House of Data
← Terug naar cases
Financiele dienstverlener

Van nul naar ISO 27001-gecertificeerd in tien maanden

ISO 27001DORAinformatiebeveiligingprogrammamanagementchange management

“Een programmamanager die alleen vergadert, lost niets op. Je moet met je voeten in de klei staan, pas dan weet je of het werkt.”

Situatie

Een snelgroeiende financiele dienstverlener met meer dan honderdvijftig medewerkers stond voor een harde deadline. De toezichthouder eiste DORA-compliance, en ISO 27001-certificering lag op het pad daar naartoe. De directie had de ambitie vastgesteld. Maar tussen ambitie en certificering lag een heel programma dat nog volledig moest worden opgebouwd.

De organisatie werkte agile. Sprints en release cycli draaiden op volle snelheid, maar zonder security-laag. Development had volledige vrijheid en reageerde verdeeld op het idee van meer structuur. Een deel was open. Een deel defensief. De sfeer: sceptisch, maar niet vijandig.

Maurits den Dunnen, programmamanager bij House of Data, werd gevraagd om als extern programmamanager het ISO 27001-traject te leiden. Dit project vond plaats voordat House of Data werd opgericht. De werkwijze en de lessen uit dit traject vormen mede de basis van hoe wij vandaag naar compliance-trajecten kijken.

De opdracht: tien maanden. Van blanco naar een succesvolle externe audit. Halverwege zou een interne audit door een onafhankelijk Big Four kantoor het eerste echte toetsmoment zijn.

De uitdaging

Vierhonderd actiepunten. Nul structuur.

Een Big Four kantoor was al langer betrokken als adviespartij in het voortraject. Daarnaast waren externe risicomanagers vanuit consultancybureaus ingehuurd. Samen met het bestaande projectteam hadden zij in brainstormsessies een actielijst opgesteld die boven de vierhonderd items uitkwam.

De varieteit was enorm. Van “zorg dat bezoekers zich vooraf aanmelden bij de receptie” tot “toon aan dat je een dekkend Business Continuity Plan hebt.” Vier niveaus van complexiteit, allemaal op dezelfde ongesorteerde hoop.

Het probleem was niet de omvang. Het probleem was dat niemand overzicht had. Actiepunten lagen verspreid over teams, zonder eigenaren, zonder prioritering, zonder relatie tot de ISO 27001-controls die ze moesten afdekken. Er was veel gedaan. Maar niemand kon vertellen hoe ver men was.

Development meekrijgen

Het moeilijkste onderdeel was niet de documentatie of de technische controls. Het was development meekrijgen.

Agile teams die gewend zijn snel te itereren, ervaren extra stappen als vertraging. De neiging om processen te omzeilen of werkwijzen buiten het zicht te houden was aanwezig. Draagvlak was geen vanzelfsprekendheid. Het moest verdiend worden.

Contracten die getekend werden voordat iemand ze las

Ondertussen kwamen bij IT Security, Legal, Compliance en Vendor Management regelmatig nieuwe getekende contracten onder ogen. Nog voordat de inhoud daadwerkelijk was gecontroleerd, had een manager al getekend en was er al een project gestart. Dat kon niet langer. Deze afdelingen klopten aan de bel en dat signaal werd het startpunt voor het gehele wijzigingsbeheer.

Aanpak

Van actielijst naar werkpakketten

De eerste stap was het doorgronden van de ISO 27001-requirements en het mappen van de vierhonderd-plus actiepunten op de bijbehorende controls. Veel items bleken meerdere controls tegelijk te raken. Andere stonden dubbel of overlapten inhoudelijk. Een deel was triviaal; een deel raakte de kern van de bedrijfsvoering.

Door abstractielagen aan te brengen ontstond structuur. Actiepunten werden geclusterd per control-domein, geprioriteerd op auditrisico en toegewezen aan concrete werkpakketten met duidelijke eigenaren. Voor het categoriseren en mappen werd AI ingezet om patronen in de actielijst te herkennen en de koppeling naar controls te versnellen - zonder dat er gevoelige gegevens aan te pas kwamen. Vierhonderd items handmatig classificeren is een klus van een week of twee. Met de juiste middelen is het een kwestie van uren.

Het resultaat: van een ongestructureerde berg naar werkpakketten die teams daadwerkelijk konden oppakken. Voor het eerst was zichtbaar hoe ver de organisatie was en waar de gaten zaten.

Vier lagen voor wijzigingsbeheer

Het signaal van Legal en Compliance was de aanleiding om het wijzigingsbeheer vanaf nul in te richten. Maurits schreef het beleid en de procedures zelf, nadat hij had onderzocht hoe het bedrijf in de praktijk met wijzigingen omging. Alles werd ondergebracht in een vier-lagenstructuur:

  • Hotfix: directe correctie met verplichte risicoafweging op standaardformulier. Ook bij spoed.
  • Sprint: security review per user story. Elke story met data-impact had een eigen security-criterium in de definition of done.
  • Project: diepere beoordeling, formele escalatielijn via PO en CISO naar stuurgroep.
  • Programma: periodieke rapportage en managementreview op stuurgroepniveau.

Elke hotfix met security-impact volgde de formele ladder: team, PO, CISO, stuurgroep op basis van risicoklasse. De aantoonbaarheid werd geborgd via procesbeschrijvingen, een audittrail per laag en interne auditrapportages.

Secure SDLC ingebouwd, niet opgelegd

Alle development teams vielen onder de Secure SDLC. Geen uitzonderingen. De inrichting was bewust pragmatisch:

  • OWASP Top 10 als inhoudelijk referentiekader
  • Security als label en workflow-stap in Jira, zichtbaar voor iedereen
  • Handmatige code review met security-focus in het pull request-proces

De security-criteria in de definition of done werden samen met de teams geschreven. Niet opgelegd van bovenaf, maar ontworpen op basis van wat zij zelf nodig achtten om aan te tonen dat een story veilig was. Dat maakte het verschil tussen een opgelegd proces en een gedragen werkwijze.

Van Excel-spaghetti naar TPRM

Het leveranciersbeoordelingsproces was een verhaal apart. Er lag een veelvoud van aan elkaar geknoopte Excel-bestanden die niemand durfde aan te raken. Het proces was technisch fragiel en organisatorisch ondoorzichtig. Het werd ontvlochten en ondergebracht in een SaaS-oplossing, tot grote vreugde van de auditor, die een aantoonbaar en herhaalbaar proces aantrof in plaats van een spreadsheet-moeras.

Acht thema’s die security tastbaar maakten

Samen met een grafisch ontwerper werden acht thema’s bedacht die informatiebeveiliging concreet en herkenbaar maakten. Elk thema kreeg een eigen icoon. Verbeterprojecten werden aan een thema opgehangen, zodat medewerkers in een oogopslag zagen waar een verandering bij hoorde. Nieuwe projecten werden aangekondigd op de interne pagina’s, en er werd regelmatig een update over gegeven. Het effect: security was niet langer een abstract begrip uit een handboek, maar iets met een gezicht.

Met de voeten in de klei

Maurits verdeelde zijn tijd ruwweg 70% op programmaniveau en 30% hands-on in de teams. Niet omdat dat zo gepland was, maar omdat het zo groeide. Hij merkte dat hij het meeste verschil maakte als verbinder door daadwerkelijk mee te helpen.

Meedenken aan security-criteria. Aanwezig zijn als teams vastliepen. Het hotfix-formulier live doorlopen met de mensen die het moesten gebruiken. Testen of een nieuw proces ook echt de pijn wegnam bij collega’s die ondertussen druk waren met hun dagelijkse werk.

Die aanwezigheid deed iets. Mensen leerden hem kennen. Hij leerde hen kennen. En daardoor wilden ze een stap extra voor elkaar zetten. Teams gingen niet met security-vragen naar een afdeling, maar naar iemand die snapte hoe zij werkten.

Agile, PRINCE2 en MSP fungeerden als gereedschapskist, niet als keurslijf.

Het kantelpunt

Vier maanden na de start deed een onafhankelijke auditor de interne audit, bewust gescheiden van de adviespartij om objectiviteit te waarborgen. Het resultaat: acht minor non-conformities en een flinke lijst opportunities for improvement.

De bevindingen waren talrijk en zichtbaar. De noodzaak werd onmiskenbaar. Het was geen aanwezigheidsplicht meer, maar een serieuze zaak. Niet slagen voor de externe audit had grote gevolgen. En bij de interne audit werd ook duidelijk dat men zich niet in anonimiteit kon verschuilen.

Daarna trok iedereen in dezelfde richting.

Wat er is opgebouwd

Documentatie en processen:

  • Informatiebeveiligingsbeleid + 15 procedures
  • Risicoregister met behandelplan
  • Statement of Applicability (SoA)
  • Change management beleid en procedures
  • Intern auditprogramma en -rapportages
  • TPRM-proces (van Excel naar SaaS)
  • 8 awareness-thema’s met visuele identiteit

Technische controls:

  • Logging en monitoring opgezet
  • MFA uitgerold voor alle kritieke systemen
  • Toegangsbeheer opgeschoond
  • Kwetsbaarheidsbeheer en patchproces ingericht
  • Encryptie data in rust en transit verbeterd

Resultaat

  • 0 major non-conformities bij externe certificeringsaudit
  • 2 minors, de eerste binnen twee weken opgelost, de tweede formeel afgesloten bij de volgende audit
  • 10 maanden van blanco naar gecertificeerd
  • 0 majors bij surveillanceaudit, 1 minor, een jaar later, uitgevoerd door het interne team

De externe auditor was verrast door het volwassenheidsniveau voor een eerste certificering. De directie erkende het succes expliciet.

Maar het meest tastbare resultaat was de gedragsverandering. Medewerkers stelden bij nieuwe projecten zelf vragen over security. De neiging tot shadow IT nam merkbaar af. Security was geen bijzaak meer, het was onderdeel van hoe teams werkten.

Overdracht als eindproduct

Na de certificering richtte Maurits zich op overdracht. Een intern security team van vijf mensen werd opgebouwd, allemaal aangenomen om het ISMS structureel te borgen. De werkzaamheden werden geleidelijk overgedragen. Maurits schaalde af in uren, bleef beschikbaar voor vragen en escalaties, en deed ondertussen kleinere implementatietrajecten voor dezelfde organisatie.

Een jaar later volgde de surveillanceaudit. Het toetsmoment. Als het interne team die audit zelfstandig doorstond, was de overdracht geslaagd.

Dat was zo. Nul majors, een minor.

Goed inrichten betekent jezelf overbodig maken. Dat is geen verlies, dat is het bewijs dat het werkt.

Dit project werd uitgevoerd door Maurits den Dunnen voordat House of Data werd opgericht. De aanpak en de lessen uit dit traject vormen de basis van hoe wij vandaag naar compliance- en governance-vraagstukken kijken.

Werkt u ook aan ISO 27001 of DORA-compliance? House of Data begeleidt organisaties van strategie tot certificering. Plan een eerste consult.

Laten we praten

Plan een eerste consult voor uw data-uitdagingen.

Neem contact op