ISO27001 bij Krane Labs

Krane Labs?

Wie mij volgt op Linked In las de aankondiging als dat Bernard, Bram en ik een nieuw bedrijf gestart zijn. Heb je alles op mijn Linked In gevolgd, heb je onze website helemaal uitgeplozen? Skip dan gerust de volgende vier paragrafen 😄.

Bernard was mijn mede-vennoot bij Openminds, Bram was er onze tweede medewerker. Bij Openminds wouden we de beste Belgische hoster zijn voor bedrijven die met de laatste technologieën aan de slag, bedrijven die voorliepen op hun sector-genoten.

Eén van de uitdagingen waar we de laatste jaren bij Openminds vaak over dachten, was de impact van de Public Cloud op de hostingmarkt. Langs de ene kant kan je onmogelijk tegen de schaal van Amazon, Google en Microsoft op en biedt het daardoor een hoop diensten die onze doelgroep direct en efficient kunnen helpen. Langs de andere kant kunnen die grote drie onmogelijk een super-gepersonaliseerde en white-glove support geven.

Als je nadenkt over hoe je daar een oplossing op moet bieden, kom je al snel bij Public Cloud specifieke consulting uit. Dat is zeker een nuttig en soms nodig model, maar Bernard, Bram en ik wouden iets meer doen dan dat. De eerste 16 jaar van deze eeuw zagen we dat je een succesvol bedrijf kan bouwen rond high-end diensten aan een vaste maandelijkse fee aanbieden. Konden we dit vertalen naar high-end oplossingen voor bedrijven die de stap naar de Public Cloud voor hun gemiddelde sectorgenoot zetten?

Krane Labs is geboren om die vragen te beantwoorden. De public cloud, met support, zonder uitgebreide consulting.

Security, ISO27001 en SOC2

Bij Krane Labs hebben we heel lang nagedacht over het model waarin we onze diensten aanbieden. Vrij snel lag vast dat we een antwoord willen bieden op ongeveer elke security eis van onze klanten willen kunnen volgen. Dat heeft een grote invloed gehad op keuzes als hoe we in de Public Cloud werken. Maar ook hoe we zelf werken, is daardoor bepaald.

Zo kwamen we heel snel tot de conclusie dat een ISO 27001 of SOC2 veiligheidscertificaat of -rapport niet op de roadmap voor de eerste zes maanden staat, we er toch helemaal "klaar" willen zijn. Concreet wil dat zeggen dat we van bij de start zoveel mogelijk keuzes maken die we voor ISO 27001 op dezelfde manier zouden moeten maken.

Zo'n traject is me natuurlijk niet vreemd, en wie me volgt weet dat ik grote voorstander ben om "te vroeg" eerder dan "te laat" kwaliteits- of veiligheids-standaarden te implementeren.

Daarom blog ik de komende weken en maanden op de Krane Labs blog heel transparant over wat en hoe we zelf dit traject doormaken.

De cruciale rol van ISO27001 en SOC2 voor techbedrijven behandel ik in de eerste blogpost. Waarom zou je een ISMS bouwen volgens een van beide standaarden, welke voordelen brengt het mee en waarom begin je er beter vroeg aan. Wanneer kies je voor ISO27001 of SOC2 en hoeveel verschil zit er nu echt tussen beide?

De tweede blogpost uit de reeks neemt de eerste concrete stappen. Over welke norm je waar moet kopen, hoe je de eerste structuur brengt in je ISO-gerelateerde documenten, en hoe je door de bomen het pad door het bos kan vinden. Het geeft een voorzet voor het cruciaalste stuk van elk veiligheidsbeleid: de risico analyse.

In verdere posts ga ik verder in op de risico analyse, de vertaling naar controls, waarom ik de beruchte "Annex A" maar lees enkele weken na de eerste risico analyse, en waarom dat perfect OK is. Daarna komt het harde werk: teksten en policies schrijven (dank je ChatGPT!), verfijnen en blijver verfijnen.

Ik zal deze blogpost aanvullen als ik nieuwe artikels schrijf, maar als je van dichter volgen, raad ik aan om je in te schrijven op de Krane Labs nieuwsbrief door je adres na te laten onderaan de pagina's op de Krane Labs website.