Na een intensief traject heeft Yellowstar deze zomer het ISO 27001 certificaat voor informatiebeveiliging verkregen. Chief Security Officer Pablo Girardi legt de betekenis uit voor zowel de eigen organisatie als juist ook voor klanten. “Het is voor ons veel meer dan een papiertje.”
Wat is voor jou de essentie van ISO 27001?
“Het bewustzijn dat je ermee creëert voor potentiële veiligheidsrisico’s. Zowel binnen Yellowstar zelf als voor onze klanten. Als bedrijf hebben wij een verantwoordelijkheid naar onszelf en naar onze klanten voor cybersecurity. Zeker in de wereld waarin wij nu leven. In de achterliggende covid-periode zijn nog meer achterdeurtjes ontstaan waar hackers gebruik van maken. Bij tachtig procent van de security-issues ligt de oorzaak bij de mens. Vaak door hele basale dingen als klikken op verdachte e-mails, onzorgvuldig omgaan met wachtwoorden, etc. ISO 27001 geeft ons focus op informatiebeveiliging en helpt de juiste mindset te creëren om daarin steeds te willen verbeteren. Het is een bewijs naar klanten dat wij veilig werken belangrijk vinden en ons bewust zijn van de risico’s. Maar ook om onze eigen leveranciers daarop aan te spreken.”
Hoe zet Yellowstar ISO 27001 in?
“ISO 27001 zorgt dat je als organisatie nog kritischer naar jezelf gaat kijken. Dat doen wij heel praktijkgericht. Bijvoorbeeld door voordat een applicatie live gaat, eerst een checklist op veiligheidsaspecten na te lopen. Of door bij een vraag van een klant voor een nieuwe toepassing direct kritisch te zijn op de eventuele gevolgen daarvan voor security of performance. Door bewustwording bij je klanten te creëren, kom je wellicht tot andere, veiligere oplossingen.”
Hoe borgen jullie dat ISO 27001 ook daadwerkelijk inhoud krijgt?
“Allereerst denk ik door de manier waarop wij het behalen van ISO 27001 hebben aangepakt. Wij hebben gekozen voor een bottom-up benadering vanuit de praktijk naar beleid. Hoe werken wij bij Yellowstar en welke risicomaatregelen passen daarbij, zodat deze ook echt effect hebben. Door die insteek hebben wij er langer over gedaan dan normaal voor een ISO-implementatie staat, maar is in de organisatie wel daadwerkelijk bewustzijn gecreëerd en wordt het beleid ook gedragen. Vanuit de afsluitende audit hebben wij voor die aanpak een groot compliment gekregen.”
En hoe gaat dat verder nu het ISO 27001 certificaat is behaald?
“Op alle niveaus binnen Yellowstar brengen wij security en security-risico’s voortdurend onder de aandacht. Het onderwerp staat centraal in regelmatige blogs, komt aan de orde in interne bijeenkomsten en is elke week onderdeel van de agenda van het managementteam. Daarnaast toetsen wij de daadwerkelijke praktijk. Bijvoorbeeld via penetratietesten gericht op de veiligheid van infrastructuur. Maar ook versturen wij intern af en toe fake phishing mails om te zien wat er gebeurt. Het maakt het onderwerp echt concreet. Security is geen ver van mijn bed show.”
Is de ISO 27001 certificering van Yellowstar uniek?
“Voor bedrijven van de omvang van Yellowstar is het behalen van ISO 27001 niet zomaar iets waar elke organisatie in slaagt. Het is een van de zwaardere ISO-certificeringstrajecten. In die zin is het wel bijzonder. Tegelijkertijd wordt het richting klanten steeds meer een vereiste. Zelf vind ik het sterk dat wij de tijd hebben genomen om de certificering echt goed aan te pakken. Dat is wel uniek. Het geeft aan dat wij informatiebeveiliging als organisatie serieus nemen. Het is voor ons veel meer dan een papiertje.”