EGP erkend met ISO 22301-certificering

Schijven werkt bij TÜV NORD Nederland, een wereldwijde dienstverlener die gespecialiseerd is in testen, inspecteren en certificeren. Hij is als manager van het Cyber Competence Center verantwoordelijk voor alle activiteiten in Nederland (en steeds vaker ook daarbuiten) die met security te maken hebben. De focus ligt op digitale veiligheid, alhoewel dat in praktijk vaak verweven is met fysieke veiligheid. Zo raakte hij betrokken bij het certificeringstraject van EGP. Dat mag zich sinds kort ISO 22301-gecertificeerd noemen en dat kunnen maar heel weinig Nederlandse Cloud dienstverleners zeggen.



ISO 22301-norm


EGP heeft een eigen ICT-infrastructuur, verdeeld over verschillende gecertificeerde datacenters in Nederland. Omdat beschikbaarheid cruciaal is, heeft het, zoals veel meer organisaties, een ISO 27001-certificering. Schijven: “Dat betekent dat je informatiebeveiliging qua processen, beleid en awareness goed op orde is. De klanten van EGP vertrouwen erop dat er alles aan gedaan wordt om informatie te beschermen maar ook dat er maatregelen zijn genomen om de impact van een verstoring zo klein mogelijk te laten zijn. Hoe goed je je omgeving aan de voorkant ook beveiligt, er kan helaas altijd iets mis gaan. Denk aan een hack, maar ook aan een brand, een natuurramp of een andere gebeurtenis waardoor een bedrijf stil komt te staan. Het is belangrijk dat je er dan voor kunt zorgen dat je snel weer operationeel bent.”



De gedachte hierachter heet business continuity management en hiervoor is de internationale ISO 22301-norm ontwikkelt. Schijven: “Het gaat hierbij niet alleen over de vraag of je alles hebt gedaan om jezelf te beschermen tegen incidenten, maar vooral over de vraag of je weet wat je moet doen als er iets fout gegaan is. Daarbij gaat het niet alleen om digitale verstoringen. Stel bijvoorbeeld dat de kans op een brand ergens groot is, heb je dan nagedacht over een locatie waar je eventueel naartoe kunt gaan? Weet je dus wat je moet doen om de impact voor medewerkers en klanten zo klein mogelijk te maken?”



EGP heeft aangetoond aan de norm te voldoen en kreeg kort voor het interview de certificering toegekend. Schijven: “EGP behoort hierbij tot een select gezelschap.” De certificering bij EGP is voor TÜV NORD ook een mijlpaal. Schijven: “Wij merken een toenemende vraag naar certificering op de ISO 22301. De markt vraagt naar accreditatie omdat dat meer zekerheid geeft over de waarde van het certificaat. We zijn dan ook blij dat we met het traject bij EGP de accreditatie op de ISO 22301 behaald hebben.” 



'Bedrijven leunen op ons'


Piet Honkoop, de CTO van EGP, is uiteraard trots. Hij vertelt waarom de certificering belangrijk is. “Dat we met externe calamiteiten om kunnen gaan, wisten we al veel langer. Als IaaS-partij moet je bijvoorbeeld nadenken over de gevolgen van stroomuitval in een datacenter. Dat hebben we twee keer meegemaakt en beide keren hebben we dat zonder problemen opgelost. We vroegen ons af of dat ook geldt voor andere calamiteiten die kunnen optreden. We hebben goed naar onszelf gekeken en uiteindelijk geconcludeerd dat we dat allemaal goed op orde hadden.”



Maar die constatering was voor EGP niet genoeg. “Bedrijven leunen op ons. Als een gerenommeerde externe partij zoals TÜV NORD volgens een internationaal normenkader vaststelt dat wij het juiste niveau van business continuity management geïmplementeerd hebben, dan geeft dat veel meer kracht dan dat wij het alleen maar zelf zeggen. Natuurlijk moet je in zo’n proces door bepaalde hoepels springen, maar uiteindelijk was het in ons geval vooral een kwestie van vastleggen wat we al veel langer deden.”



Honkoop benadrukt dat de certificering voor de hele scope van EGP geldt. “Bij grote IT-bedrijven is vaak niet duidelijk of alles wat als dienst geboden wordt, gedekt wordt door de scope van de certificering. Daar moet je als klant wel kritisch naar kijken. Wij voldoen echt bedrijfsbreed aan deze norm. Hiermee laten we zien dat we op een goede en gestructureerde manier omgaan met eventuele problemen en dat dat echt is doorgedrongen tot in het DNA van onze organisatie.” 
 


Belangrijke bevestiging


Voor de businesspartners van EGP geeft dat een belangrijke bevestiging voor de samenwerking. Honkoop: “Het is een argument om hun klanten te overtuigen. Als er een MSP naar ons toe komt die bijvoorbeeld in de financiële wereld of de zorg clouddiensten verleent, dan wil die ook continuïteitsgaranties richting zijn klanten kunnen geven.” 



Schijven merkt dat bedrijven die garanties steeds belangrijker vinden. “Vroeger zag je in de IT toch vaak dat een leverancier zei: ‘Vertrouw me maar, het komt goed.’ En als een bedrijf een professionele website had en iemand betrouwbaar overkwam, dan werd niet verder doorgevraagd. Die tijd is echt voorbij. Klanten willen bewijzen zien van het feit dat dingen goed zijn geregeld omdat ze met kritische bedrijfsprocessen op je leunen. De lat wordt daarbij ook steeds hoger gelegd. Je moet aan kunnen tonen dat je de dingen doet zoals je zegt dat je ze doet. EGP kan dat nu.”



Klanten vragen ook steeds vaker naar het specifieke onderwerp business-continuïteit, zo geven beiden aan. Het hebben van een strategie voor alles wat er ná een eventuele calamiteit komt heeft meer prioriteit dan vroeger. Honkoop: “Natuurlijk moet je binnen je organisatie de discussie aangaan over wat je kunt doen om risico’s te verlagen, maar vervolgens moet het ook gaan over oplossingen voor dingen die kunnen gebeuren.” Schijven: “De grote supermarktketens vragen hun grootste leveranciers vaak naar business-continuïteit. Ook in andere sectoren, waaronder de IT, wordt het belang steeds meer ingezien. Engeland is daarin vaak een voorbeeld. Daar zijn ze erg ver op dit vlak en wordt het zelfs vanuit verzekeraars vereist.” 



Buiten de waan van de dag


Honkoop kijkt met een goed gevoel terug op het proces. “Wat vooral fijn is: dit geeft je de kans om even buiten de waan van de dag te stappen en het dwingt je om na te denken over de keuzes die je ooit hebt gemaakt. Zo’n traject maakt je bewust van alle veranderingen die impact hebben op de processen die je ooit bedacht hebt.”