‘Dankzij de hulp van inTECHrity zijn we in zes maanden ISO 27001 gecertificeerd. En dat terwijl veel bedrijven daar minimaal één jaar over doen. Zonder de pragmatische benadering van inTECHrity was het nooit zo snel geweest. Ze hebben ons met name geholpen door onderscheid te maken in wat moet; wat eigenlijk zou moeten en wat nice to have is.’

‘Vancis is een hostingbedrijf, we faciliteren cloudhosting en managed hosting voor instellingen in de zorg, het onderzoeksveld en vooral het onderwijs. In twee datacenters beheren wij apparatuur waar klanten hun applicaties op kunnen draaien, sommige klanten hebben daar eigen apparatuur. Wij zorgen onder meer voor de installatie van patches, back-ups en storage. Daarmee zijn wij ook verantwoordelijk voor beveiliging van de informatie.

Samen met inTECHrity hebben we een managementsysteem voor informatiebeveiliging gebouwd ten behoeve van de ISO 27001 certificering. Deze ISO-norm heeft meer dan 130 beheersmaatregelen, met betrekking tot back-ups, goed privacy beleid, een fysiek goed beveiligd gebouw, maar ook bijvoorbeeld op het gebied van screening van medewerkers. Voor elke control geldt een implementatie richtlijn, de best practice, maar hoe je die zelf invult is afhankelijk van de context, de dienstverlening en de bijbehorende risico’s van de organisatie.

Om de procedures voor elke beheersmaatregel te monitoren, werken we al jaren heel tevreden met het softwarepakket van inTECHrity. Dit pakket is role-based en sluit daarom aan bij onze vorm van organisatie die gebaseerd is op functies en rollen. Aan iedere functie kun je rollen hangen die gekoppeld zijn aan bepaalde beheersmaatregelen.

Laatst vertrok een security officer met een specifieke rol in de informatiebeveiliging. Binnen twintig minuten kon ik zien wat de impact van zijn vertrek was op de organisatie; ik wist meteen voor welke beheersmaatregelen, documenten en terugkerende taken hij verantwoordelijk was en welke werkzaamheden we dus elders moesten leggen. Ik realiseerde me weer hoe superhandig een role-based pakket is!

Wat het softwarepakket van inTECHrity echt uniek maakt, is dat het een control managementsysteem is. Het is het enige pakket met een zekere openheid: je kunt er willekeurige rapportagetools aan koppelen en je kunt terugkerende taken agenderen en bijvoorbeeld in je outlook kalender zetten. Wij sturen die taken naar ons bestaande ticketsysteem zodat onze engineers en de managers behalve de meldingen van storingen en onderhoud, ook service-calls krijgen uit de applicatie van inTECHrity. Bijvoorbeeld met de opdracht een restore test te doen of een privacycheck uit te voeren. Zo krijg ik zelf meldingen dat ik een bepaald beleid moet reviewen en aan moet bieden aan ons information security forum (ISF).

De kracht van ISO 27001 is het vereiste dat je moet blijven schaven aan je managementsysteem – het is nooit af. Daarom is het zo belangrijk dat we met inTECHrity op zo’n laagdrempelige en persoonlijke manier samenwerken. Heb ik een vraag over informatiebeveiliging of privacy? Dan bel ik gewoon even: “Hoe denken jullie daarover?” Dat werkt heel prettig!’
 
Anton Rusbach
Risk and Quality manager Vancis
www.vancis.nl