Data en informatie is in iedere organisatie alomtegenwoordig. Daarom is het van belang dat informatiemanagement goed is ingebed in de bedrijfsprocessen. Onverantwoord informatiebeleid of onbeveiligde dataopslag zijn grote bedrijfsrisico’s.
ISO 27001 is de internationaal erkende norm voor informatiemanagement. Door het implementeren van deze norm zijn bedrijven voorbereid op de risico’s die data-en informatiemanagement met zich meebrengt. Organisaties met een ISO 27001 hebben hun bedrijfsprocessen zo ingeregeld dat er adequaat op incidenten zoals een datalek wordt gereageerd. Capsearch heeft succesvol het ISO 27001 certificaat behaald. In dit artikel vertellen we over het certificeringstraject van Capsearch, onder andere komen de totstandkoming en de merkbare resultaten van de ISO-implementatie aan bod.
Over Capsearch
Allereerst, wat voor type organisatie is Capsearch? Als platform voor MKB-adviseurs brengt Capsearch vastgoed-en bedrijfsfinanciering bij elkaar. Met de adviessoftware stelt een financieringsspecialist of een accountant relatief gemakkelijk een kredietaanvraag samen. Capsearch verzamelt en verwerkt dus veel data. Het bedrijf richt de processen zo in dat vertrouwelijkheid, beschikbaarheid en integriteit van informatie worden gegarandeerd. Van nature is de organisatie secuur op datamanagement, mede door de verantwoordelijkheid die Capsearch voelt voor hun klanten uit de financiële dienstverlening.
“Wij streven naar vereenvoudiging van de financieringsmarkt. Dat doen we door een innige samenwerking met financiers en adviseurs. Dit maakt het mogelijk om technologie en financiële kennis samen te brengen op een verfrissende manier. Om onze rol goed te kunnen blijven vervullen is het van belang dat onze informatiebeveiliging op orde is en we een betrouwbare partij in de keten zijn.” - Arjan Buis, oprichter van Capsearch
De start van ISO 27001 certificering
Door de groei van Capsearch en de acquisitie van steeds grotere klanten, waaronder ING, met uitgebreide databronnen was de ISO 27001 certificering bij BSI een logische stap. Iedere medewerker van Capsearch is zich bewust van het belang van informatieveiligheid binnen de organisatie, d e organisatie is hier immers op gebouwd. De belangrijkste aspecten van informatiebeveiliging en ISO zijn tijdens een training nogmaals besproken om de medewerkers optimaal voor te bereiden op de audit.
Arjan Buis zegt over de aanloop naar de audit: “De ISO 27001 certificering is een mooie gelegenheid om onze processen nog eens systematisch langs te lopen. Wij hanteren een set van maatregelen, processen en procedures ten behoeve van onze informatiebeveiliging. We laten zo ook aan onze stakeholders zien dat wij hier uiterst serieus mee omgaan.”
Wat viel op tijdens het certificeringstraject?
Een audit brengt onderliggende issues bij een bedrijf aan het voetlicht. Bij Capsearch was er al een hele bewuste cultuur voor wat betreft informatiebeveiliging. Maar hierin konden zij nog een verbeterslag slaan.
“Wij wisten dat onze processen op orde waren maar volgens de ISO 27001 richtlijnen moest een gedeelte nog worden vastgelegd. Tevens waren er externe partijen waar wij mee samenwerkten die niet met ons mee waren gegroeid. We hebben nu een aantal nieuwe leveranciers die beter bij ons passen.”
Eindresultaat
Informatieveiligheid is nog meer onderdeel geworden van de bedrijfsvoering van Capsearch. Na het implementeren van de ISO 27001 richtlijnen houdt het bedrijf constant de informatiebeveiliging tegen het licht. Op die manier blijft het bedrijf scherp, ook op veranderingen in de toekomst. BSI auditor Rob den Braber zegt over de certificering van Capsearch het volgende: “Capsearch levert inventieve cloud-based diensten die de markt voor zakelijke financieringsaanvragen voor het MKB optimaliseren. Daarom staat informatiebeveiliging bij Capsearch hoog in het vaandel. Met de ISO 27001 certificering draagt het bedrijf dit nog verder uit naar de markt en andere stakeholders.”
Samenwerking
Gedurende de audit wordt intern onderzocht in welke mate ISO 27001 is geïmplementeerd. Dit leverde interessante gesprekken op tussen Capsearch, de auditor en Qvox, de betrokken consultant. Dan wordt de meerwaarde van de audit zichtbaar, het bedrijf gaat processen heroverwegen of beter in kaart brengen waardoor het totaal plaatje duidelijker wordt en nog beter klopt. Uiteindelijk is de audit ook een bevestiging dat je op de goede weg zit en het biedt organisaties de kans om bij te sturen in hun beleid.Arjan buis zegt over de audit tot slot:
“De rol van de auditor is om je echt aan de tand te voelen over de beslissingen en processen in de organisatie. De richtlijnen van de norm liggen vast maar over de toepassing van sommige punten moesten we met elkaar van gedachten wisselen. Dat is leerzaam. Het is goed om een spiegel voorgehouden te krijgen op elk aspect van informatiebeveiliging. Dat maakt je nog meer bewust dat je er actief mee bezig moet zijn.”
Al met al kan Capsearch terugkijken op een succesvol ISO 27001 certificeringsproces.