werken met vertrouwelijke en privacygevoelige informatie, die niet in verkeerde handen mag vallen. Beveiliging staat hoog in het vaandel, daarom is het bedrijf sinds mei 2015 ISO 27001: 2013 gecertificeerd. Zo voldoet DocWolves aan de internationale norm voor een betrouwbaar en controleerbaar managementsysteem voor informatiebeveiliging. Het is het bewijs dat een organisatie de nodige beheersmaatregelen heeft getroffen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking. Een hele mond vol, maar wat betekent dat nou eigenlijk?
Is certificering veiligheid?
De certificering wordt afgegeven door een daartoe bevoegde instantie. Het betekent dat de processen op het gebied van informatiebeveiliging in kaart zijn gebracht, zijn ingericht en worden bijgehouden. De datacenter, waar DocWolves de servers heeft ondergebracht, zijn ook gecertificeerd, net als leveranciers die direct bijdragen aan het eindproduct.
De ISO-certificering zegt iets over de informatiebeveiliging, maar niet alles. ,,Het houdt in dat er een redelijke mate van zekerheid is dat de beveiliging in orde is”, zegt Theo Krens. Als adviseur informatiebeveiliging begeleidde hij DocWolves in het certificeringproces. Hij beoordeelde de aanvraag op de kans van slagen en reviewde de door DocWolves opgestelde documentatie. Hij drukt zich voorzichtig uit, want honderd procent garantie op een waterdichte beveiliging is er niet. De wereld, zeker die van de ICT, verandert voortdurend. ,,Eenmalig iets doen is onvoldoende. Je moet beveiliging continu bijhouden en controleren”, zegt Krens.
Wapenen
Chris Bevelander, Chief Operations Officer (COO) van DocWolves, onderkent het belang van permanente beveiliging. Maar hij ziet ook in dat absolute zekerheid een farce is. ,,Als ik een nieuw slot koop, ben ik ervan overtuigd dat het volkomen veilig is. Tot een inbreker een nog moderne methode heeft gevonden om het slot te kraken.”
Chris Bevelander – COO DocWolves: “Onze mindset is dat we voortdurend monitoren”
En zo werkt het ook met processen voor informatiebeveiliging, volgens Bevelander. ,, Onze mindset is dat we die voortdurend monitoren. We nemen veel veiligheidsmaatregelen voor de software die we gebruiken. Op het moment dat iemand door de beveiliging breekt, heb je een veiligheidslek. Daar kun je je tegen wapenen, door te blijven controleren. Dan heb je heel snel in de gaten als er iets niet goed is. Vervolgens probeer je dat te herstellen.”
Hip logo
Een ISO 27001 certificaat is geen keurmerk dat een bedrijf zomaar krijgt. Het is geen kwestie van wat formulieren invullen, opsturen en een hip logo op je website zetten. ,,Er gaan heel wat stappen aan vooraf en er gaat veel tijd overheen”, zegt Krens. ,,Een bedrijf moet aan allerlei normen voldoen.” Als adviseur informatiebeveiliging liep hij daar stelselmatig doorheen met DocWolves.
Theo Krens (r) overhandigt het ISO certificaat aan compliance officer Niels Broeks
,,DocWolves heeft in recordtijd de certificering op een mooie, transparante en consistente wijze ingevoerd”, zegt hij, terugblikkend op het proces. ,, Het is belangrijk om de juiste balans te vinden tussen effectief werken en veiligheid. De bedrijfsprocessen moeten veilig zijn, maar ook werkbaar. DocWolves heeft daar een goed evenwicht in gevonden.”
Leveranciers
Toen de certificering eenmaal behaald was, was dat nog maar het begin. Om het te behouden, moet DocWolves regelmatig de beveiliging van zijn bedrijfsprocessen laten controleren. In het eerste jaar van de certificering, werd de hele organisatie onder de loep gekomen. Vervolgens controleert een auditor elk jaar steekproefsgewijs de beveiliging van bedrijfsprocessen. Er is twee jaar verlenging mogelijk, daarna moet de certificering opnieuw worden aangevraagd.
Niet alleen DocWolves, maar ook leveranciers die direct bijdragen aan het eindproduct moeten ISO 27001 gecertificeerd zijn. Ook daar kan de auditor op controleren. Bevelander: ,,Het gaat dan bijvoorbeeld om bedrijven die een cruciaal onderdeel van de dienstverlening zijn, zoals leveranciers van bepaalde software die wij inkopen of datacenter.”
Hackers
Regelmatig nodigt DocWolves externe, zogenaamde ethical hackers uit, om de beveiliging van het private cloudplatform op de proef te stellen. Zo worden de zwakke schakels in de beveiliging aan het licht gebracht en kan er actie worden ondernomen.
Controle komt niet alleen van buitenaf, maar ook van binnenuit. ,,We laten het personeel ook self assessments doen”, zegt Bevelander. ,,Daar hebben wij een controlekalender voor, waarin is vastgesteld wie wanneer moet controleren. Regelmatig controleren collega’s elkaars programmacode. Is het volgens de norm gebeurd?”
Beveiliging is veel meer dan alleen papieren documentatie, het moet ook tot het niveau van de werkvloer doordringen. Van belang is dat de organisatie beveiliging niet alleen ziet als een tijdelijk project voor certificering, maar als werkwijze invoert en systematisch de beveiliging blijft toetsen, zegt Theo Krens. ,,Bij DocWolves is dat zeker het geval. Elke medewerker heeft geholpen om bepaalde stukken van de beveiliging procesmatig op orde te brengen en leverde daarmee zijn bijdrage aan de certificering. Daardoor is het ook van hun. Ze voelen zich betrokken. Lang niet alle bedrijven doen dat. Vaak wordt een groot deel van de werkzaamheden uitbesteed.”
Datacenters
DocWolves wil daar waar mogelijk zelf de regie behouden. ,,We programmeren zelf. Van het begin tot het eind zit er niemand anders bij de kast of bij de software”, zegt Bevelander. Om de veiligheid te waarborgen, staan de servers niet in het gebouw zelf. Als een kwaadwillend persoon die mee zou nemen, zou de data verdwijnen – of erger. Daarom heeft het bedrijf ervoor gekozen om de servers onder te brengen in twee datacenters, gebouwen waar kritische computersystemen onder optimale omstandigheden gehuisvest worden.
Naast de certificering stellen sommige bedrijven aanvullende eisen, om zich ervan te verzekeren dat kwetsbare gegevens in goede handen zijn. ,,Dat geldt in het bijzonder voor banken en verzekeringsmaatschappijen”, zegt Krens. Het gaat dan om een verklaring van een onafhankelijke auditor dat bijvoorbeeld voldaan wordt aan de beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum of een ISAE-3000 verklaring. DocWolves kan dit soort verklaringen op verzoek van de klant overleggen. ,,Vooral grote klanten maken een risicoanalyse voordat ze met ons willen samenwerken. Ze vragen dan een rapport op,” zegt Bevelander.
Extra stap
Eens in de twee jaar huurt DocWolves een externe deskundige in. Dat staat los van de certificeringnormen, maar is een extra stap in de beveiliging. ,,Hij kijkt bijvoorbeeld naar wanneer de software voor het laatst geüpdatet is”, zegt Bevelander. ,,Het is van belang om dat regelmatig te doen, anders veroudert het. Wij doen dat extra, omdat we zeker willen weten dat het goed zit qua beveiliging.”
.