NorthGRC er netop blevet recertificeret inden for ISO 27001. Det er vi stolte af – men det interessante er ikke selve certificeringen. Det er, hvad den betyder for dig som kunde.
Kort fortalt om ISO-certificering hos NorthGRC:
- NorthGRC er ISO 27001-certificeret – ikke fordi vi skal, men fordi vi selv lever efter de principper, vi rådgiver vores kunder om.
- Hver gang vi certificeres, finder vi steder, hvor platformen kan blive bedre – og de forbedringer ender hos dig.
- Vores seneste certificering dokumenterer, at vi har styr på, hvordan vi implementerer ny teknologi ansvarligt – det gælder også AI.
Det er nemt at se på en certificering som blot et dokument, der bekræfter, at vi har styr på tingene. Men en certificering gør noget mere grundlæggende: den fjerner antagelser. I arbejdet bliver man tvunget til at være konkret om alle dele af virksomhedens it-miljø og interne politikker – og til at forholde sig til det aktuelle trusselsbillede, ikke den virkelighed man opererer i fra dag til dag.
For os betyder det, at certificeringen er en proces, der giver os mulighed for at bruge vores egen platform, udfordre vores antagelser og lære noget nyt. Hver gang vi bliver certificeret, ender de læringer hos dig i form af et bedre produkt, skarpere rådgivning og en leverandør, du kan stole på.
“Vi sælger ikke bare en GRC-platform, vi driver vores forretning efter den”
Hos NorthGRC hjælper vi virksomheder med governance, risk og compliance, og derfor er det naturligt selv at gå forrest – og det tydeliggør certificeringen, fortæller Martin André Jønck, CEO for NorthGRC.
- Vi sælger ikke bare en GRC-platform, vi driver vores forretning efter den. ISO 27001-certificeringen dokumenterer, at vores interne processer og kontroller er udformet efter de samme retningslinjer, som vi rådgiver vores kunder om. Det betyder også, at vores platform er udviklet på erfaringer fra den virkelige verden i stedet for teoretiske frameworks, siger han.
Men erfaring er ikke noget, man erhverver sig én gang. ISO 27001 er en disciplin, der kræver vedvarende opmærksomhed. Virksomheder, der behandler certificeringen som et etårigt projekt, opdager ofte, at den hurtigt bliver et dokument, som beskriver en virkelighed, der ikke længere eksisterer. For os er certificeringen netop derfor et mangeårigt projekt – og en årlig anledning til at efterprøve, at vi lever op til vores egne standarder.
- ISO 27001-certificeringen handler jo også om at verificere, at vores værktøj virker 100% out-of-the-box. Ved at lade os certificere i eget system får vi årligt trygprøvet, at platformen leverer præcis det, der skal til for at leve op til de strengeste standarder, fortæller Martin André Jønck.
Det kræver ikke nødvendigvis en stor organisation at opretholde et certificeringsniveau, når opgaverne er struktureret rigtigt. Hos NorthGRC bruger fem medarbejdere en halv dag hver måned på ISO 27001, svarende til cirka en time om ugen per person – og certificeringen beviser, at det er nok.
Lær hvordan svenske DigitalRoute blev ISO 27001-certificeret med NorthGRC:
"If I was to help another company become ISO 27001 certified, I would definitely use NorthGRC"
Certificeringen bekræfter vores arbejde
En GRC-platform er i sin kerne en slags tillidsmaskine: Når vi implementerer og dokumenterer kontroller, håndterer trusler og mitigerer risici osv., så producerer vi intern tillid til sikkerheden, men derigennem også dokumentation for at vinde tillid udefra. En virksomhed kan godt efterleve ISO 27001 uden at være certificeret, men som leverandør synes vi både det er interessant og givende at tage det skridtet videre:
- Når vi år efter år bliver certificeret af en uafhængig ekspert, lægger vi et ekstra lag af tillid oven på. Ved at gennemgå og bekræfte vores arbejde stiller den eksterne auditør en garanti for, at vi ikke bare siger, hvad vi gør – men også gør, hvad vi siger, forklarer Martin André Jønck.
NorthGRC har været certificeret fra begyndelsen og var blandt de første med en certificering på det danske marked. Det betyder, at NorthGRC-platformen er formet ud fra de praktiske behov, der opstår i en certificeringsproces, og at du som kunde kan være sikker på, at platformen er testet og valideret i praksis, ikke kun i et kontrolleret testmiljø.
Certificeringen gør platformen bedre
– hver gang
Ingen test kan erstatte erfaringer fra reel brug af et produkt. Det gælder også vores GRC-platform. Hvis man udvikler et stykke software, skal man passe på med kun at teste den tiltænkte vej fra A til B – det, vi kalder en 'happy path'. I virkeligheden går kunderne ikke altid den vej, og derfor kræver det en dosis reel brug for at finde de steder, hvor oplevelsen halter. Det forklarer Chief Product Owner i NorthGRC, Jakob Holm Hansen:
- Vi har simpelthen brug for at blive tvunget ud i situationer, hvor processen ikke nødvendigvis passer til platformen. Der hjælper det os at bruge platformen til reelle opgaver, ikke bare tests, og ISO 27001-certificeringen er derfor en kæmpe fordel for os, siger han.
Vi indhenter selvfølgelig mange praksiserfaringer, når vores konsulenter laver implementeringer ude hos kunderne, og sammen med vores egne erfaringer med at bruge platformen dukker der ting op, som ingen kontrolleret demo afslører. Vi finder steder, hvor brugeroplevelsen kan gøres smartere, flows forenkles og features forbedres.
Er ISO 27001 ny for dig? Bliv klogere på den her: ISO 27001-standarden – sådan fungerer et ISMS
“Vi får nogle gode, konkrete indsigter ud af processen”
Auditøren bidrager også, for han kommer udefra med et professionelt perspektiv og et par friske øjne. En god auditør peger på sammenhænge og måder at opbygge processer på, som er mere enkle og logiske. Den feedback finder vej direkte tilbage til produktudviklingen.
- På den måde er der et tilbageløb til produktudviklingen, især ift. usability, hvor vi får nogle gode, konkrete indsigter ud af processen. Vi finder smartere måder at opbygge UI – og nye smarte features, fortæller Jakob Holm Hansen.
For dig som bruger betyder det, at hver certificeringsrunde efterlader platformen lidt bedre end før. Og at de erfaringer, vi opbygger ved at bruge platformen selv, styrker vores evne til at hjælpe dig med at få mere ud af den.
“Vi har simpelthen brug for at blive tvunget ud i situationer, hvor processen ikke nødvendigvis passer til platformen. Der hjælper det os at bruge platformen til reelle opgaver, ikke bare tests.”
Vi har lavet vores lektier, så du kan være tryg ved ny teknologi
Mange virksomheder er usikre på, hvad det betyder for deres data og compliance, når en leverandør implementerer ny teknologi som fx AI. Det er et helt legitimt og vigtigt spørgsmål.
Vores erfaring er, at når bare man gør sit forarbejde, kan rigtig meget lade sig gøre – og det blev vi bekræftet i ved den seneste recertificering.
Vi er i gang med at implementere AI-støtte i vores platform og har derfor lavet en detaljeret risikovurdering, dokumenteret processer og sikret awareness-træning af medarbejdere. Et forarbejde, som auditøren bemærkede, og som kommer dig som kunde til gode, fortæller Lone Forland, Product Expert hos NorthGRC:
- Det betyder, at når kunderne på et tidspunkt får adgang til AI i vores platform, så kan de være trygge ved det, for vi har med ISO 27001-certificeringen vist, at vi har lavet forarbejdet og har styr på risici, processer og menneskeligt tilsyn.
Læs mere: Sådan bruger det norske software-firma, Aidn, NorthGRC til at styre risiko i stor skala
Ved at gå systematisk til værks, er det ikke så overvældende at implementere ny teknologi, for undervejs bliver de mulige bump på vejen tydelige og håndterbare.
“ISO 27001 er ikke noget, man bliver færdig med”
Det er det samme, der sker i arbejdet med certificeringen som helhed; alt bliver brudt ned i overskuelige opgaver. Det reducerer presset og understøtter idéen om løbende optimering, fordi også dét er integreret i indsatsen.
- Arbejdet med ISO 27001 er ikke noget, man bliver færdig med. Derfor er hele platformen bygget op omkring en løbende proces, og hver gang auditøren kunne se, at vi løbende har lavet forbedringer, lyste han op. Den ros er en bekræftelse af, at fokus ligger det rigtige sted, fortæller Lone Forland.
Årshjulet var det allerførste, vi udviklede i platformen, fordi vi vidste, at compliance-arbejdet kun virker, hvis det bliver en vane. Når auditøren roser den løbende proces, er det derfor en bekræftelse af, at selve fundamentet i platformen er bygget rigtigt.
Få mere ud af din GRC-leverandør
Når du investerer i en GRC-platform, køber du mere end funktioner og frameworks. Du køber ind i en leverandørs tilgang til GRC-processer – deres disciplin, deres erfaring og deres evne til at blive ved med at udvikle sig.
Det er præcis derfor, certificeringen betyder noget for dig. Den dokumenterer, at du har en leverandør, der praktiserer det, de prædiker – og kan bevise det. At platformen, du investerer i, bliver bedre hver gang vi arbejder med den til reelle opgaver. Og når ny teknologi, som AI, finder vej ind i din hverdag, har vi allerede taget stilling, så du ikke skal starte fra nul.
Og du behøver ikke tage vores ord for det. Det er præcis, hvad en uafhængig auditør bekræfter, hver gang vi recertificeres.
Vil du vide mere om, hvordan NorthGRC kan hjælpe din virksomhed med at gøre compliance til en kontinuerlig arbejdsproces? Book en demo eller tag en uforpligtende snak med os her.
