Sabaas
Sabaas is een groeiende organisatie die SAP IT dienstverlening levert. Sinds 2020 helpt QSN de organisatie bij de uitdagingen op het gebied van Informatiebeveiliging. Inmiddels hangt ook het ISO 27001 certificaat aan de muur. Tijd voor taart en een goed gesprek! We interviewden Sander van Gemert en René van Es (Managing Partners bij Sabaas) over dit uitdagende traject en de samenwerking met QSN Consultant Liesanne Visser!
Niet zelf het wiel uitvinden
‘Natuurlijk zijn we sinds de start van Sabaas al bezig met professionaliseren en blijven ontwikkelen’, trapt Sander af. René: ‘Dat klopt wel, informatiebeveiliging was altijd al onderdeel van onze dienstverlening. Toch waren we ook op zoek naar erkende standaarden, zodat we niet telkens zelf het wiel hoeven uit te vinden. ISO 27001 kwam toen om de hoek kijken. In eerste instantie hadden we de overtuiging; dat kunnen we zelf wel! Als we voor dit traject externe expertise inhuren verliezen we mogelijk kennis. We hebben ruim 1,5 jaar zelf geprobeerd om de normeisen te implementeren, toen het uiteindelijk steeds vaker een harde eis werd vanuit onze klanten hebben we besloten hulp in te schakelen.’ Sander vervolgt: ‘Vanuit diverse relaties hadden we positieve geluiden gehoord over QSN, voornamelijk over de praktische aanpak. Toen ook het voorstel goed op onze wensen aansloot zijn we de samenwerking aangegaan.’
De juiste prioriteiten stellen
Sander en Rene: ‘Al snel herkenden we de voordelen van het inschakelen van QSN. Vreemde ogen dwingen natuurlijk en we hadden direct door dat QSN ons ging helpen om de juiste prioriteiten te stellen. De bezoekjes van Consultant Liesanne waren echt een stok achter de deur. Het risico bestaat anders dat je te veel focust op de waan van de dag. Nu wilden we de tijd en expertise van Liesanne graag goed gebruiken!’
De documentatiefase
Liesanne: ‘Bij Sabaas ben ik in de eerste fase gestart met het in kaart brengen van de context, risico’s en natuurlijk de procesbeschrijvingen.’ René vervolgt: ‘Liesanne heeft hier een belangrijke rol bij gespeeld. Ze heeft vrijwel alle medewerkers geïnterviewd en de juiste doorvertaling gerealiseerd. Er ligt nu een BlueBook en risicoanalyse waar we achter staan.’ Sander: ‘Wat ik als groot voordeel zie, is dat we nieuwe medewerkers gemakkelijk en op dezelfde manier kunnen inwerken. We blijven groeien en dan is het extra belangrijk om dicht bij jezelf en de gemaakte afspraken te blijven.’
Implementeren kan je leren
René: ‘Toen het ISMS stond begon de volgende uitdaging; implementeren. Liesanne had een actielijst voor ons opgesteld met zaken die we nog moesten inrichten. We hadden al snel door dat we misschien iets te ambitieus waren, hier hadden we nog best een kluif aan.’ Sander: ‘Wat ik heel handig vond was dat Liesanne templates en best practices met ons deelde. Ze kwam eens in de zoveel tijd om met ons door de acties te lopen en deze ook daadwerkelijk in te richten. Denk bijvoorbeeld aan de leveranciersbeoordelingen.’ Liesanne: ‘Wat ik leuk vond was de kritische houding van het management van Sabaas. Vrijwel ieder risico werd gezien als sky high en alles moest opgepakt worden. Ik heb vooral geholpen om de juiste prioriteiten in kaart te brengen en het haalbaar en passend te maken voor de organisatie.’ Sander: ‘Dat hielp ons zeker om niet te verdwalen of vergeten.’
Bewustwording
Rene: ‘Wat meespeelt is dat we allemaal techneuten zijn. We vinden het leuk om slimme oplossingen te bedenken. Daarom hebben we ook direct verbeteringen doorgevoerd op het gebied van werken in de cloud, inrichten van versiebeheer, beleid rondom wachtwoorden etc. Dit helpt ons om de controls op een snelle en effectieve manier te doen.’ Liesanne: ‘De interne audits hebben we gebruikt als generale repetitie. Alle onderwerpen kwamen aan bod.’ Sander: ‘Wat ik goed vond om te zien was dat er echt al bewustwording was ontstaan. Eigenlijk konden we zeggen: werk zoals je normaal werkt, we hebben de normeisen goed ingebed.’
Nog lang niet klaar
‘Inmiddels hangt het ISO 27001 certificaat aan onze muur. Voor ons is informatiebeveiliging net als handen wassen. Wij vinden ISO 27001 nu echt het standaard niveau dat je van een organisatie mag verwachten. We willen voorop blijven lopen, dus we zijn nog lang niet klaar. ISO is voor de hele organisatie een vast agendapunt geworden en we gaan met alle acties en verbeterideeën enthousiast aan de slag’, sluit René af.
Over Sebaas
Sabaas, SAP IT-optimalisatie en procesautomatisering, is in 2015 opgericht met als doel om beheerde SAP-omgevingen in de openbare Cloud beschikbaar te maken. De manier waarop SAP IT-systemen zijn ingericht is cruciaal voor het ontwikkelen van nieuwe business processen. De experts van Sabaas zetten zich dagelijks in om bedrijven en organisaties te helpen met veranderen. Vanuit het startpunt “Knowing Change” wordt de behoefte van verandering binnen een organisatie beantwoord met de juiste waarom, wanneer en wat antwoorden. Zodat de kwaliteit van dienstverlening blijft gewaarborgd en de business kan blijven innoveren.
Mogen we jouw organisatie ook ondersteunen bij het opzetten van een ISO 27001 managementsysteem? Neem contact met ons op!
ContactGerelateerde referenties
Bekijk alle
Al ruim 3 jaar ondersteunen wij CoolProfs op het gebied van Informatiebeveiliging. QSN heeft de softwareontwikkelaar en OutSystems Partner in 2018 geholpen bij de inrichting van zijn managementsysteem.
KLM Health Services was al bekend met diverse certificeringstrajecten. Ook al was de informatiebeveiliging goed geregeld, het was nog niet vastgelegd in een certificaat. KlM Health Services wilde zich certificeren op ISO 27001 en NEN 7510, toegespitst op de zorg.
Afgelopen zomer heeft 4Consult de overstap gemaakt van een papieren handboek naar een digitaal managementsysteem in SharePoint. We zijn nieuwsgierig waarom 4Consult deze stap heeft gezet en wat het in de praktijk allemaal oplevert.