Blog

In gesprek met onze medewerker Aissam Rahimi

‘Wij maken ISO praktisch en overzichtelijk.’

Voordat Aissam Rahimi in 2019 als Compliance Consultant aan de slag ging bij inTECHrity, werkte hij ruim tien jaar als belastingadviseur. Hij wist dan ook hoe belangrijk het is om aantoonbaar te voldoen aan wet- en regelgeving. ‘Informatiebeveiliging is natuurlijk een hele andere wereld dan de fiscaliteit, maar compliance en adequate vastlegging spelen bij beide een grote rol. Ik deed altijd al veel met computers en informatiebeveiliging was een hot topic. Die combinatie van informatietechnologie en governance past helemaal bij mij.’

In het begin verbaasde het Aissam hoeveel bedrijven hun compliance niet op orde hebben. Of in ieder geval niet aantoonbaar. ‘Door de waan van de dag schuiven organisaties het in kaart brengen van processen en het uitvoeren van risicoanalyses vooruit, totdat ze niet langer meer kunnen wachten. Steeds meer opdrachtgevers eisen concreet bewijs dat je als organisatie de wet- en regelgeving naleeft of werkt volgens bepaalde normen. En dan moet je als organisatie alsnog aan de slag: uitzoeken aan welke specifieke delen van de regelgeving of norm je moet voldoen en vastleggen hoe je daar als bedrijf mee omgaat.’

‘Het gaat om risicodenken. Wat doe je als je wordt gehackt?’

Voor Aissam is het de uitdaging om die compliance op een werkbare en overzichtelijke wijze op orde te krijgen. Dat past helemaal bij de praktische insteek van inTECHrity. ‘Bij inTECHrity kunnen we iets dat heel ingewikkeld lijkt, makkelijk en werkbaar maken. Zaken worden vaak zo complex vastgelegd. Wij maken er juist een duidelijk en praktisch verhaal van, zodat iedereen begrijpt waarom ze iets moeten doen. Zo kun je bij security proberen om nooit gehackt te worden, maar het zal waarschijnlijk toch een keer gebeuren. En wat doe je dan? Dat is waar je je als organisatie op moet voorbereiden. Informatiebeveiliging begint met risicoanalyses en dat risicodenken willen we implementeren.’

‘Ik wil bij de klant iets neerzetten waarmee ze ook verder kunnen als wij weer weg zijn. Wij worden weleens ingevlogen om ingewikkelde processen, procedures en instructies te vereenvoudigen, omdat niemand meer begrijpt wat ze moeten doen. En als er dan een audit komt, dan zijn de afwijkingen niet te tellen. Natuurlijk willen wij ook dat een organisatie zich zo snel mogelijk kan certificeren, maar alleen als het proces echt goed in elkaar zit en de documentatie zo onderhoudsvrij mogelijk is.’

‘Iedereen kan ISO leren.’

Aissam Rahimi woont samen met zijn vrouw en vier kinderen in Nijkerk. Aissam is een fervent voetballiefhebber. Hij staat in het weekend zelf op het veld, traint het elftal van zijn zoon en juicht voor Feyenoord. Voor de televisie dan, want hij heeft geen tijd meer om elke week op de tribune te zitten. Tegenwoordig staat hij liever langs de lijn bij zijn sportende kinderen.

Aissam kwam in contact met inTECHrity via zijn oud-collega Rudi Düpper. De belastingadviseur moest zich eerst verdiepen in de normeringen. ‘Iedereen kan ISO leren, maar het gaat ook om het inzicht om de normen te vertalen naar werkbare oplossingen. Verder wordt bij inTECHrity van je verwacht dat je ondernemend bent en zelfstandig kunt werken. Mijn expertise ligt bij de normen voor Informatiebeveiliging (ISO 27001 en NEN 7510) en Kwaliteit (ISO 9001). Maar de trajecten die we nu begeleiden voor ISO 14001 (Milieumanagement) vind ik ook heel interessant, daar is gelukkig veel informatie over te vinden.’

‘De variatie maakt het boeiend.’

Elke werkdag van Aissam is anders. ‘Ik ben nu twee dagen per week Chief Information Security Officer bij een overheidsorganisatie. De overige drie dagen begeleid ik zes implementatietrajecten bij verschillende klanten. Die variatie in werkzaamheden, organisaties en branches spreekt mij aan. Tijdens implementaties werk ik samen met de klant vanaf het nulpunt alles uit en geef ik advies over hoe zij hun informatiebeveiliging het best kunnen inrichten. We voeren risicoanalyses uit, stellen een managementsysteem op en kweken awareness bij de medewerkers.’

‘Als Security Officer ben ik veel aan het coördineren en analyseren. Ik plan en monitor de operationele activiteiten in het managementsysteem. In de jaarplanning staan alle activiteiten die volgens de norm moeten plaatsvinden. Deze vertaal ik naar een wekelijkse operationele planning, die we moeten uitvoeren. Een belangrijk onderdeel van mijn functie als Security Officer is het uitvoeren van risicoanalyses. Aan de hand van de uitkomsten definieer ik samen met de directie en/of het management doelstellingen voor de informatiebeveiliging. De operationele activiteiten moeten zorgen dat we de bijbehorende KPI’s ook halen.’

De consultants van inTECHrity vervullen de rol van Security Officer niet alleen bij bedrijven waar ze zelf een ISO-norm hebben geïmplementeerd. ‘Soms worden we gevraagd om in te springen bij organisaties om geconstateerde afwijkingen van een norm op de rit te krijgen. Als je het mij vraagt, kan elk bedrijf wel een Security Officer gebruiken. Je hebt als bedrijf geen norm nodig om doelstellingen voor informatiebeveiliging te bepalen. Maar zonder een certificaat kom je tegenwoordig als bedrijf eigenlijk vrijwel nergens meer binnen, zeker niet bij de overheid.’

‘Onze templates zijn niet bedoeld om alleen maar een naam boven te zetten.’

inTECHrity heeft inmiddels een indrukwekkende verzameling templates ontwikkeld. Aissam legt uit wat de toegevoegde waarde is. ‘We maken veel gebruik van templates en rapportages en merken dat onze klanten dat waarderen. Maar het is niet zo dat de klant er alleen nog maar een naam boven hoeft te zetten. De norm schrijft voor dat je het managementsysteem moet beschrijven, maar niet hoe. Aan de hand van onze templates kunnen klanten zelf kijken wat bij ze past. We nemen de beschrijvingen per hoofdstuk door en vullen in wat voor de organisatie van toepassing is. Ik wil voorkomen dat een klant een template pakt, een naam invult en klaar is, puur en alleen om snel een certificaat te willen. Daar prikt een goede auditor zo doorheen.’

‘Het is in onze kleine organisatie soms wel puzzelen om naast het werk voor onze klanten tijd te vinden om de templates te verbeteren en nieuwe ideeën uit te werken. Onderlinge communicatie en kennisoverdracht is hierbij heel belangrijk, om onze ervaringen bij klanten te delen en vast te leggen. Ik zit nog boordevol ideeën over hoe we onze producten en templates kunnen verbeteren. Zo kunnen we onze klanten in de toekomst nog beter van dienst zijn.’

Meer informatie

Wilt u kennismaken met Aissam Rahimi of meer weten over inTECHrity en onze dienstverlening? Neemt u dan contact met ons op. Meer informatie vindt u op onze website www.intechrity.nl.

Gepubliceerd: 09-04-2022
Geschreven door: Rudi Düpper
Deel blog: