Marcel van Osenbruggen, security officer binnen Copernicus, heeft een prominente rol gespeeld in het verkrijgen van onze certificering op het gebied van informatiebeveiliging. Een certificering zoals ISO 27001 en NEN 7510 krijg je niet zomaar in de schoot geworpen. Hier gaat een zorgvuldig en intensief traject aan vooraf.
Marcel heeft in zijn loopbaan de nodige ervaring opgedaan waardoor hij het traject in goede banen kon leiden. “Ik ben al heel lang werkzaam in de IT en de informatiebeveiliging. Hierbij heb ik altijd een hang gehad naar geordend werken en gestructureerde processen. Een groot stuk van mijn ervaring deed ik op bij het beheren van systemen. Later, in het bankwezen, rolde ik steeds meer door naar het security werkgebied, ging minder beheer doen en verlegde de focus naar informatiebeveiliging.’
“Op een gegeven moment ben ik in mijn carrière mijn aandacht weer gaan richten op het stuk systeembeheer. Zo ben ik ook bij Copernicus in een soortgelijke beheerdersfunctie gestapt. Toen ISO en NEN om de hoek kwamen kijken, kwam men naar me toe: “Zeg had jij niet iets gedaan met..?” De rest is geschiedenis.”
Waarom is het traject gestart voor de ISO en NEN certificering?
“Toen bij Copernicus de ISO- en NEN-certificering om de hoek kwam kijken, was dit vooral ingegeven door de verwachtingen en eisen van klanten. Vooral voor klanten vanuit onze CoperniCare-klantenkring was dit een belangrijk punt. Logisch, want als er veel data verwerkt wordt en met name gegevens van patiënten, dan moet een veilige verwerking van gegevens volledig in orde zijn.”
‘Het verwerken van data van onze klanten, gebeurt zeer zorgvuldig. Ook voordat we met certificering aan de slag gingen, zorgden we voor een veilige omgeving waarop we informatie verwerken en uitwisselen. Door deze officiële certificeringen binnen te halen, weten klanten waar we staan op het gebied van informatiebeveiliging en dat dit onze volle aandacht heeft.’
“In het nieuws ontkom je er ook niet aan: overal kom je wel berichtgeving tegen over informatiebeveiliging. Het is en blijft een heel actueel onderwerp. Dat kan ook niet anders met de nog altijd groeiende automatisering van processen en de datastromen die daarbij komen kijken.’
Wat is de meerwaarde om officieel gecertificeerd te zijn?
“Door deze certificeringen kunnen we eenvoudiger extern communiceren dat we niet alleen goed nadenken over informatiebeveiliging, maar dat dit ook in processen is vastgelegd. Hierdoor staat zwart op wit dat we alle zaken op een verantwoorde wijze aanpakken en aan de eisen voldoen.”
“Als ik intern kijk dan merk ik een grote bereidwilligheid om de certificering te ondersteunen. Ook al druist het wel eens in tegen de manier waarop iemand voorheen werkte. Deze bereidheid zag ik al vanaf het begin van het traject. Dat maakt mijn werk natuurlijk een stuk makkelijker.
Waar het echt nodig was hebben we dan ook werkprocessen veranderd zodat deze passen binnen de gestelde norm.
Dat deze nieuwe manier van werken zijn vruchten afwerpt, merkten we bijvoorbeeld aan de soepele migratie van MediTracker. Het is mooi om te zien dat deze nieuwe manier van werken zijn steentje heeft bijgedragen zodat ons sterke team deze grote migratie in goede banen kon leiden.”
Hoe stimuleer jij collega’s om volgens de richtlijnen te blijven werken en de awareness hoog te houden?
“In het Blue Book staat ook beschreven hoe we omgaan met het stuk awareness onder onze collega’s. Denk hierbij aan onderlinge gesprekken en een clean desk check. Daarnaast staat erin vastgelegd dat in de eindejaarspresentatie altijd aandacht wordt gevraagd voor informatiebeveiliging en onze ISO- en NEN-certificering.
Verder kan dit natuurlijk ook in onze interne nieuwsbrief, die onze medewerkers elke maand krijgen. En dit interview is ook een mooi voorbeeld.”
“Wat overigens NIET werkt is angst zaaien en straffen, dus daar moet je het niet over hebben. Je moet mensen overtuigen dat iets beter is voor het bedrijf en belonen voor hun aandacht en voor dat punt waar zij onderdeel van zijn. Het wij-gevoel creëren: we doen het samen en iedereen heeft invloed op informatiebeveiliging. Elke vraag van collega’s hierover kun je meenemen in dat proces.
Niet iedereen merkt het continu maar informatiebeveiliging is dagelijks aan de orde. Dat is juist mooi, want dan doe je het onbewust zelf.”
Wat was de grootste uitdaging in dit traject?
“Dat begint eigenlijk bij de directie en de organisatie van het bedrijf. Door alle gelederen binnen onze organisatie moet je iedereen kunnen overtuigen van het verandertraject. Je kunt ook niet eenmaal gecertificeerd stil blijven zitten. Hierbij is het belangrijk dat je vanuit de juiste beweegredenen blijft werken. Dus niet technical driven zijn, maar vanuit een intrinsieke overtuiging dat informatiebeveiliging cruciaal is.”
Hoe zie jij de toekomst van informatieveiligheid voor je?
“De uitdaging komt dit en volgend jaar. Van een aantal dingen kunnen we nog niet laten zien dat we doen wat we zeggen te doen. Uit de rapportages moet nu de aantoonbaarheid rollen. En alle verbeterpunten moeten meetbaar en zichtbaar zijn. Daarnaast werken we nu heel anders dan een jaar geleden. Waar eerst iedereen primair op kantoor zat, werkt iedereen nu vooral vanuit huis. Belangrijk is dat we grip en inzicht houden op hoe iedereen werkt. Waar staat alle data en hoe beveilig je dat.”
“De importantie van de data waarmee we werken, al die gegevens die onze klanten ons toevertrouwen, verdient het om respectvol mee om te gaan,” sluit Marcel stellig af.