Interne ISO 27001 audits bij SURF: door en voor de leden

Aan de jaarlijkse ronde interne ISO 27001 audits bij SURF in het kader van de certificering van SURF-diensten en innovatieprojecten deden dit jaar ook twee auditors van instellingen mee. Zij mochten de dienst-eigenaren kritisch bevragen. Waarom betrekt SURF leden bij deze interne audits? Wat vonden de auditors ervan? En wat leverde het op?

Waarom SURF leden betrekt bij interne ISO 27001 audits

"Dat we leden onze diensten laten bevragen tijdens de interne auditrondes is een fijne ontwikkeling en blijk van onderling vertrouwen", zegt Raoul Vernède, CISO bij SURF.  "We ontwikkelen de diensten natuurlijk voor hen. Hoe mooi en transparant is het dan dat we hen hier bij betrekken. Bovendien is dit een voorbeeld van hoe we binnen de coöperatie samenwerken en kennis delen."

Hoe SURF interne auditors opleidt voor ISO 27001 audits

"Bij SURF lopen de interne audits in maart en de externe audit vindt plaats in het najaar. Afgelopen jaar heeft SURF de interne audits anders ingericht. In plaats van een auditor in te huren voor de interne audits, hebben we een aantal diensteigenaren, andere medewerkers van SURF en een tweetal information security officers van instellingen hiervoor opgeleid. Dat werkt heel goed: ze krijgen een kijkje in de ISO-systematiek en in de diensten die ze afnemen. Insteek met de betreffende teams is vooral ook het goede onderlinge gesprek tussen diensteigenaar en auditor naast de compliance aspecten."

Een kijkje in de praktijk van interne ISO 27001 audits bij SURF: de ervaringen van auditors

De auditors van instellingen die aansloten bij deze interne SURF ISO 27001-audits waren Iris van Holsteijn, Information Security Officer bij de HAN, en Anne Fenyvesi, Information Security Officer bij de EUR. We vroegen naar hun ervaringen.

Hoe hebben jullie hiervan gehoord?

Iris en Anne kwamen ieder via hun eigen netwerk in aanraking met de audit. Iris vertelt: “Via mijn CISO, die het weer in het HBO CISO-overleg had gehoord. Hij dacht dat het wel iets voor mij zou zijn, en dat klopte.”

Ook Anne werd getipt door een collega: “Hij attendeerde mij erop omdat hij dacht dat het goed bij mij zou passen, hij had absoluut gelijk!”

Hoe hebben jullie de audit ervaren?

De audit zelf werd door beiden als waardevol ervaren, zij het met een iets andere invalshoek. Iris omschrijft het als interessant en uitdagend. Vooral het voeren van gesprekken maakte indruk: “Het was wennen om de gesprekken te voeren, maar ook erg leuk om enthousiaste mensen te horen die hun dienst of project willen verbeteren.”

Ze merkt daarbij ook op dat weerstand soms onderdeel is van het werk: “Zoals altijd zijn er ook mensen die wat meer weerstand hebben, maar dat hoort bij het vak. Het is de uitdaging om ze dan mee te krijgen.”

Het werken in tweetallen zag zij als een duidelijke meerwaarde: “Mijn duo-auditor kwam van SURF en kende de organisatie. Zo konden we goed sparren over het gesprek en het rapport.” Ook de voorbereiding hielp daarbij: “Vanuit SURF waren we goed voorbereid op audittechnieken met een training, waarin we ook gesprekken hebben geoefend.”

“Hoewel het werken met de BIS-systematiek in eerste instantie even wennen was, viel dat uiteindelijk mee doordat de onderwerpen herkenbaar waren.

”Anne legt de nadruk op het leerproces: “Ik vond het zeer leerzaam.” Ze kreeg niet alleen inhoudelijk meer inzicht, maar zag ook hoe een auditproces in de praktijk verloopt: “Dat gaf een waardevol en realistisch beeld van hoe zo’n proces werkt bij een organisatie die hier al ervaring mee heeft.”

Wat nemen jullie hiervan mee naar de eigen instelling?

Beiden nemen concrete inzichten mee naar hun eigen organisatie. Iris noemt onder andere “de auditvragen rondom de Cyerbeveiligingswet, misschien enkele vragen uit de vragenlijsten en de audittechnieken.”

Voor Anne zit de waarde vooral in de aanpak: “Wat mij vooral is bijgebleven, is de manier waarop de rapportage werd aangepakt en de openheid over knelpunten.” Ze benadrukt het belang daarvan: “Het bespreekbaar maken van zorgen is immers altijd de eerste stap naar verbetering.” Daarnaast heeft ze kennisgemaakt met een voor haar nieuwe methodiek binnen ISO 27001, die haar een ander perspectief heeft gegeven dan voorheen.

Wat is volgens jullie een mooi vervolg?

Als het gaat om een vervolg, zien beiden kansen om de samenwerking verder uit te bouwen. Iris: “Nodig medewerkers van SURF uit om ook bij instellingen een interne audit uit te laten voeren en ik hoop dat SURF ook volgend jaar weer deelnemers uitnodigt.”

Anne geeft aan dat haar organisatie inmiddels kijkt naar de volgende stap: “Als vervolg hierop heeft de EUR SURF uitgenodigd en onderzoeken we hoe we een vergelijkbare interne auditmethodiek kunnen opzetten binnen onze eigen instelling.”

Wat is jullie advies voor SURF en/of andere instellingen?

Tot slot hebben ze ook advies voor SURF en andere instellingen. Iris zou graag zien dat de training Waarderend Auditenbreder beschikbaar komt: “Zeker met het vooruitzicht dat we overgaan naar ISO 27001.”

Anne benadrukt vooral het belang van samenwerking: “Mijn advies aan SURF is om vooral het contact met instellingen actief te blijven opzoeken.” Voor andere instellingen heeft ze een duidelijke boodschap: “Als de tijd het toelaat, is deelname aan een audit-samenwerking bijzonder waardevol.”

Het levert niet alleen nieuwe inzichten op, maar ook herkenning: “Ondanks verschillen blijken onze organisaties meer overeenkomsten te hebben dan je in eerste instantie misschien zou denken.”

Hoe verder met interne ISO 27001 audits tussen SURF en instellingen?

“Zoals Anne al aangeeft is SURF op zijn beurt door de EUR uitgenodigd in het kader van de ISO 27001 interne surveillance-audit", aldus Raoul. “Het uitwisselen van interne auditors (ISO’s en CISO’s!) bleek ook hier een groot succes. Het was waar ik op gehoopt had dat zou gebeuren."

"Ook volgend jaar zoekt SURF weer auditors bij instellingen die bij willen dragen aan de interne audit van SURF. Verder hoop ik uiteraard dat andere instellingen geïnspireerd zijn en collega’s van andere instellingen uitnodigen om een rol te spelen bij hun interne audits.”