Voor Purple is ISO 27001 een randvoorwaarde om te kunnen opereren. Onze klanten vertrouwen ons niet voor niets hun (doorgaans bedrijfskritische) communicatie, data en platformen toe. Dat vertrouwen vraagt om aantoonbare beheersing, transparantie en continue aandacht voor informatiebeveiliging.
“Informatiebeveiliging is niet iets dat je één keer oplost. Het is iets wat je elke dag toepast, in elke beslissing die je neemt. Dat werkt alleen wanneer informatiebeveiliging onderwerp is en wordt gedragen op directieniveau. ISO27001 helpt ons om security een gezamenlijke verantwoordelijkheid te maken, en niet een bijzaak van de IT afdeling.”
- Robert Jeninga, COO
De waarde van ISO 27001 zit voor ons niet in het certificaat zelf, maar in model en de discipline erachter. Het dwingt de organisatie tot scherpte. Eigenaarschap wordt expliciet gemaakt, risico’s worden eerlijk benoemd en keuzes over het accepteren, beperken of vermijden van risico’s worden bewust genomen en vastgelegd. Daarmee voorkomt het dat security impliciet blijft, blijft hangen in intenties of enkel op aannames berust.
In de praktijk betekent dit dat informatiebeveiliging zichtbaar is in ons dagelijkse werk. Projecten starten met risico-inzicht, niet pas achteraf. Toegang wordt verleend op basis van rol, autorisatie en noodzaak. Wijzigingen worden beoordeeld, vastgelegd en gecontroleerd. Leveranciers en partners worden niet alleen beoordeeld op functionaliteit of kosten, maar ook op hun security-houding en professionaliteit. Maatregelen en monitoring worden geïmplementeerd en actief bijgehouden.
Binnen Purple is het Information Security Management System geen statisch vehikel. Het wordt actief gebruikt en continu verbeterd. Risico’s worden herzien, beheersmaatregelen getest, incidenten geëvalueerd en lessen worden vertaald naar concrete aanpassingen in onze werkwijze. Security-bewustzijn is geen jaarlijks moment, maar onderdeel van hoe mensen bij Purple werken. Dat laatste blijft een lastig punt, want hoe hou je iedereen bij de les en hoe maak je het interessant?
“ISO 27001 helpt ons om intentie om te zetten in uitvoering. Het brengt structuur, verantwoordelijkheid en transparantie in hoe we met informatiebeveiliging omgaan.”
— Mark Jonkman, Security Officer Purple
Maar ook wij zijn daarbij realistisch. Geen enkele organisatie is in staat om alle risico’s uit te sluiten. ISO27001 belooft dat ook niet en wij evenmin. Wat het wel biedt, is een gestructureerde manier om met onzekerheden om te gaan. Incidentrespons te oefenen, continuïteitsplanning paraat te hebben en de afhankelijkheden van leveranciers en herstelprocedures vooraf in te richten, zodat beslissingen niet onder druk hoeven te worden genomen.
Voor onze klanten betekent dit voorspelbaarheid en vertrouwen. Informatiebeveiliging is bestuurlijk belegd, risico’s worden actief gemanaged in alle lagen van het organisatie en maatregelen worden consistent toegepast over de assen: mens, proces en technologie.
Uiteindelijk sluit ISO27001 naadloos aan bij hoe wij onze rol als technologiepartner zien. Security moet vooruitgang mogelijk maken, niet vertragen. Goed ingericht zorgt het voor rust, weerbaarheid en vertrouwen. Als je weet hoe je dit aanpakt, dan levert dit uiteindelijk juist weer flexibiliteit en kansen op. Daarom investeren we erin. En daarom blijven we onszelf eraan toetsen.
Let's Go Purple.