SOC 2 doe je niet voor de bühne. Het levert je echt wat op.

Als Security Manager is Paul Schoorl verantwoordelijk voor de implementatie van SOC 2 bij Yellowtail. Het hanteren van deze standaard is een absolute must voor ons bedrijf. Paul legt uit wat het belang is van SOC 2 en wat het effect is van de implementatie op de bedrijfscultuur.

Urgentie

‘Yellowtail is ooit begonnen als een consultancybedrijf. Het detacheren van consultants bij onze klanten bracht slechts beperkt risico’s met zich mee. Dat veranderde toen we ons gingen ontwikkelen richting een softwarebedrijf met eigen softwaretoepassingen. Dan komen aspecten als kwaliteit van producten en veiligheid van systemen en dienstverlening om de hoek kijken. Deze andere manier van werken brengt nieuwe risico’s met zich mee. Het vergt een andere manier van managen. Tegenwoordig is informatiebeveiliging een aandachtspunt voor heel veel organisaties – ook voor Yellowtail. Datalekken, aanvallen van buitenaf, ransomware: het is aan de orde van de dag. Het hackersgilde is commercieel gegaan, zullen we maar zeggen. Hoe groter je organisatie is, hoe belangrijker het is om je informatiebeveiliging voortdurend goed geregeld te hebben. Dat geldt voor ons net zo goed.’

Commercieel belang

‘Ook voor onze klanten is het van groot belang dat zij erop kunnen vertrouwen dat wij de processen en beheersmaatregelen rond informatiebeveiliging en de bescherming van privacygevoelige gegevens adequaat managen. Om dit aan te kunnen tonen, zijn we nu de internationaal erkende Service Organisatie in Control standaard (SOC 2) aan het implementeren. Dit dient voor ons ook een commercieel belang: bij inkooptrajecten neemt de druk toe om SOC 2 assurance af te kunnen geven. Zo eist DNB van alle banken dat ze aantoonbaar in control zijn over hun essentiële processen; met ISO27001 neemt de centrale bank geen genoegen meer. Omdat wij veel klanten in de financiële sector hebben, is SOC 2 voor ons een must na het reeds behaalde ISO 27001 certificaat. Anders komen we niet eens meer in gesprek met financieel dienstverleners.’

Van servet naar tafellaken

‘Ik merk dat rond SOC 2 nog steeds een zweem van certificering hangt: we kijken naar wat de richtlijnen zijn, we zorgen dat we daar aan voldoen, we krijgen een certificaat en klaar zijn we. Maar zo werkt SOC 2 niet. Het kost echt wel wat tijd voordat iedereen doorheeft dat we alle processen vast moeten gaan leggen en dat we voortdurend aantoonbaar in control moeten zijn. Inzicht hebben en sturen op wat er gebeurt in je organisatie, wat je medewerkers doen, wat systemen vastleggen en wat niet: het is de volgende stap in de volwassenheid van ons bedrijf. We zijn gegroeid van servet naar tafellaken – en dat brengt verantwoordelijkheden met zich mee. Zeker op het gebied van informatiebeveiliging. We zijn toe aan ‘the next level’ en daarvoor moeten we ook onze cultuur veranderen. We kunnen zaken niet blijven doen zoals we die altijd deden.’

Een hoger niveau

‘Die cultuurverandering zit met name in het bewustzijn: waarom doen we wat we doen? Kan het beter, sneller, veiliger, efficiënter? Je gaat bijvoorbeeld analyseren wie toegang heeft tot welk systeem. Klopt het dat deze mensen toegang hebben? En wie is eigenlijk verantwoordelijk voor de autorisaties? Dat vergt dat je kritisch naar je eigen doen en laten moet kijken en elkaar stevig moet bevragen. Ja, dat kost tijd en inspanning. En ja, het zal wel eens ergens gaan schuren. Maar dan krijg je ook wat: de mate van in control zijn neemt niet alleen toe, maar je tilt ook je organisatie en je processen naar een hoger niveau. Zo verbetert Yellowtail uiteindelijk de efficiëntie en kwaliteit van haar dienstverlening. SOC 2 doe je niet voor de bühne en zeker niet eenmalig.’

Verschillende petten

‘Voor het in control zijn, zit er overlap tussen de ISO27001 en SOC 2. Het principe van deze raamwerken is op bepaalde onderdelen gelijk: je kijkt naar om de omgeving en naar processen en op basis daarvan kwantificeer je de risico’s en bepaal je de maatregelen en de acties. Dit leggen we vast in het Key Control Dashboard. In dit risk managementsysteem – ook wel ISMS genoemd – kun je je controls met verschillende petten op vanuit verschillende raamwerken bekijken. Waar een audit een opsomming van bevindingen achteraf is, hebben we met het Key Control Dashboard constant een overzicht van de actuele stand van zaken. Zo zijn we altijd aantoonbaar in control en kunnen we meteen ingrijpen als het nodig is. Dat is wat SOC 2 van ons vraagt. Plus: het werkt sneller en efficiënter dan wanneer je achteraf zaken moet fixen.’

Van noodzakelijk kwaad naar aanwinst

‘SOC 2 is te vergelijken met de situatie toen het verplicht werd om auto te rijden met een gordel om. Veel mensen vonden dat toen maar onzin. Nu voelt het juist onveilig om zónder gordel te rijden en zijn we blij dat die regel er is. Die ontwikkeling maakt SOC 2 ook door. Nu zien velen het misschien vooral als een noodzakelijk kwaad, maar het zal steeds duidelijker worden dat SOC 2 organisaties verder helpt, zowel bij de informatiebeveiliging als bij hun eigen groei. Los van het feit dat steeds meer partijen SOC 2 assurance verlangen van hun IT-serviceorganisaties, ben ik ervan overtuigd dat deze standaard straks ook door de IT-serviceorganisaties zelf als een aanwinst beschouwd wordt.’