“Informatiebeveiliging is geborgd binnen Alfa Accountants en Adviseurs”

Alfa Accountants en Adviseurs behaalde haar ISO 27001 certificering en toont daarmee aan dat hun Information Security Management System (ISMS) aan de officiële norm voldoet. René Vermeulen, manager ICT Support en Infrastructuur bij Alfa, stelt dat alle eisen uit ISO 27001 nu echt uitgedragen worden binnen de organisatie.

Alfa AccountantsOveral dichtbij

Alfa beschikt over financiële kennis en specialistische branchekennis en helpt een breed scala aan bedrijven. Van jaarrekening tot salarisadministratie, van fiscaal advies tot subsidies. René: “Onze organisatie is in 1942 opgericht en door de decennia heen stapsgewijs gegroeid. Nu naar meer dan 1.100 medewerkers. Met 35 kantoren in Nederland is het onze bewuste keuze om dichtbij onze klanten gevestigd te zitten. Zelf werk ik sinds 1990 bij Alfa en ik vervul nu de rol van manager ICT Support en Infrastructuur alsmede CISO. Daar ben ik naartoe gegroeid, want ik startte oorspronkelijk als assistant accountant. In 2005 introduceerden we binnen Alfa een grootschalig project waarbij we alle vestigingen één voor één aansloten op een centraal datacenter. Iets dat nu gebruikelijk is, maar waarmee we destijds vooraan liepen”.

Borgen van informatiebeveiliging

De organisatie merkte dat zij veel zaken al volgens de ISO 27001 normering uitvoerden, maar een officiële certificering ontbrak. “Reden genoeg om dit als actie op te nemen in ons beleidsdocument”, stelt René. “Hiermee implementeren we een standaardwerkwijze voor informatiebeveiliging in onze organisatie. We troffen de voorbereidingen samen met Isatis Cybersecurity. Zo zorgden we enerzijds dat alle documentatie op orde was, maar ook dat alle processen en het ISMS op niveau waren. Vanuit Isatis Cybersecurity kwam de naam Brand Compliance naar voren als onafhankelijke, certificatie-instelling die onze organisatie kon toetsen”.

Anders denken en handelen

Het eerste gesprek met de auditor van Brand Compliance verliep goed en smaakte naar meer. René: “Deze auditor kende onze branche, daardoor was er sprake van een match. Dat gaf vertrouwen en vervolgens maakten we afspraken over het certificeringstraject. De eerste inventarisatie vond plaats in de zomer van 2020. Daarna volgde de initiële audit met twee audits in mei en augustus 2021. Terugkijkend vond ik het een intensief traject. Waar ik voorheen gewend was om pragmatisch te werken, denken we dankzij deze kwaliteitsimpuls nu veel beter na over implementatie en innovatie. We maken tegenwoordig bijvoorbeeld impactanalyses voor nieuwe en bestaande applicaties. Wat is de impact voor medewerkers en klanten? Hoe gaan we dat beïnvloeden? Zijn er andere mogelijkheden? We kijken nu op een andere manier naar onze business, dat is ontstaan vanuit de ISO-certificering en werkwijzen”.

Goed op weg

Voor Alfa betekent het behalen van ISO 27001 dat zij deze manier van werken tot in detail in de organisatie geïmplementeerd hebben. “We waren er al mee bezig, na een analyse bleek zelfs dat we 85% van de werkwijze al op de juiste manier deden. Maar dit was nog niet volledig gedocumenteerd. Het kostte veel tijd om dit vervolgens goed vast te leggen. Daar heb ik mij wel enigszins op verkeken. Daarnaast was het ook een flinke klus om die laatste 15% volledig in te bedden in de organisatie. De laatste loodjes zijn toch het zwaarst. Mijn advies is dan ook: zorg dat je dat eerst op de rit hebt en plan vervolgens pas de eerste audit”.

Een steile leercurve

De samenwerking met Brand Compliance ervaarde René als prettig. “De auditor kende onze branche en was scherp op de regels. Maar hij dacht ook mee en stelde goede vragen. Dat zette ons regelmatig aan het denken en dat kwam de informatiebeveiliging in onze organisatie ten goede. Hij duidde bijvoorbeeld erg goed wat de bedoeling was van een bepaalde actie zodat we ook begrepen waarom we iets deden. Dat was voor ons team een leercurve die we gezamenlijk doormaakten”.

Het belang van cyber security

Informatiebeveiliging staat nu prominent op de agenda van de organisatie. “Het is ook mijn taak om de bewustwording binnen Alfa rondom informatiebeveiliging te vergroten”, legt René uit. “Ik laat het bestuur, de directievoorzitters en Raad van Commissarissen dan ook zien wat we gedaan hebben, waar de knelpunten zitten en hoe we vooruitblikken. Cyber security is momenteel erg belangrijk, getuige recente ransomware-aanvallen van hackers. Dat willen we natuurlijk voorkomen. Alfa bezit nu het ISO 27001 certificaat en wil dat ook behouden. Daar blijven we continu aan werken”.