De uitdaging? Het certificaat moest er binnen één jaar zijn. Intern ontbrak de expertise en capaciteit om dit zelfstandig op te pakken. Heras had geen tijd voor een langdurig en complex traject, maar zocht een partner die het proces van a tot z kon begeleiden – van implementatie tot audit.
“Als ik het opnieuw zou doen, zou dat weer met Fendix zijn”, zegt Rick (IT & Digital Service Delivery Manager bij Heras). Hij kijkt tevreden terug op het certificeringstraject. “ISO 27001 was een must, maar de tijd was krap. Geen ruimte voor fouten en een strakke en efficiënte aanpak."
ISO 27001-certificering zonder gedoe
ISO 27001 roept vaak weerstand op. Ook hier vroegen medewerkers zich af: “Waarom is dit nodig?”. Consultant Jelle van Fendix wist die weerstand snel om te buigen. Geen droge theorie, maar duidelijke uitleg en concrete voorbeelden in jip-en-janneketaal. Informatiebeveiliging werd geen ingewikkeld compliance-verhaal, maar een praktisch en logisch onderdeel van het werk.
Fendix nam de regie en zorgde voor een gestructureerd proces, zonder dat het de dagelijkse werkzaamheden verstoorde. Van risicoanalyses tot beleidsdocumenten en de uiteindelijke audit: alles werd stap voor stap aangepakt. Toen het moment van de audit aanbrak, was Heras optimaal voorbereid. We hielden de externe auditor scherp en dankzij de begeleiding van Jelle verliep de audit zonder grote tekortkomingen. Het resultaat: een ISO 27001-certificering binnen de gestelde tijd en zonder onnodige stress.
Geen papieren tijger, maar een werkwijze die écht werkt
De certificering was een belangrijke mijlpaal, maar informatiebeveiliging moest geen papieren tijger worden. Het moest een vast onderdeel worden van de organisatie. En dat is precies wat er gebeurde.
De bewustwording binnen Heras groeide enorm. Waar informatiebeveiliging eerst als verplichting voelde, is het nu een vast onderdeel van het werk. Teams houden elkaar scherp op veilig werken, phishingcampagnes onthullen kwetsbaarheden binnen de organisatie, en risicoanalyses worden nu gestructureerd en onderbouwd uitgevoerd. Bij nieuwe projecten is een risicoanalyse nu de standaard, zodat security vanaf dag één wordt meegenomen.
“Het mooie is dat je merkt dat informatiebeveiliging steeds meer onderdeel wordt van de dagelijkse praktijk”, zegt Angelique van Hassel, Managing Director, Head of Benelux bij Heras. “Mensen stellen nu zelf de vraag: hoe zit het met de risico’s? Dat betekent dat het leeft in de organisatie. En dat is precies wat we wilden bereiken."
We zien hem niet als consultant, maar als een collega
Rick kijkt tevreden terug op de samenwerking: “Jelle heeft echt het verschil gemaakt. Hij wist de hele organisatie mee te krijgen, praat net zo makkelijk met de CEO als met medewerkers in de fabriek en wordt inmiddels door iedereen gevonden voor vragen. We zien hem niet als consultant, maar als een collega. Iemand die je even belt als je een vraag hebt. Die laagdrempeligheid heeft echt geholpen om iedereen aan boord te krijgen."
Wat Heras vooral waardeerde, was dat Fendix niet alleen afspraken nakwam, maar ook proactief meedacht en snel schakelde. Het traject werd binnen de afgesproken tijd en het budget afgerond, zonder onnodige bureaucratie. Jelle hield iedereen continu op de hoogte van de voortgang en nam tijdens de audit de regie, zodat alles soepel verliep.
Een partner voor de lange termijn
ISO 27001 is behaald, maar informatiebeveiliging stopt niet bij een certificaat. Heras kijkt naar uitbreiding van de certificering naar andere landen en wil informatiebeveiliging nog verder verankeren in de organisatie. Jelle blijft betrokken als externe Security Officer. Daarnaast helpt Fendix bij vraagstukken rondom toegangsbeveiliging, risicomanagement en de beveiliging van nieuwe projecten.
Wat begon als een uitdaging om op tijd gecertificeerd te zijn, is uitgegroeid tot een blijvende verbetering van de organisatie. Informatiebeveiliging is nu niet langer een project, maar een vast onderdeel van hoe Heras werkt. En daar profiteren niet alleen zij, maar ook hun klanten van.
In our white paper, we take you step by step through our implementation process.
.png)
