Mister Mail voldoet als één van de eerste Europese E-mail Service Providers volledig aan de ISO 27001;2013 norm. Het behalen van het certificaat is de eerste grote stap. Om de certificering te behouden zal Mister Mail periodiek worden ge-audit. Tijdens deze audits dient Mister Mail aan te tonen dat het beleid en de geïmplementeerde beveiligingsmaatregelen nog steeds effectief zijn en adequaat worden onderhouden.
Een ISO certificaat toont aan dat Mister Mail voldoet aan de meest recente, zwaarste, internationaal erkende norm voor het beveiligen van informatie. François Lenaerts, directeur van Mister Mail, is dan ook bijzonder trots op deze prestatie. Een prestatie die mede dankzij de goede begeleiding van Henny Raadschilders, eigenaar van Triple A Security, in korte tijd is bereikt en die ervoor heeft gezorgd dat Mister Mail bij de allereerste certificeringspoging het certificaat heeft behaald.
Een kort interview met de directeur van Mister Mail dhr. François Lenaerts en Henny Raadschilders, eigenaar van Triple A Security.
Waarom de focus op informatiebeveiliging? Informatie is voor ons een belangrijk bedrijfsmiddel, aldus François. Het verwerken en analyseren van (marketing)informatie is voor Mister Mail een kernproces en vormt de basis van onze dienstverlening. De door ons verwerkte informatie bevat diverse gegevens waaronder persoonsgegevens en andere privacy gerelateerde informatie. Informatie waar wij vanuit onze basis dienstverlening reeds standaard veilig mee om gaan daar we dit verplicht zijn richting onze klanten en gebruikers. Verlies van data of inbreuk op de privacy kan een behoorlijke impact hebben op ons imago en onze business. Naast het voldoen aan de vereiste wet- en regelgeving dus goede redenen om informatiebeveiliging vanuit onze bedrijfsvoering serieus te nemen.
Waarom heeft u voor de ISO 27001 gekozen?
Sinds onze start in 1998 is informatiebeveiliging altijd een belangrijk thema geweest. Het mogen werken met de klantdatabases van onze klanten is een groot goed, waarbij integer handelen centraal stond en staat. De ISO 27001 is wereldwijd de standaard als het gaat om informatiebeveiliging. Met het voldoen aan de strenge eisen van de internationale ISO 27001;2013 norm tonen we aan dat we de juiste en effectieve procedures ingericht hebben. Onze klanten weten hierdoor dat hun gegevens bij ons in vertrouwde handen zijn, Een hele geruststelling, zeker in deze tijd waar datalekken – helaas – steeds meer voorkomen.
Wat heeft u moeten doen voor het behalen van het certificaat?
De ISO 27001 is een norm die als basis een kwaliteitswiel heeft met 4 fasen. Deze fasen worden met de volgende 4 Engelse termen aangeduid: Plan, Do, Check en Act fase. Deze fasen worden door ons jaarlijks opnieuw doorlopen en vormen samen ons Information Security Management System (ISMS). Dit is dus een standaard werkwijze die helpt bij het detecteren, analyseren en mitigeren van de risico’s die de informatiestromen binnen onze bedrijfsprocessen lopen. Het toetsen van de effectiviteit van de geïmplementeerde maatregelen is echter de meest belangrijke activiteit van dit kwaliteitswiel. Dit om schijnveiligheid te voorkomen. “The proof of the pudding is in the eating”, toch? Daar komt Triple A Security bij om de hoek kijken. Henny heeft ons begeleidt door ons steeds een goede spiegel voor te houden en kritisch te zijn op de wijze waarop we maatregelen vorm hebben gegeven. Het Information Security Management System (ISMS) dat we hebben ingericht, garandeert dus zorgvuldig en veilig omgaan met alle data en informatie die Mister Mail behandelt. De maatregelen die we hebben genomen zijn zowel technisch als niet-technisch van aard. Denk bij deze laatste soort maatregel bijvoorbeeld aan het trainen van personeel. Zo zijn onze medewerkers opgeleid in het herkennen, melden en oplossen van mogelijke veiligheidsrisico’s. Daar de zwakste schakel in de keten de sterkte bepaald van de gehele keten leggen wij ook informatiebeveiligingseisen contractueel vast in overeenkomsten met onze partners en leveranciers. Door toe te zien op naleving hiervan en door gezamenlijk periodiek naar beveiligingsaandachtspunten te kijken en deze op te pakken, versterken wij juist de keten, de onderlinge samenwerking en de relatie.
Dat klinkt als een zwaar administratief traject?
Dat dachten wij in eerste instantie ook. Echter met de hulp van Henny Raadschilders, eigenaar van Triple A Security, hebben we snel stappen kunnen zetten. Henny is een doorgewinterde ISO 27001 specialist die ons fase per fase door de norm heeft geleidt. Middels een gestructureerd actieplan dat zijn waarde reeds in de praktijk heeft bewezen werkten we aan de juiste zaken in de juiste volgorde. Hierdoor hebben we geen onnodig tijdverlies geleden of onvoorziene kosten moeten maken. Het inhuren van Henny heeft ons veel gebracht. Henny lichtte de door ons op te leveren eindproducten toe en gaf op verzoek advies voor mogelijke vervolgstappen en acteerde als internal auditor voor het gehele traject. Door deze rolverdeling konden wij ons richten op de implementatie van het ISMS binnen onze bedrijfspocessen en zorgde Henny voor de kwaliteitstoetsing. Veel bedrijven zien op tegen de administratie die wordt gevraagd vanuit de ISO normen, volgens Henny. Echter vele bedrijven hebben reeds al veel vastgelegd of werken reeds volgens een bepaalde structuur. Het vastleggen van zaken hoeft niet altijd zeer uitgebreid te zijn en is afhankelijk van diverse factoren. Als het maar aantoonbaar en herleidbaar is. Daarnaast blijkt in veel van de gevallen dat het wel goed is om zaken vast te leggen want dan pas wordt het voor iedereen duidelijk wat de te volgen weg is. Het komt nog wel eens voor dat in hetzelfde bedrijf men een verschillend beeld heeft van de huidige stand van zaken, aldus Henny.
En nu met een gerust hart achterover leunen?
Nee, absoluut niet, geeft Francois aan. We moeten het huidige beveiligingsniveau zien vast te houden. De wereld om ons heen verandert continue en dus dien je alert te zijn op nieuwe risico’s en zwakheden. Daarnaast is het van belang dat je laat zien dat je ieder jaar de implementatie van jouw ISMS verbeterd zodat je groeit in volwassenheid. Bij een volgende audit gerelateerd aan het certificaat wordt hier ook opgelet. Hierdoor wordt voorkomen dat er een terugval is in het initiële beveiligingsniveau en het managen van informatiebeveiligingsrisico’s.
Over Triple A Security
Triple A Security is een zakelijke dienstverlener met expertise binnen de vakgebieden informatie beveiliging, continuïteitsmanagement, risico management en compliance. Triple A Security adviseert en begeleidt organisatie met de managementvraagstukken binnen deze disciplines en de implementatie van beleid en ondersteunende maatregelen. Ook geeft Triple A Security diverse trainingen op deze gebieden. Dit zijn zowel open trainingen als maatwerk of in-company trainingen. Daarnaast levert Triple A Security audit diensten waarmee u uw eigen aanpak of die van een kritieke leverancier op effectiviteit kunt laten toetsen.
Kijk voor meer informatie op www.triplea-security.org “Als het om de hartslag van uw organisatie gaat”
Over Mister Mail
Mister Mail, gevestigd te Maastricht vanaf 1998, is een van de oudste internetbedrijven van Limburg en een van de eerste e-mail marketing service providers van Nederland. Klanten zijn o.a. ABN AMRO, ING, Shell, AZL, L1. Open Universiteit en de gemeenten Maastricht, Sittard-Geleen en Roermond.
Over ISO 27001;2013
ISO 27001 is een certificeerbare norm die gericht is op informatiebeveiliging. Voor het behalen van dit certificaat worden alle manieren van informatiebeveiliging in de organisatie in kaart gebracht. Het systeem brengt ook de risico’s in kaart. Op basis daarvan worden maatregelen genomen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te waarborgen.
Noot voor de redactie: Voor meer informatie kunt u te allen tijde terecht bij Henny Raadschilders, managing director Triple A Security , 06-46 18 85 46.
Bijschrift bij foto: overhandiging van het ISO 27001 certificaat door Henny Raadschilders (links) van Triple A Security aan Francois Lenaerts (rechts) van Mister Mail.