- Door
- Jeroen Mulder
- geplaatst op
- 3 april 2013 08:01 uur
Ai. Schrijf je een artikel over ISO27001 bij Nederlandse hostingbedrijven en constateer je dat een paar grotere en toonaangevende ondernemingen niet gecertificeerd zijn. Niet dat ze het niet belangrijk vinden, maar het is er blijkbaar nooit van gekomen om zo’n ISO-traject te doorlopen. Al snel daarna kondigde CloudVPS trots aan dat ze het certificaat inmiddels op zak hebben. En ook Cyso heeft ISO27001 binnen. Het certificaat werd een week na publicatie van het bedoelde artikel op ISPam.nl feestelijk aan de muur gespijkerd in het Alkmaarse pand waar Sven Visser samen met twee compagnons en een kleine dertig medewerkers Cyso runt.
Om te beginnen: het gaat goed met Cyso. Het bedrijf heeft zo’n duizend servers onder beheer, van single systemen tot complete platformen voor klanten. Ruim 95 procent draait onder VMware. Daarin is het Alkmaarse bedrijf niet onderscheidend. Dat probeer het wel te zijn in de aanpak. “Je komt niet bij ons met de vraag om 4GB te leveren met Windows. Wij gaan echt met de klant in gesprek: wat wil hij en welke technische oplossing past daarbij. Dat gaat verder dan alleen de techniek, wij maken een volledig technisch ontwerp dat meer omvat dan een platform met servers. Juist daarom werd die certificering zo belangrijk.”
Bijeffect
Want zeggen dat je veilig bent, is één. Het aantonen is een ander verhaal. En ook Cyso merkte dat klanten meer en meer gingen eisen dat het bedrijf gecertificeerd zou zijn. “De harde techniek kun je vrij eenvoudig controleren, maar als het gaat om informatiebeveiliging, wordt dat voor klanten al een stuk lastiger. We zitten niet meer in een markt waarin ze dat zomaar van je aannemen”, stelt Visser die achteraf heel blij is met het gehele traject zoals dat is gelopen. Achteraf. “Het heeft ons heel veel structuur gebracht. We ontdekten tijdens en dankzij het traject dat we een beter resultaat konden bereiken door bepaalde dagelijkse handelingen aan te passen. Een mooi bijeffect.”
Visser is eerlijk: “In de eerste plaats dacht ik: we gaan zo snel en zo goedkoop mogelijk proberen dat schildje aan de muur te krijgen. Toen ontdekten we gaandeweg dat door dit certificeringstraject ontzettend veel organisatorische voordelen konden behalen. Natuurlijk documenteerden we wel, maar het is nu veel ‘gerichter’. ISO27001 hanteert het vier ogen-principe. Een ontwikkelaar schrijft iets op en laat het lezen door een ander. Die stap kunnen we binnen de certificering niet meer overslaan. Zo krijg je automatisch meer structuur.”
Hobbel
Vrijwel elk bedrijf dat bezig is met certificering, merkt dat veel processen er wel zijn, maar vaak impliciet. Grootste hobbel is de borging van processen. Cyso schafte daar een speficieke tool voor aan die de onderneming dwingt om regelmatig zaken onder de loep te nemen en te controleren of processen worden gevolgd. Dat levert weer een schat aan informatie op waarmee het management van Cyso de zaken veel preciezer kan bijsturen. “Neem de incidenten”, vertelt Visser. “Elk bedrijf heeft incidenten, wij ook. Daar werd op de werkvloer veel over gesproken. De technici hadden het wel op orde en dat wisten wij in het management ook wel. Maar incidenten zijn niet alleen een zaak van de technici: het raakt het gehele dienstverlening. Nu komen de incidenten ook daadwerkelijk bij ons terecht zodat wij hier ook op kunnen sturen.”
Normen en waarden
Extra managementbemoeienis? Visser: “Niemand ervaart het als last. Je moet ook anders zien. Als hostingbedrijf werk je al snel in de lijn van ISO. In die zin is het een logisch verlengde van de werkwijze die we al hadden. Maar de markt eist dat je het kunt aantonen. Wij merken dat sinds een jaar of twee, begonnen offertes te verliezen omdat geen ISO-certificering konden overleggen. Niet alleen bij heel grote klanten, maar ook bij klanten die minder grootschalig diensten bij ons afnemen. Dat vond ik heel opvallend. Startups die worden gesteund met geld van venture capitalist-bedrijven: ook die eisten ISO27001. Dan heb je een goede commerciële stok achter de deur.”
Anderzijds: als je als hostingbedrijf roept dat je informatiebeveiliging belangrijk vindt, dan moet je je als bedrijf daar ook op richten. “Certificering is een systeem dat helpt om normen en waarden van een bedrijf tot uitdrukking te brengen. En dat had ik van tevoren niet zo bedacht”, bekent Visser. Een key-differentiator is het niet meer. Noodzakelijk is het wel. “Als je het niet hebt, ga je de boot onherroepelijk missen”, meent Visser. “Het simpelweg aansluiten bij een branchevereniging is niet meer voldoende. De lat komt nu eenmaal steeds hoger te liggen. Misschien zegt ISO niets over de daadwerkelijke kwaliteit van een provider, maar de markt ziet dat anders. En ook rechters zien dat anders. Er zijn bedrijfsstandaarden en je wordt geacht die standaarden te omarmen. Je komt er niet meer mee weg om die standaarden niet te implementeren.”
Advies aan collega-hosters derhalve? Met een brede grijns: “Doe het vooral niet.”