Peter de Raadt werkt bij Davinci Consulting, een dochteronderneming van Yellowtail Conclusion, en houdt zich al sinds 2014 bezig met security en compliance. Hij implementeerde SOC 2 bij verschillende partijen, waaronder Skydoo, HDN en stichting ECH (Elektronische Communicatie Hypotheken), en doet dat nu ook voor Yellowtail. Waar zit volgens hem de toegevoegde waarde van dit raamwerk en wat zijn de valkuilen?

ISO versus SOC 2

“Tot voor kort was ISO27001 de norm. Maar daarmee ben je er tegenwoordig niet meer. Het verschil zit erin dat ISO27001 vooral over security gaat. Het biedt richtlijnen voor de informatiebeveiliging van een organisatie. Voldoe je aan die richtlijnen, dan ontvang je een ISO-certificaat. Er kunnen steekproeven gedaan worden, maar in principe is het certificaat drie jaar geldig. SOC 2 (Service Organisatie in Control) gaat verder dan alleen security. Bij deze standaard, gericht op uitbestede IT-processen, gaat het om het waarborgen van de continuïteit van je organisatie naar je klanten toe. Daar is meer voor nodig dan alleen security. Daarom wordt bijvoorbeeld ook gekeken of je je financiën op orde hebt. Dit leidt uiteindelijk niet tot een certificaat, maar tot een assurance-rapportage.”

Als een huwelijk

“Veel bedrijven dénken dat ze in-control zijn. Met SOC 2 ga je jezelf kritisch een spiegel voorhouden en dat geeft dan vaak toch wel een ander beeld. Zo is informatiebeveiliging nu een hot item. Ben je voorbereid op een mogelijke aanval? Heb je wel eens getest of je back-ups wel goed te gebruiken zijn? Aan de slag gaan met SOC 2 vergroot het bewustzijn van dit soort risico’s. SOC 2 vraagt om het definiëren en vastleggen van je processen – en je hieraan houden! Je gaat haast een soort huwelijk aan. SOC 2 zorgt ervoor dat je als organisatie voortdurend kunt aantonen dat je alles doet op de manier zoals je zegt dat je het doet. Dus als je aangeeft dat je maandelijks bepaalde processen test, dan moet je ook kunnen bewijzen dat dat daadwerkelijk gebeurt. Het is geen momentopname, maar een doorlopend proces. Dat is misschien wel dé valkuil van SOC 2: onderschatting van het continue karakter.”

Geen keurslijf

“Organisaties zien er soms tegenop om te starten met SOC 2. Het besef dat je je organisatie structureel gaat veranderen, voelt dan als een aardverschuiving. Als consultant probeer ik het daarom ook niet te zwaar neer te zetten. Ik begin met kijken naar wat een organisatie al wél doet op het gebied van vastleggen en borgen van processen – en dat is vaak al veel. Alleen moet het nu expliciet gemaakt worden. Er wordt nog wel eens gedacht dat SOC 2 een keurslijf is, dat je geen vrijheid meer hebt om af te wijken van je processen. Dat is een misverstand, SOC 2 is echt niet in beton gegoten. Wijk je bewust af van een proces? Prima. Maar leg wel vast waarom je die keuze gemaakt hebt. Dan ben je weer aantoonbaar in control. Zo simpel is het.”

Wel of geen software

“Het fijne is dat SOC 2 niet voorschrijft hoe je zaken moet vastleggen. Al schrijf je het op toiletpapier, dat maakt niets uit. Deze vrijheid maakt SOC 2 ook voor kleinere bedrijven behapbaar. Grotere bedrijven, waar de afstand tot de werkvloer groter is, hebben er baat bij om hier speciale tools voor te gebruiken, zoals het Key Control Dashboard. Je kwantificeert de risico’s, op basis daarvan neem je maatregelen en voer je acties uit. Dat registreer je allemaal eenvoudig in dit systeem. Met het Key Control Dashboard heb je een managementtool waarmee je altijd realtime inzicht in de status van je risicoprofiel hebt. Dat maakt het voor het management makkelijker om te sturen op bijvoorbeeld security en veiligheid van informatie.”

Vruchten plukken

“Na verloop van tijd zie ik dat organisaties ontdekken dat SOC 2 je merkbaar veel tijd oplevert als je je processen goed gedefinieerd hebt en daarnaar handelt. Alles gaat vlotter, het is helder wie wat doet en als zich onverhoopt een incident voordoet, weet je meteen wat er moet gebeuren. Wie het eenmaal geproefd heeft, wil niet anders meer. Het geeft rust en het biedt efficiëntie. Bij SOC 2 draait het er niet om dat je fraaie rapportages kunt overleggen. Het uitgangspunt bij SOC 2 is dat je als organisatie intrinsiek gemotiveerd bent om je aan de afspraken te houden en daar profijt van wilt hebben.”

Yellowtail

“Bij Yellowtail is die intrinsieke motivatie zeker aanwezig. En we hebben de beschikking over ons eigen Key Control Dashboard, wat het registeren van de processen en risico’s een stuk vergemakkelijkt. De uitdaging zit hier vooral in de vraag: nemen we genoeg tijd om met SOC 2 aan de slag te gaan? Iedereen is druk met running business, alles moet gewoon doorgaan. Dan is het grootste risico dat je te weinig capaciteit hebt om SOC 2 te implementeren. Je ziet dan dat het management keuzes moet maken en prioriteiten moet gaan stellen. Dat levert interessante situaties op. Yellowtail is snel gegroeid, maar wie is nu precies waarvoor verantwoordelijk? Wie bepaalt eigenlijk wat prioriteit heeft? Ook dat zegt iets over het in control zijn en over de ‘maturity’ van je organisatie. Je maakt eigenlijk de transformatie door van sturen op intuïtie naar managen vanuit structuur. Dat is een mooie ontwikkeling die SOC 2 met zich meebrengt.”

Wil je weten hoe jouw organisatie SOC2 compliant kan worden? neem contact op met Peter de Raadt via pderaadt@davinci-conclusion.nl