Hoe Utonomy ISO 27001 voor het eerst behaalde met ISMS.online

De Uitdaging

Het bedrijf levert aan klanten die cruciaal zijn voor de nationale infrastructuur en die te maken hebben met strenge wettelijke vereisten. Daarom wist het Utonomy-team dat het behalen van de ISO 27001-certificering een must was om de proactieve houding van het bedrijf ten aanzien van informatiebeveiliging te demonstreren aan klanten, belanghebbenden en potentiële klanten bij aanbestedingen.

Utonomy had al een basisinformatiebeveiligingsbeheersysteem (ISMS) vanwege het werk dat het team had gedaan om de Cyber ​​Essentials-certificering te behalen. Ze wisten echter dat het bedrijf een uitgebreider ISMS nodig had om de ISO 27001-certificering succesvol te behalen. Het bedrijf had een platform nodig om de ISO 27001-implementatie en voortdurende naleving zo eenvoudig mogelijk te maken.

"We beseften dat we ISO 27001 nodig zouden hebben voor onze relaties met onze klanten; de industrie werd zich steeds bewuster van beveiliging. We hadden behoorlijk wat werk verricht rond Cyber ​​Essentials, maar we dachten: 'we moeten ons spel verbeteren.'"

Steve Lewis CTO & CISO, Utonomy

De oplossing

Utonomy koos het ISMS.online-platform voor ISO 27001-naleving en -certificering, waarbij al haar ISO 27001-beleid, trackers en bewijsmateriaal onder één dak werden ondergebracht. Steve en zijn team gebruikten de vooraf gebouwde beleidstemplates van het platform als uitgangspunt en breidden de templates uit om aan de specifieke beveiligingsdoelstellingen van Utonomy te voldoen. Ook zorgden ze ervoor dat ze uitgebreide kennis hadden van het beleid en de controles die het ISMS van de organisatie vormen.

"We hebben veel informatie in de trackers omdat ze gebruiksvriendelijk zijn", aldus Steve Lewis, CTO van Utonomy en CISCO. "Dit betekent dat de mensen die beveiligingsincidenten moeten bijhouden, dit waarschijnlijk niet ergens anders doen, zoals in een notitie in een boek of in een van onze andere systemen. En dat maakt het beheer en de controle eenvoudiger."

Het bedrijf migreerde productrisicodocumentatie naar ISMS.online om proactief productbedreigingen en -controles binnen het platform te beheren met behulp van het risicoregister en risicotracking. Met de gekoppelde werkfunctie bracht Utonomy meer dan 60 risico's en bijbehorende controles in kaart en kan het nu eenvoudig productrisico's bewaken en beheren in plaats van de documentatie handmatig bij te werken.

"In deze nieuwe vorm zal het veel makkelijker zijn om te updaten wanneer we nieuwe productfuncties of productwijzigingen lanceren. Het zal een minder lastige, ontmoedigende taak zijn om te proberen de dingen die we moeten veranderen, door te werken."

“De sjablonen gaven ons een structuur en het was een leerzame manier om naar een acceptabele beschrijving van een proces te kijken. Want als je er koud instapt, is het altijd moeilijk om te weten hoe ver je moet gaan met de documentatie.”

Steve Lewis CTO & CISO, Utonomy

Het resultaat

Utonomy behaalde binnen een jaar voor het eerst het ISO 27001-certificaat en slaagde met succes voor twee toezichtaudits. Dit toont aan dat het team zich inzet om de beveiligingspositie van het bedrijf voortdurend te verbeteren.

Het Utonomy-team is nu begonnen met het verkennen van nieuwe manieren om ISMS.online te gebruiken voor efficiëntere naleving. Het bedrijf gebruikt bijvoorbeeld de functie beleidspakketten om beveiligingsbewustzijn en -training bij het personeel te leveren en te monitoren. Utonomy gebruikt deze beleidspakketten vervolgens als bewijs dat iedereen in het bedrijf de vereiste training heeft voltooid, aangezien het beleidspakket laat zien wanneer een werknemer de trainingsactiviteit heeft afgevinkt.

Steve was zeer tevreden met hun ervaring: "Ik ben zeer tevreden met het ISMS.online-platform. Het deed wat het beloofde en het heeft ons absoluut geholpen om onze ISO 27001-certificering meteen te behalen."

Het bedrijf nam ook contact op met het ondersteuningsteam van ISMS.online om een ​​extra, op maat gemaakte functie te bespreken ter ondersteuning van de mogelijkheden van het bedrijf voor bedreigingsmodellering. Deze functies werden vervolgens geïmplementeerd toen de ondersteuning van ISMS.online deze binnen een kort tijdsbestek kon leveren.

“De technische ondersteuning van ISMS.online is ongeëvenaard, de first line support-mensen zijn zeer deskundig over het product en uiterst behulpzaam. Indrukwekkend, toen ik iets moest doen dat niet technisch ondersteund werd door het product, werkten ze achter de schermen om mij te helpen en mijn probleem binnen een paar dagen op te lossen.”

Steve Lewis CTO & CISO, Utonomy

Door te innoveren met het ISMS.online-platform en door naleving van ISO 27001 te beheren, blijft Utonomy haar sterke beveiligingspositie demonstreren aan externe auditors en positioneert het zichzelf als een betrouwbare leverancier voor haar klanten met kritieke nationale infrastructuur.

Utonomy kreeg ook veel lof van een onafhankelijke consultant die zijn beveiligingsmaatregelen beoordeelde als onderdeel van een pilotprogramma voor beveiliging in startupinnovatie. Door hem beperkte toegang te geven tot zijn ISO 27001-project in ISMS.online, behaalde Utonomy een uiterst positief rapport.

En Verder?

Nadat Utonomy de ISO 27001:2013-surveillanceaudit succesvol had afgerond, bereidt het bedrijf zich voor op de update naar de nieuwste versie van ISO 27001, de versie van de norm uit 2022.

Steve en zijn team brengen ook de product- en ISMS-controles van het bedrijf in kaart in het Cyber ​​Assessment Framework van het National Cybersecurity Centre. Het team kan vervolgens vooraf gemaakte content produceren om klanten te helpen risicobeoordelingen rond Utonomy als leverancier uit te voeren en te laten zien hoe het product aansluit bij het Framework.