Van 0 naar ISO 27001: security transformatie bij snelgroeiende scale-up

De scale-up had geen security team, geen formele security governance, en geen ISMS (Information Security Management System). De CTO deed security 'erbij', maar met de groei van 80 naar 280 medewerkers in 2 jaar was dit onhoudbaar. Een enterprise deal ter waarde van 2,2 miljoen euro per jaar stond on hold totdat ISO 27001 certificering was behaald.

De CEO gaf een deadline van 9 maanden voor de certificering. Dit betekende dat er parallel gewerkt moest worden: een security team opbouwen, een ISMS implementeren, technische controls doorvoeren in de AWS-omgeving, en de organisatie voorbereiden op de certificeringsaudit. De snelheid van een scale-up combineren met de discipline van een ISO-implementatie is een van de lastigste uitdagingen in cybersecurity.

MVPeople Group zette een combinatie van MVPeople (interim) en MVProjects (statement of work) in. De interim CISO — een ervaren professional met 3 eerdere ISO 27001 certificeringstrajecten bij scale-ups — startte direct met het opzetten van het ISMS en de gap-analyse. Vier security engineers werden via MVProfessionals ingezet voor de technische implementatie: AWS security hardening, SIEM-inrichting (Datadog Security), CI/CD pipeline security, en endpoint protection uitrol.

MVProjects leverde het projectmanagement en de ISO 27001 implementatie als afgebakend werkpakket: van de initiële gap-analyse en risicobeoordeling, via het schrijven van 28 beleidsmaatregelen, tot de begeleiding van de interne audit en de voorbereiding op de Stage 1 en Stage 2 audit door de certificerende instelling. Tegelijkertijd hielp MVPrentice bij het werven van een junior security engineer die na de certificering als vast teamlid zou blijven.