NorthGRC har nyligen omcertifierats enligt ISO 27001. Det är vi stolta över – men det intressanta är inte certifieringen i sig. Det är vad den innebär för dig som kund.
Det är lätt att se en certifiering som bara ett dokument som bekräftar att vi har ordning och reda. Men en certifiering gör något mer grundläggande: den tar bort antaganden. I arbetet tvingas man att vara konkret om alla delar av företagets it-miljö och interna policyer – och att förhålla sig till den verkliga hotbilden, inte den vardag man rör sig i dag för dag.
För oss innebär det att certifieringen är en process som ger oss möjlighet att använda vår egen plattform, utmana våra antaganden och lära oss något nytt. Varje gång vi certifieras når dessa lärdomar dig i form av en bättre produkt, skarpare rådgivning och en leverantör du kan lita på.
Hos NorthGRC hjälper vi företag med governance, risk och compliance, och därför är det naturligt att själva gå före med gott exempel – något som certifieringen tydliggör, berättar Martin André Jønck, vd på NorthGRC.
– Vi säljer inte bara en GRC-plattform, vi driver vår verksamhet med den. ISO 27001-certifieringen dokumenterar att våra interna processer och kontroller är utformade enligt samma riktlinjer som vi rådger våra kunder att följa. Det innebär också att vår plattform är utvecklad utifrån verkliga erfarenheter snarare än teoretiska ramverk, säger han.
Men erfarenhet är inget man skaffar sig en gång för alla. ISO 27001 är en disciplin som kräver kontinuerlig uppmärksamhet. Företag som behandlar certifieringen som ett ettårigt projekt upptäcker ofta att den snabbt blir ett dokument som beskriver en verklighet som inte längre existerar.
För oss är certifieringen just därför ett långsiktigt åtagande – och ett årligt tillfälle att kontrollera att vi lever upp till våra egna standarder.
– ISO 27001-certifieringen handlar också om att verifiera att vårt verktyg fungerar hundra procent out-of-the-box. Genom att låta oss certifieras i vårt eget system sätts plattformen på prov varje år – vi bekräftar att den levererar exakt det som krävs för att möta de högsta standarderna, berättar Martin André Jønck.
Det krävs inte nödvändigtvis en stor organisation för att upprätthålla en certifieringsnivå när arbetet är rätt strukturerat. Hos NorthGRC lägger fem medarbetare en halv dag i månaden på ISO 27001 – ungefär en timme i veckan per person – och certifieringen bevisar att det räcker.
En GRC-plattform handlar i grunden om att bygga förtroende: när vi implementerar och dokumenterar kontroller, hanterar hot och reducerar risker skapar vi internt förtroende för säkerheten – och därmed också dokumentation för att vinna förtroende utifrån.
Ett företag kan visserligen leva upp till ISO 27001 utan att vara certifierat, men som leverantör tycker vi att det är både intressant och värdefullt att ta steget längre:
– När vi år efter år certifieras av en oberoende expert lägger vi till ett extra lager av trovärdighet. Genom att granska och bekräfta vårt arbete ger den externa revisorn en garanti för att vi inte bara säger vad vi gör – utan faktiskt gör det vi säger, förklarar Martin André Jønck.
NorthGRC har varit certifierat från starten och har varit bland de första med en certifiering på den danska marknaden. Det innebär att NorthGRC-plattformen är formad utifrån de praktiska behov som uppstår i en certifieringsprocess, och att du som kund kan vara trygg med att plattformen är testad och validerad i praktiken – inte bara i en kontrollerad testmiljö.
Ingen test kan ersätta erfarenheter från verklig användning av en produkt. Det gäller även vår GRC-plattform. När man utvecklar mjukvara är det viktigt att inte bara testa den tänkta vägen från A till B – det vi kallar en "happy path".
I verkligheten tar användarna inte alltid den vägen, och därför krävs verklig användning för att hitta de ställen där upplevelsen haltar. Det förklarar Jakob Holm Hansen, Chief Product Owner hos NorthGRC:
– Vi behöver helt enkelt bli tvingade in i situationer där processen inte nödvändigtvis passar plattformen. Det hjälper oss att använda plattformen för riktiga uppgifter, inte bara tester, och ISO 27001-certifieringen är därför en enorm fördel för oss, säger han.
Vi samlar naturligtvis in många praktiska erfarenheter när våra konsulter genomför implementeringar hos kunder, och tillsammans med våra egna erfarenheter av att använda plattformen dyker det upp saker som ingen kontrollerad demo avslöjar. Vi hittar ställen där användarupplevelsen kan göras smartare, flöden kan förenklas och funktioner kan förbättras.
Revisorn bidrar också, eftersom han kommer utifrån med ett professionellt perspektiv och ett par friska ögon. En bra revisor pekar på samband och sätt att bygga upp processer som är enklare och mer logiska. Den feedbacken tar vägen direkt tillbaka till produktutvecklingen.
– På så sätt finns det ett återflöde till produktutvecklingen, särskilt när det gäller användbarheten, där vi får konkreta och värdefulla insikter från processen. Vi hittar smartare sätt att bygga UI – och nya användbara funktioner, berättar Jakob Holm Hansen.
För dig som användare innebär det att varje certifieringsomgång lämnar plattformen lite bättre än före. Och att de erfarenheter vi bygger upp genom att använda plattformen i skarpt läge stärker vår förmåga att hjälpa dig att få mer ut av den.
Många företag är osäkra på vad det innebär för deras data och compliance när en leverantör implementerar ny teknik som exempelvis AI. Det är en helt legitim och viktig fråga.
Vår erfarenhet är att när man väl gör sitt förarbete är det möjligt att åstadkomma väldigt mycket – och det bekräftades vid den senaste omcertifieringen.
Vi håller på att implementera AI-stöd i vår plattform och har därför gjort en detaljerad riskbedömning, dokumenterat processer och säkerställt utbildning i säkerhetsmedvetenhet för medarbetarna. Ett förarbete som revisorn uppmärksammade – och som du som kund har nytta av, berättar Lone Forland, produktexpert hos NorthGRC:
– Det innebär att när kunderna så småningom får tillgång till AI i vår plattform kan de känna sig trygga, för vi har med ISO 27001-certifieringen visat att vi gjort förarbetet och har kontroll på risker, processer och mänsklig tillsyn.
Genom att arbeta systematiskt blir det inte så överväldigande att implementera ny teknik – längs vägen blir eventuella hinder synliga och hanterbara.
Det är samma sak som händer i certifieringsarbetet som helhet: allt bryts ned i hanterbara uppgifter. Det minskar pressen och understödjer tanken om kontinuerlig förbättring, eftersom även det är integrerat i arbetet.
– Arbetet med ISO 27001 är inget man blir klar med. Därför är hela plattformen uppbyggd kring en löpande process, och varje gång revisorn kunde se att vi kontinuerligt hade gjort förbättringar lyste han upp. Det berömmet är en bekräftelse på att fokus ligger på rätt ställe, berättar Lone Forland.
Årshjulet, vår cirkulära årsplan där compliance-arbetet alltid är i rörelse, var det allra första vi utvecklade i plattformen, eftersom vi visste att compliance-arbetet bara fungerar om det blir en vana. När revisorn berömmer den löpande processen är det därför en bekräftelse på att själva grunden i plattformen är rätt byggd.
När du investerar i en GRC-plattform köper du mer än bara funktioner och ramverk. Du köper in dig i en leverantörs förhållningssätt till GRC-processer – deras disciplin, deras erfarenhet och deras förmåga att fortsätta utvecklas.
Det är precis därför certifieringen betyder något för dig. Den dokumenterar att du har en leverantör som praktiserar det de predikar – och kan bevisa det. Att plattformen du investerar i blir bättre varje gång vi arbetar med den i skarpt läge. Och när ny teknik som AI hittar in i din vardag har vi redan tagit ställning, så att du inte behöver börja från noll.
Och du behöver inte ta vårt ord för det. Det är precis vad en oberoende revisor bekräftar varje gång vi omcertifieras.
Vill du veta mer om hur NorthGRC kan hjälpa ditt företag att göra compliance till en kontinuerlig arbetsprocess? Boka en demo eller prata med oss utan förpliktelser här.