Hoe ISO-certificering leidt tot een cultuuromslag: 3 voorbeelden uit de dagelijkse praktijk
Leestijd 7 min
- Blog
Wat waren we trots toen we in 2018, na een zeer intensieve voorbereiding, onze ISO 9001, ISO 27001 en NEN 7510 certificering behaalden. Deze onafhankelijke toets of je bedrijfsvoering en de informatiebeveiliging op orde zijn, biedt zekerheid aan opdrachtgevers, partners en andere stakeholders. Ieder jaar worden we opnieuw doorgelicht en dat heeft onze manier van denken en werken grondig veranderd.
Onafhankelijke, externe beoordeling
ISO 9001 is een belangrijke maatstaf voor de kwaliteit, transparantie en betrouwbaarheid van je organisatie. Het ISO 27001 certificaat geeft aan dat je voldoet aan alle (internationale) normeisen op het gebied van informatiebeveiliging. NEN 7510 is een aanvullende (Nederlandse) norm voor beveiliging van informatie uit de gezondheidszorg.
Bij PAQT hebben we de lat altijd al hoog gelegd als het gaat om kwaliteit, betrouwbaarheid en veiligheid. Door onze werkwijze door een onafhankelijke derde partij te laten toetsen, konden we aan anderen, maar zeker óók aan onszelf, laten zien dat we aantoonbaar in control zijn.
Jaarlijkse toetsing, maandelijkse audit
Ieder jaar wordt opnieuw bekeken of we voldoen aan ISO/NEN-eisen en daar blijft het niet bij. Iedere maand legt onze speciaal hiervoor opgeleide interne auditor Patricia ons het vuur aan de schenen om te checken of we de zaken op orde hebben en welke relevante ontwikkelingen er zijn.
Zo’n audit lijkt aanvankelijk op een terugkerend examen, maar heeft er inmiddels toe geleid dat we bedrijfsbreed, continu en proactief over deze thema’s nadenken.
Het is belangrijk dat iedere medewerker zich altijd bewust is waar hij of zij mee bezig is. En dat de werkprocessen en de techniek zodanig zijn ingericht dat iemand de juiste dingen kan doen (en de verkeerde dingen niet). We loggen echt alles – zelfs of iemand die logs vervolgens zou verwijderen om zijn sporen uit te wissen!
Tot in onze genen
Beleid
Die onderwerpen worden vervolgens besproken met de ontwikkelteams, er wordt beleid op geschreven en vertaald naar onze infrastructuur. Zo borgen we verbeteringen. Het continu nadenken over het verbeteren van kwaliteit en veiligheid is dus dankzij ISO (nog veel meer) in ons DNA gaan zitten.
Voorbeeld 1: browserextensies
Wij denken dat browserextensies de komende tijd tot de grootste securityrisico’s gaan behoren. Deze extensies, plug-ins en add-ons voegen functionaliteit toe aan je browser. Vaak heel handig maar ook riskant als je niet weet waar ze precies vandaan komen. Het kan namelijk malware zijn.
Omdat browserextensies relatief veel kunnen en ‘live’ kunnen meeluisteren in de browser omdat je ze zelf installeert, is het lastig te beveiligen en te monitoren. Wij willen dat toch onder controle krijgen door bijvoorbeeld met onze werkplekbeheerder ‘whitelists’ af te dwingen binnen de configuratie van al onze hardware.
Een whitelist is een lijst browserextensies die te vertrouwen zijn. De lijst stellen we in onderling overleg op en wordt aangepast volgens een interne procedure. Het controleren van de uitvoering van de procedure én de resultaten doen we minimaal jaarlijks en leggen we ook weer vast. Wel zo veilig!
-
Maatwerk software ontwikkeling
Software en webapplicaties die precies doen wat jij wil. Door software op maat te laten ontwikkelen, sluit deze precies aan bij jouw bedrijfsprocessen en behoeften. Zo bied je gebruikers de optimale ervaring, voorkom je fouten en werk je efficiënter.
-
API koppelingen
Waarom nog gegevens overzetten met de hand, als API koppelingen het werk voor jou kunnen doen? Integreer jouw systemen optimaal met slimme koppelingen. Wanneer je jouw software laat maken door PAQT, zorgen wij dat jouw systemen altijd met elkaar communiceren.
-
Software herbouwen
Beter presteren met een bestaande applicatie door een nieuwe back-end
Voorbeeld 2: werken vanuit (t)huis
Een logisch gevolg van het afgelopen jaar is dat al onze collega’s vanuit huis werken. Dit soort zaken testten wij al voordat de pandemie ontstond, omdat het onderdeel is van ons continüiteitsplan. Dat neemt echter niet weg dat de veiligheidsrisico’s van langdurig thuiswerken anders zijn dan die op kantoor. Wat doen we daarmee?
Het is niet te voorspellen of te bepalen ‘hoe veilig’ een thuiswerkplek is. Op ons kantoor zijn allerlei zichtbare en onzichtbare veiligheidsmaatregelen genomen tegen inbraak. Of denk aan slimme bestickering op de ramen om inkijk te voorkomen. Een thuiswerkplek daarentegen kan niet gecontroleerd worden.
Daarom treffen we drie soorten maatregelen:
- We benadrukken elke maand tijdens bedrijfsbrede sessies welke risico’s er zijn (en waar onze collega’s zelf op kunnen letten).
- We stellen ze in staat om hun eigen verantwoordelijkheid serieus te nemen en zorgen voor materiaal waar dat nodig is.
- Tot slot zoeken we altijd naar een objectieve test om bepaalde zaken op afstand voor al onze collega’s te kunnen meten. In dit geval de (nota bene door onszelf ontwikkelde) Veilig Wonen-scan van het Centrum voor Criminaliteit en Veiligheid dat veel aspecten afdekt. Briljant!
Tot slot
Je bedrijf voorbereiden om te laten certificeren is aanvankelijk een heidens karwei waar je vele dagen aan kwijt bent. Het is nieuw voor je en het gaat om enorme hoeveelheden voorwaarden, eisen en protocollen.
Toch blijkt na verloop van tijd dat je de filosofie erachter eigenlijk geïnternaliseerd hebt. Het zit in je DNA en je bent er als het ware van nature continu mee bezig. En ook dat, zo hebben we ervaren, is een waardevolle kwaliteitsimpuls voor je organisatie.
Advies nodig? We helpen je graag.
Maak direct een afspraak voor een adviesgesprek