3 augustus 2020

Certificaat: de kers op de taart

Als MKB-bedrijf word je vroeg of laat geconfronteerd met het feit dat het handig en verstandig is om gecertificeerd te zijn. Vaak ontstaat de behoefte en/of noodzaak om te certificeren, omdat potentiële klanten het domweg vragen. Vanuit klant-oogpunt is het vragen om certificering een eenvoudige eis en de klant hoeft zich niet te verdiepen in de inhoud of detail-criteria. De meest voorkomende vragen in softwareland zijn certificeringen voor ISO27001 (Informatiebeveiliging) en ISO9001 (Kwaliteit) of ‘Doe maar een ISO3402’, al wordt dat soms onterecht gevraagd.
Over Kodision

Weinig enthousiasme

Vaak wordt een certificeringstraject in een organisatie niet met enthousiasme ontvangen. Het wordt gezien als een hoop extra werk en het beeld heerst dat het vooral een bureaucratische toestand wordt, waar je in de praktijk alleen maar last van hebt. En pak je het betreffende normenkader erbij, dan zakt de moed je meestal in de schoenen. De gemiddelde norm is zo abstract dat je jezelf de vraag stelt: ‘Wat moet ik doen en waarom dan?’ Hoe moet je voldoen aan een norm die niet zo concreet is en die zich niet direct vertaalt naar de dagelijkse operatie? En hoe krijg je mensen enthousiast om stappen te zetten en gemotiveerd te blijven om dit te blijven doen? 

Benader het anders!

Als je certificering blijft benaderen als een complex en bureaucratisch gedoe om een papiertje te halen, dan wordt het een selffulfilling prophecy. Wanneer je mensen probeert te overtuigen en te enthousiasmeren met een pak abstracte normen en het belang van een certificaat: succes, maar het gaat je waarschijnlijk niet lukken. Of het is niet bestendig. Pak het dus anders aan en vergeet voorlopig de norm.

Waar gaat het uiteindelijk om? Professionaliteit, veiligheid en kwaliteit. Daar zijn mensen echt wel voor te porren. Iemand die dat niet wil, past waarschijnlijk niet in je organisatie. Als Kodisianen gaan wij voor veilige producten van hoge kwaliteit, aangevuld met professionele dienstverlening. Dit betekent dat we op tal van punten scherp moeten zijn en regels en procedures hebben om zaken te borgen. Dat doen we zodat we met elkaar trots kunnen zijn op wat we doen en onze klanten kunnen bieden wat ze verwachten: veilige en betrouwbare software.

De praktijk

Iedere developer die bij ons in dienst is, staat voor veilige software. Het zal niet gebeuren dat er een lek zit in een release. Om dat te bereiken hanteren we strakke programmeerrichtlijnen in lijn met OWASP en andere criteria en doorloopt onze software gestandaardiseerde (regressie)testen. En om echt zeker te zijn, ondergaat onze software periodiek uitgebreide pentesten, uitgevoerd door een professionele hacker. Pas dan wordt een release vrijgegeven. Dat de developers daarmee aan een hele reeks normen voldoen is mooi meegenomen, maar dat is niet hun doel.

Zo vinden wij het ook normaal onze klanten goed te adviseren ten aanzien van veilig gebruik van de software. We houden een uitgebreid adviesdocument actueel voor zowel intern- als extern gebruik. In dit document delen we onze kennis en ervaring t.a.v. veiligheidsissues. Zo kunnen we klanten behoeden voor problemen en wat blijkt: ook de auditor vinkt weer een aantal normen af.

De kers

Dus als je zorgvuldig je werk doet, dan blijk je ineens ook aan heel veel normen te voldoen en kom je zonder al teveel moeite door een audit. Door simpel professioneel te werken en in processen consequent aandacht te hebben voor kwaliteit en veiligheid, beschikken we al jaren over een certificaat betreffende ISO27001 en hebben we hier onlangs op vlotte wijze ISO9001 aan kunnen toevoegen.

Een certificaat is dan geen moeizaam behaald papiertje, maar een pluim van een onafhankelijke auditor die zegt dat je goed bezig bent. Dat is als een kers op de taart. Ontdek meer over onze software en adviesdiensten of stel je vraag via onderstaand formulier.

Geschreven door:

Mario de Bruin