NorthGRC er nettopp resertifisert i henhold til ISO 27001. Det er vi stolte av – men det interessante er ikke selve sertifiseringen. Det er hva den betyr for deg som kunde.
Kort fortalt om ISO-sertifisering hos NorthGRC:
- NorthGRC er ISO 27001-sertifisert – ikke fordi vi må, men fordi vi selv lever etter de prinsippene vi rådgir kundene våre om.
- Hver gang vi sertifiseres, finner vi steder der plattformen kan bli bedre – og de forbedringene havner hos deg.
- Vår siste sertifisering dokumenterer at vi har kontroll på hvordan vi innfører ny teknologi på en ansvarlig måte – det gjelder også AI.
Det er lett å se på en sertifisering som bare et dokument som bekrefter at vi har orden i sysakene. Men en sertifisering gjør noe mer grunnleggende: den fjerner antakelser. I prosessen blir man tvunget til å være konkret om alle deler av virksomhetens IT-miljø og interne retningslinjer – og til å forholde seg til det faktiske trusselbildet, ikke den hverdagsvirkeligheten man opererer i til daglig.
For oss betyr det at sertifiseringen er en prosess som gir oss mulighet til å bruke vår egen plattform, utfordre antakelsene våre og lære noe nytt. Hver gang vi sertifiseres, ender de erfaringene hos deg – i form av et bedre produkt, skarpere rådgivning og en leverandør du kan stole på.
"Vi selger ikke bare en GRC-plattform, vi driver virksomheten vår etter den"
Hos NorthGRC hjelper vi virksomheter med governance, risk og compliance, og da er det naturlig å gå foran med et godt eksempel selv – noe sertifiseringen tydeliggjør, forteller Martin André Jønck, CEO i NorthGRC.
– Vi selger ikke bare en GRC-plattform, vi driver virksomheten vår etter den. ISO 27001-sertifiseringen dokumenterer at våre interne prosesser og kontroller er utformet etter de samme retningslinjene vi rådgir kundene våre om. Det betyr også at plattformen vår er utviklet på bakgrunn av reelle erfaringer, ikke teoretiske rammeverk, sier han.
Men erfaring er ikke noe man tilegner seg én gang. ISO 27001 er en disiplin som krever vedvarende oppmerksomhet. Virksomheter som behandler sertifiseringen som et ettårig prosjekt, oppdager gjerne at den raskt blir et dokument som beskriver en virkelighet som ikke lenger eksisterer. For oss er sertifiseringen nettopp derfor et flerårig prosjekt – og en årlig anledning til å etterprøve at vi lever opp til våre egne standarder.
– ISO 27001-sertifiseringen handler også om å verifisere at verktøyet vårt fungerer 100 % rett ut av boksen. Ved å sertifisere oss i eget system får vi hvert år bekreftet at plattformen leverer akkurat det som kreves for å møte de strengeste standardene, forteller Martin André Jønck.
Det krever ikke nødvendigvis en stor organisasjon å opprettholde et sertifiseringsnivå når oppgavene er strukturert riktig. Hos NorthGRC bruker fem medarbeidere en halv dag i måneden på ISO 27001 – tilsvarende omtrent én time i uken per person – og sertifiseringen viser at det er nok.
Les hvordan det svenske selskapet DigitalRoute ble ISO 27001-sertifisert med NorthGRC her:
"Hvis jeg skulle hjelpe et annet selskap å bli ISO 27001 sertifisert, ville jeg definitivt bruke NorthGRC's compliance tool"
Sertifiseringen bekrefter arbeidet vårt
En GRC-plattform er i sin kjerne en tillitsmaskin: Når vi implementerer og dokumenterer kontroller, håndterer trusler og reduserer risiko, skaper vi intern trygghet rundt sikkerheten – og gjennom det dokumentasjon som bygger tillit utenfra. En virksomhet kan godt etterleve ISO 27001 uten å være sertifisert, men som leverandør mener vi det er både meningsfullt og verdifullt å ta steget videre:
– Når vi år etter år blir sertifisert av en uavhengig ekspert, tilfører vi et ekstra lag av troverdighet. Ved å gjennomgå og bekrefte arbeidet vårt stiller den eksterne revisoren en garanti for at vi ikke bare sier hva vi gjør – men faktisk gjør det vi sier, forklarer Martin André Jønck.
NorthGRC har vært sertifisert fra starten og var blant de første med en sertifisering i det norske markedet. Det betyr at NorthGRC-plattformen er formet ut fra de praktiske behovene som oppstår i en sertifiseringsprosess, og at du som kunde kan være trygg på at plattformen er testet og validert i praksis – ikke bare i et kontrollert testmiljø.
Sertifiseringen gjør plattformen bedre – hver gang
Ingen test kan erstatte erfaringer fra reell bruk av et produkt. Det gjelder også vår GRC-plattform. Når man utvikler programvare, er det viktig å ikke bare teste den tiltenkte veien fra A til B – det vi kaller en «happy path». I virkeligheten følger ikke kundene alltid den veien, og derfor krever det reell bruk for å avdekke steder der opplevelsen skurrer. Det forklarer Chief Product Owner i NorthGRC, Jakob Holm Hansen:
– Vi trenger rett og slett å bli tvunget ut i situasjoner der prosessen ikke nødvendigvis passer plattformen. Da hjelper det oss å bruke plattformen til reelle oppgaver, ikke bare tester – og ISO 27001-sertifiseringen er derfor en stor fordel for oss, sier han.
Vi henter selvfølgelig mye praktisk erfaring når konsulentene våre gjennomfører implementeringer ute hos kunder, og kombinert med våre egne erfaringer med å bruke plattformen dukker det opp ting ingen kontrollert demo avslører. Vi finner steder der brukeropplevelsen kan gjøres smartere, flyter kan gjøres enklere og funksjoner kan forbedres.
"Vi får noen gode, konkrete innsikter ut av prosessen"
Revisoren bidrar også, for han kommer utenfra med et profesjonelt perspektiv og et friskt blikk. En god revisor peker på sammenhenger og måter å bygge prosesser på som er enklere og mer logiske. Den tilbakemeldingen finner veien direkte tilbake til produktutviklingen.
– På den måten går det en direkte linje tilbake til produktutviklingen, særlig når det gjelder brukervennlighet, der vi får noen gode, konkrete innsikter ut av prosessen. Vi finner smartere måter å bygge UI på – og nye nyttige funksjoner, forteller Jakob Holm Hansen.
For deg som bruker betyr det at hver sertifiseringsrunde etterlater plattformen litt bedre enn før. Og at erfaringene vi bygger ved å bruke plattformen selv, styrker vår evne til å hjelpe deg med å få mer ut av den.
“Vi trenger rett og slett å bli tvunget ut i situasjoner der prosessen ikke nødvendigvis passer plattformen. Da hjelper det oss å bruke plattformen til reelle oppgaver, ikke bare tester.”
Vi har gjort leksene våre, så du kan være trygg på ny teknologi
Mange virksomheter er usikre på hva det betyr for dataene og compliancen deres når en leverandør innfører ny teknologi som for eksempel AI. Det er et helt legitimt og viktig spørsmål.
Vår erfaring er at når man bare gjør forarbeidet ordentlig, er det mulig å få til svært mye – og det ble vi bekreftet på under den siste sertifiseringen.
Vi er i gang med å implementere AI-støtte i plattformen og har derfor utarbeidet en grundig risikovurdering, dokumentert prosesser og sørget for opplæring for medarbeidere. Et forarbeid revisoren la merke til, og som du som kunde drar nytte av, forteller Lone Forland, Product Expert hos NorthGRC:
– Det betyr at når kundene på et tidspunkt får tilgang til AI i plattformen vår, kan de være trygge på det – for med ISO 27001-sertifiseringen har vi vist at vi har gjort forarbeidet og har kontroll på risiko, prosesser og menneskelig tilsyn.
Når man jobber systematisk, er det ikke så overveldende å innføre ny teknologi – underveis blir mulige utfordringer synlige og håndterbare.
"ISO 27001 er ikke noe man blir ferdig med"
Det er det samme som skjer i arbeidet med sertifiseringen som helhet: alt brytes ned i overkommelige oppgaver. Det reduserer presset og støtter opp om tanken om løpende forbedring, fordi det også er integrert i innsatsen.
– Arbeidet med ISO 27001 er ikke noe man blir ferdig med. Derfor er hele plattformen bygget rundt en løpende prosess, og hver gang revisoren så at vi hadde gjort kontinuerlige forbedringer, lyste han opp. Den anerkjennelsen bekrefter at fokuset ligger på rett sted, forteller Lone Forland.
Årshjulet var det aller første vi utviklet i plattformen, fordi vi visste at compliance-arbeidet bare virker hvis det blir en vane. Når revisoren roser den løpende prosessen, er det derfor en bekreftelse på at selve fundamentet i plattformen er bygget riktig.
Få mer ut av din GRC-leverandør
Når du investerer i en GRC-plattform, kjøper du mer enn bare funksjoner og rammeverk. Du kjøper deg inn i en leverandørs tilnærming til GRC-prosesser – deres disiplin, deres erfaring og deres evne til å fortsette å utvikle seg.
Det er nettopp derfor sertifiseringen betyr noe for deg. Den dokumenterer, at du har en leverandør, som praktiserer det, de selv anbefaler – og kan bevise det. At plattformen du investerer i blir bedre hver gang vi bruker den til reelle oppgaver. Og når ny teknologi, som AI, finner veien inn i hverdagen din, har vi allerede tatt stilling til det, slik at du ikke trenger å starte fra null.
Og du trenger ikke bare ta vårt ord for det. Det er nettopp det en uavhengig revisor bekrefter hver gang vi resertifiseres.
Vil du vite mer om hvordan NorthGRC kan hjelpe virksomheten din med å gjøre compliance til en kontinuerlig arbeidsprosess? Book en demo eller ta en uforpliktende prat med oss her.
