info@msml.nl
+31 85 4018747
Bij MSML speelt (data) veiligheid al jaren een belangrijke rol. Sterker nog, we hebben van dit stoffige thema sinds 2012 een absoluut speerpunt gemaakt. Hoe kan het ook anders met een directeur die IT-security management studeerde?
De aantrekkingskracht van het internet was voor veel ondernemers en organisaties de afgelopen jaren onweerstaanbaar. Bedrijfsmodellen werden in hoog tempo omgebouwd naar online strategieën. Helaas werd (en wordt) dataveiligheid daarbij vaak onderbelicht. Er zijn talloze voorbeelden van platformen met datalekken. Omdat de sector zich niet zelfregulerende, werd de AVG/GDPR in 2018 ingevoerd. Deze heeft het bewustzijn gestimuleerd, waardoor steeds meer organisaties het belang van dataveiligheid inzien. De boetes zijn weliswaar afschrikwekkend, maar van de bijbehorende imagoschade is zeker geen weg terug.
Steeds meer opdrachtgevers zien in dat het organiseren en verzekeren van dataveiligheid moeite, tijd en geld waard is. Zo vinden ze hun weg naar MSML, waar we op dit terrein simpelweg geen compromissen stellen.
Een logische stap
Bij alle keuzes die wij maken klinkt dataveiligheid door. Zo maken we uitsluitend gebruik van servers die voldoen aan de hoogste normen. Hoe hoog? Wel, deze servers zijn gecertificeerd voor het verwerken van medische data. Zoals elektronische patiëntendossiers. Alle servers worden bovendien proactief door ons gecontroleerd om eventuele onderbrekingen en kwetsbaarheden te signaleren.
Op veilige servers horen veilige applicaties te draaien. Vrijwel al onze opdrachtgevers kiezen daarom voor gebruikersverificatie in twee stappen. We onderhouden, als onderdeel van een Service Level Agreement, alle applicaties. Zo voeren we alle updates voor frameworks en platformen als Android en iOS uit.
Kortom, met onze software en architectuur zit het wel goed. Maar, programmeren is ook mensenwerk. Dus hoe zorg je dat iedereen in de organisatie net zo veilig werkt als onze software?
Het ISO 27001 traject
ISO 27001 is een informatiebeveiliging een management methode om organisaties veilig te laten werken. Eind 2019 besloten we dat een certificering de volgende stap zou zijn in onze security management filosofie.
Het traject begon zo’n zes maanden geleden met een nulmeting en risico analyse. Door het beantwoorden van een hele reeks vragen werd duidelijk aan welke kwetsbaarheden MSML bloot staat. De verbeterpunten werden doorgevoerd en alle relevante processen zijn beschreven en vastgelegd. Om te zien waar we stonden kozen we voor een extra meeting. Deze liet zien hoe we ons hadden verbeterd sinds de introductie van talloze beheersmaatregelen.
Maatregelen zoals de introductie van een Business continuity plan. Dit is een document dat doemscenario’s vastlegt in het geval van calamiteiten. Wie handelt en hoe? Het maakt informele afspraken hierover concreet en voor iedereen duidelijk. Daarnaast hebben we al onze leveranciers onder de loep genomen. Werken zij volgens onze standaarden, kunnen ze dat, of moeten we op zoek naar een nieuwe partij?
Er is heel wat geschreven, uitgezocht en getraind in de afgelopen maanden. Want procedures zijn alleen zinvol als men ze ter harte neemt. Dit traject is echt een huzarenstukje van de hele organisatie. En, eigenlijk is het werk nooit helemaal klaar. Want dankzij de PDCA-cyclus wordt het nieuwe beleid voortdurend geëvalueerd en bijgestuurd.
Om gecertificeerd te worden controleert een onafhankelijke auditor de organisatie, de procedures en de mensen. Dat gaat in twee stappen. Een interne audit van twee dagen die vooral theoretisch is ingestoken en een externe audit die je als een praktijk controle kunt zien.
De certificering
Nu we beide audits met goed gevolg hebben doorlopen is MSML officieel ISO 27001 gecertificeerd. We zijn enorm trots op alle collega’s die hard hebben gewerkt om alles te beschrijven. En het project werpt direct zijn vruchten af, omdat we samen met onze klanten internationaliseren. Hierdoor neemt het aantal gebruikers en daarmee de risico’s snel toe. Recent heeft Unilever Global daarom een eigen audit uitgevoerd (nog voor we gecertificeerd waren). Ook deze hebben wij met vlag en wimpel doorlopen.
Deze certificering is het kroonjuweel op onze missie om als softwarebedrijf dé partner te zijn voor betrouwbare en veilige software op maat.
Update 2023: Hercertificering ISO 27001 is een feit!
We zijn verheugd om te delen dat we afgelopen maand opnieuw met trots onze ISO 27001-hercertificering hebben behaald. Deze hercertificering bevestigt onze voortdurende inzet voor informatiebeveiliging en onderstreept onze positie als een vertrouwde partner voor veilige softwareoplossingen op maat. Met deze recente hercertificering versterken we onze belofte om de hoogste normen van informatiebeveiliging te handhaven. We blijven ons toewijden aan het beschermen van gevoelige gegevens en het waarborgen van de privacy van onze klanten, terwijl we blijven innoveren en groeien in een steeds veranderend landschap van digitale veiligheid. Lees meer in ons security statement.
