Medux levert hoogwaardige hulpmiddelen en diensten aan zorginstellingen en eindgebruikers. Cuccibu werkt al een geruime tijd voor de organisatie op het gebied van informatiebeveiliging en heeft de organisatie begeleid naar certificatie van ISO 27001 en NEN 7510. Op dit moment levert Cuccibu een interim CISO. We vragen Jeroen van Teijlingen, CFO bij Medux, naar zijn ervaringen in dit traject.
‘Dat informatiebeveiliging de juiste aandacht verdient, was voor mij direct duidelijk. We werken natuurlijk met gevoelige informatie van onze eindgebruikers. Intern hadden we simpelweg de expertise niet om dit project goed op te pakken, vandaar dat we Cuccibu hebben gevraagd om ons te ondersteunen. Tevens is het voor ons belangrijk dat we dit oppakken met iemand met voldoende kennis en ervaring. Als je iemand intern aanneemt, hoe borg je dan dat hij/zij altijd up-to-date is? Door met Cuccibu in zee te gaan wisten we zeker dat de juiste kennis altijd aanwezig was. Ook helpen jullie natuurlijk veel andere organisaties, jullie weten precies wat de best practices zijn.’
‘We zijn blij met de doortastende aanpak van de consultants van Cuccibu. We zijn een grote organisatie, met ongeveer 2500 medewerkers en talloze locaties. We hadden iemand nodig die dat begreep en die heel pragmatisch is. Projectleider Marie-Cecile heeft in het begin vooral veel structuur aangebracht, denk aan beleidstukken en procedures. Er is een stuurgroep opgericht, met vertegenwoordiging vanuit alle disciplines (van facilitair tot operatie). Dat was belangrijk om de juiste focus aan te brengen en daadwerkelijk stappen te kunnen zetten.’
‘Vervolgens heeft de consultant veel aandacht gehad voor de daadwerkelijke doorvertaling naar de organisatie. Denk hierbij aan succesvolle bewustwordingsprogramma’s met trainingen, posters, video’s maar bijvoorbeeld ook het inzetten van phishing-tests en een mystery guest. Fijn dat Cuccibu hier ook interne expertise op heeft. Wat voor ons dan vooral het verschil maakte; het was niet eenzijdig zenden. Marie-Cecile pakte de telefoon en ging verifiëren. Is het duidelijk, kunnen jullie verder? Ze heeft er vervolgens hapklare brokken van gemaakt. Denk aan een e-learning voor nieuwe medewerkers waar iemand écht iets mee kan en 5 gouden regels die overal terugkomen. Cuccibu heeft het echt samen gedaan met onze mensen. Dit past bij ons.’
‘We zijn trots dat we sinds november 2020 gecertificeerd zijn voor ISO 27001 en NEN 7510. Op deze manier kunnen we bewijzen dat we aantoonbaar handelen volgens deze eisen. Wij geloven niet echt in ‘werken conform de norm’, een certificaat is de stok achter de deur om daadwerkelijk scherp te blijven. Een van onze interne slogans is niet voor niets; continu verbeteren. Verbeteren doen we op basis van verbeterinformatie uit bijvoorbeeld audits. Ook letten we op andere zaken. Als bij de klantenservice ineens veel datalekken worden gemeld, zetten we daar een extra training in. Verder blijft de expertise van Cuccibu een belangrijke bron voor verbetering. Marie-Cecile vertelde laatst bijvoorbeeld over een Coordinated Vulnerability Disclosure beleid voor het inzichtelijk krijgen van ICT-kwetsbaarheden. Daar hadden wij zelf nog nooit van gehoord. Toch hebben al diverse ‘white hackers’ ons op verbeterpunten gewezen.’
‘Verbeterpunten heb ik eigenlijk niet voor Cuccibu, ik ben echt tevreden. Jullie zijn professioneel en pragmatisch, precies wat we nodig hebben. De consultant heeft het waanzinnig goed gedaan. Er is veel werk verzet en daar zijn we heel blij mee. Nu is het tijd voor weer een frisse blik. Vanaf juli 2021 neemt Lisa het stokje van Marie-Cecile over. Over een tijdje kunnen we concluderen of dat net zo succesvol is, daar heb ik zeker vertrouwen in.’