Emma Erkelens is Consultant bij Eraneos en als projectleider gevraagd om de informatiebeveiliging binnen Eraneos naar een hoger niveau te tillen, met als doel de ISO 27001-certificering. Waarom kreeg zij deze rol toebedeeld? Welke veranderingen heeft het project binnen Eraneos teweeg gebracht? “Hou informatiebeveiliging vooral pragmatisch.”
Informatiebeveiliging staat volop in de belangstelling. Terwijl vanuit de wet- en regelgeving steeds strengere eisen worden gesteld, staan organisaties tegelijkertijd bloot aan alsmaar toenemende aanvallen van buitenaf. Met het naar een hoger niveau tillen van de beveiliging, met als resultaat een ISO 27001-certificaat, wil Eraneos medewerkers en klanten het vertrouwen geven dat er veilig met hun informatie wordt omgegaan. Projectleider Emma Erkelens: “Eraneos (voorheen Quint) is al sinds 1998 ISO 9001-gecertificeerd, waarmee ons kwaliteitsmanagementsysteem aan de normen voldoet. Vanuit ons Governance, Risk & Control team kwam de vraag om ook de informatiebeveiliging formeel vast te leggen in de ISO 27001-normen.”
“Hou informatiebeveiliging pragmatisch. Informatiebeveiliging en met name certificering wordt gezien als een complexe papierwinkel.”
Ervaring opgedaan bij pensioenfondsen
Er was binnen Eraneos wel veel geregeld op het gebied van informatiebeveiliging. Maar te weinig was formeel vastgelegd; de kennis over informatiebeveiliging en werkwijze was deels impliciet, waardoor er een wisselend inzicht was in de werkelijke beveiliging, vertelt Emma. “De ISO-norm biedt een framework om informatiebeveiliging inzichtelijk en aantoonbaar te maken. In de ruim twee jaar dat ik werkzaam ben bij Eraneos, heb ik bij verschillende pensioenfondsen projecten gedaan rond het op orde brengen van de informatievoorziening en beveiliging binnen de kaders van De Nederlandse Bank.”
Alle financiële organisaties staan onder toezicht van DNB, die steeds scherper acteert om de risico’s terug te brengen en integere en beheerste bedrijfsvoering na te streven, ook bij kleinere financiële instellingen. “Door mijn ervaring en affiniteit met het onderwerp informatiebeveiliging en beheerste bedrijfsvoering werd ik gevraagd om projectleider te zijn. Ik vond het best spannend, wie vraagt er nou iemand die nog geen jaar in dienst is bij haar eerste werkgever om projectleider te worden. Het was geweldig om zo’n kans te krijgen, gelukkig werd mij verzekert, dat ik niet als individu afgerekend zou kunnen worden op de resultaten en dat de CFO en opdrachtgever zouden ingrijpen als het nodig was. Ik ben ambitieus en met deze belofte heb ik ja gezegd op de rol.”
Bedrijfsprocesmodel en risicoanalyse
Belangrijke eerste stappen waren het opnieuw opstellen (voortbouwend op het bestaande model voor de ISO9001 certificering) van een inzichtelijk bedrijfsprocesmodel en een risicoanalyse met alle procesvertegenwoordigers. Daaruit blijkt al snel dat Informatiebeveiliging echt mensenwerk is. “Door toenemende digitalisering kunnen we gewoon niet meer om Informatiebeveiliging heen,” zegt Emma. “Als je kijkt naar recente nieuwsberichten, het GGD-datalek, maar ook Ollongren die met haar papieren naar buiten liep, het zijn mensen die al dan niet met kwade wil informatie lekken. Informatiebeveiliging wordt vaak gezien als een IT-feestje, maar het raakt de hele organisatie. Ik heb in dit project met veel plezier samengewerkt met alle facetten van onze organisatie om de ISO 27001 norm te implementeren. Daarnaast zoeken we nog steeds naar aansprekende manieren, zoals onze podcast, om informatiebeveiliging onder de aandacht te houden van medewerkers.”
De lessen die Emma zelf uit het traject meeneemt zijn waardevol voor de hele organisatie. “Hou informatiebeveiliging pragmatisch. Informatiebeveiliging en met name certificering wordt gezien als een complexe papierwinkel. Bij het opstellen van het informatiemanagementsysteem zijn we in gesprek gegaan met mensen die verantwoordelijk zijn voor de operatie. We hebben nieuwe beveiligingseisen zo pragmatisch mogelijk ingericht in de bestaande organisatie.”
Draagvlak creëren
Het project heeft veel bijgedragen aan de verdere professionalisering van Eraneos “Informatiebeveiliging gaat erover een volwassen bedrijfsvoering in het gehele bedrijf te creëren. Dit kan alleen wanneer het management deze behoefte ook uitdraagt. Gelukkig stond het hele management achter dit project en ik werkte nauw samen met de CFO die nu ook Information Security Officer is. Kortom, de informatiebeveiliging verbeteren kan alleen als de hele organisatie meebeweegt en wordt aangesproken.” Een belangrijk advies is om in de projectgroep te zorgen voor een gemengde en representatieve afspiegeling van de organisatie. “Daarmee vergroot je het draagvlak en zoals altijd is dat essentieel om dingen gedaan te krijgen,” zegt Emma.
Zo kreeg Emma afspraken en opdrachten die ze uitzette, snel uitgevoerd en konden er snel beslissingen genomen worden. “Het is best wennen om zeer ervaren collega’s aan te spreken, ook als ze het druk hebben, maar Eraneos is een hele platte organisatie en dat heb ik aan de lijve ondervonden in dit project. Ik ben trots op het resultaat wat we hebben neergezet: dat Eraneos Nederland ISO27001 gecertificeerd is.’