Onlangs zijn we geslaagd voor een zeer strenge beveiligingsaudit, die is bekroond met de ISO 27001-certificering. Hiermee onderstreept Textkernel haar reeds sterke reputatie op het gebied van beveiliging en betrouwbaarheid. Voor de overgrote meerderheid van onze klanten is gegevensbeveiliging en privacy van zeer groot belang. Hoewel Textkernel privacy en veiligheid van data altijd al hoog in het vaandel heeft, laat deze certificering zien dat we ons committeren aan het hoogste niveau van gegevensbeveiliging als standaard voor de toekomst.
We gingen in gesprek met Johan van der Zel, Information Security Officer bij Textkernel, en Maciej Hoch, Textkernel’s Chief Technology Officer. Zij vertellen over wat die standaard precies betekent voor Textkernel en waarom de certificering zo’n belangrijke mijlpaal is. Bekijk ook de hoogtepunten in onderstaande korte video of lees verder voor een uitgebreid verslag.
Enige achtergrondinformatie
ISO 27001 is een norm die is vastgesteld door de Internationale Organisatie voor Standaardisatie. Deze organisatie definieert de wereldwijde eisen voor een effectief managementsysteem voor informatiebeveiliging. De ISO 27001-norm biedt bedrijven een raamwerk voor de beoordeling van gegevensbeveiliging en data privacy op het hoogste niveau (compliance).
“Bij Textkernel weten we hoe waardevol de gegevens zijn die wij voor onze klanten verwerken. Daarom willen er zeker van zijn dat dit op de meest veilige manier gebeurt”, aldus Johan van der Zel.
Waarom juist nu een hogere standaard in beveiligingscertificering?
Maciej Hoch vertelt dat Textkernel het ISO-certificeringsproject is gestart vanuit twee invalshoeken. “De eerste is het feit we met steeds meer grote klanten werken en dit type organisaties werkt alleen met betrouwbare bedrijven. De beste manier om het vertrouwen van klanten en andere organisaties te winnen, is een onafhankelijke audit waaruit blijkt dat wij als bedrijf voldoen aan bepaalde beveiligingsstandaarden. Bovendien zijn wij bij Textkernel verantwoordelijk voor de gegevens van onze klanten en voor de beveiliging ervan. Deze twee uitgangspunten passen naadloos in het ISO-project. Daarom hebben wij als organisatie besloten om een audit te laten uitvoeren.”
ISO is niet simpelweg een eenmalige procedure waarbij je je voorbereidt op een audit, ervoor slaagt en dan wordt beloond met een certificaat. Integendeel. Het vereist continue verbetering van interne procedures. En daarnaast dat we eerst en vooral aandacht besteden aan veiligheid voordat we veranderingen doorvoeren.
Hoe Textkernel de certificering behaalde
Een certificering behalen begint bij het begin: het ontwerp van onze systemen. De systemen worden onderworpen aan een intensief beoordelingsproces voor en tijdens de implementatie. Dit om te garanderen dat beveiliging de primaire zorg is. “Het vergt inspanning van de hele organisatie”, zegt Johan. “Het is niet één beveiligingsteam dat verantwoordelijk is voor elk proces en elke procedure. Iedereen is verantwoordelijk – van de IT-afdeling tot de kantoormedewerkers. Met vrij eenvoudige handelingen, zoals het afsluiten van laptops tijdens de lunchpauze, draagt iedereen zijn steentje bij.”
Johan legt uit dat ISO niet alleen de infrastructuur raakt waar de services van Textkernel worden gehost, maar ook bedrijfsbrede processen en hoe Textkernel omgaat met bedrijfscontinuïteit. “We moeten kijken naar actuele gebeurtenissen in de wereld en ervoor zorgen dat we snel en effectief op eventuele tegenslagen kunnen reageren.”
“Beveiligingsincidenten” – meer dan dat wat we kennen uit Hollywood-films
ISO gaat veel verder dan de digitale beveiliging van gegevens. Een voorbeeld waar de auditor ons op attendeerde, was het analyseren van ons schoonmaakbedrijf en het beoordelen welke risico’s zij onze organisatie eventueel zouden kunnen opleveren. Zij hebben per slot van rekening toegang tot onze kantoren. Daar konden wij gelukkig makkelijk aan voldoen, legt Maciej uit. “Meer complex zijn de vraagstukken waarbij we moeten kunnen garanderen dat ons netwerk beveiligd is wanneer we samenwerken met third party providers (TTP’s). Dit moet worden ondersteund door actieve monitoring- en escalatieprocedures waarmee we binnen enkele minuten op mogelijke incidenten kunnen reageren.”