GRCcontrol klanten over de voordelen van werken met de GRC-tooling
Cyso uit Alkmaar is een managed hosting provider. Het bedrijf zorgt ervoor dat websites en webapplicaties van klanten online beschikbaar zijn. Co-Founder, Sven Visser beantwoordde de vragen.
Waarom is Cyso gecertificeerd?
Uiteraard hebben we te maken met vragen van onze klanten. Daarnaast willen we als bedrijf professioneel met informatiebeveiliging omgaan en dat ook kunnen aantonen. Dan zijn ISO27001 en NEN7510 onmisbaar. Daarnaast hebben we nog ISO20000, dat is de standaard voor IT Service Management.
Was Cyso al gecertificeerd voordat GRCcontrol in beeld kwam?
Nee. Toen ik de shortlist opstelde viel me op dat er partijen waren die ons in de certificeringstrajecten wilden ondersteunen op de traditionele manier, dus met veel Excelsheets. Dat sprak me weinig aan. We deden bij Cyso al het nodige op die manier en daar wilde ik juist vanaf. GRCcontrol had als een van de weinige aanbieders een SaaS-oplossing. Dat sprak me meer aan, helemaal toen ik begreep wat we er allemaal mee konden doen. Daarnaast was er direct een goede klik tussen de bedrijven, dat is ook belangrijk.
Wat is er door het gebruiken van de GRC-tooling van GRCcontrol veranderd?
Wat we merken is dat zeker de auditeurs van grotere klanten altijd willen weten hoe we werken en welke methodieken worden toegepast. Als we dan aangeven de GRC-tooling te gebruiken, dan stelt ze dat gerust. Dan weten ze dat er niets is overgeslagen en dat alles overzichtelijk is. Dat is een deel van het verhaal. Er is ook een intern aspect te vermelden. De risicoanalyses die we voorheen maakten kenden onvermijdelijk de eigen interpretatie van de auteurs. Dat leidde vaak tot discussies. Nu is er een neutraal normenkader waar iedereen zich aan houdt.
Scheelt het jullie ook tijd?
Zoals ik al aangaf, met de risicoanalyses hebben we nu allemaal dezelfde kaders. We hebben het nu allemaal over hetzelfde. Dat is natuurlijk een verbetering van de efficiency, dus het scheelt ook tijd.
Wat kan Cyso nu, wat vroeger niet haalbaar was?
Door gebruik te maken van de GRC-tooling van GRCcontrol zijn we beter in staat op meer te letten dan de techniek. Daar bedoel ik mee dat we een technisch bedrijf zijn en de neiging hebben voor elke uitdaging een technische oplossing te zoeken. Bij IB moet je breder kijken en de GRC-tooling dwingt ons dat bij elke stap te doen. Daardoor worden onze processen en oplossingen steeds beter.
Verder kunnen we nu bijzondere klanteisen volledig integreren met de audit. Bijvoorbeeld een aanvullende eis over Disaster Recovery. Door de regels daarvoor in de GRC-tooling op te nemen worden de procedures en afspraken 100% geborgd en het wordt auditable.
Wat zijn de ambities van Cyso en hoe helpt GRCcontrol daarbij?
We hebben een gezonde groeiambitie en verwachten naar 100 medewerkers door te groeien. Daarbij blijven we focussen op het middensegment van de markt. Wat we zien is dat de certificeringseisen die de corporates stellen onvermijdelijk doorsijpelen naar onze klanten. Daarop zijn we dankzij de GRC-tooling voorbereid, maar het valt niet uit te sluiten dat we nog meer certificeringen nodig gaan hebben. Een vorm van AVG-certificering of een ISAE3402-verklaring zou er dan een van kunnen zijn.