Bij Ventus draait IT niet alleen om innovatie en expertise, maar ook om vertrouwen. Daarom zijn we trots om te melden dat Ventus opnieuw TISAX-gecertificeerd is. Een belangrijke mijlpaal, zeker voor organisaties die actief zijn binnen de automotive industrie. Achter deze certificering zat een intensief traject waarin structuur, security en samenwerking centraal stonden. We spraken hierover met Robert Elsinga, coördinator informatiebeveiliging bij Ventus en één van de drijvende krachten achter het traject.
Wat is TISAX?
TISAX (Trusted Information Security Assessment Exchange) is een internationale standaard voor informatiebeveiliging, specifiek ontwikkeld voor de automotive sector. De certificering lijkt op ISO 27001, maar gaat op bepaalde onderdelen nog verder. “Bij TISAX draait het niet alleen om data en systemen,” vertelt Robert. “Er wordt bijvoorbeeld ook gekeken naar de beveiliging van prototypes en vertrouwelijke ontwikkelinformatie. Grote autofabrikanten willen absoluut zeker weten dat hun gegevens veilig zijn bij leveranciers en partners.”
Voor Ventus was de aanleiding duidelijk: een grote automotive klant vroeg expliciet om deze certificering als extra waarborg voor informatiebeveiliging.
Meer dan alleen beleid op papier
Het behalen van de certificering betekende veel meer dan het schrijven van documenten. Ventus moest aantonen dat processen daadwerkelijk goed ingericht én uitvoerbaar zijn.
Robert: “Je moet voor honderden eisen kunnen bewijzen dat je eraan voldoet. Denk aan autorisaties, accountbeheer, disaster recovery, beveiliging van laptops en telefoons, maar ook aan procedures rondom reizen naar risicolanden.”
Daarbij werd niet alleen gekeken naar techniek, maar juist ook naar organisatie en bewustwording. “Het gaat erom dat security onderdeel wordt van je dagelijkse manier van werken.”
Structuur als sleutel tot succes
Robert nam het bestaande traject over en besloot het volledige proces opnieuw te structureren. Elk bewijsstuk werd gekoppeld aan specifieke eisen, documenten en paragrafen. Daardoor kon tijdens de audit snel en duidelijk worden aangetoond hoe Ventus aan alle voorwaarden voldoet. “Als een auditor vraagt waar iets staat, wil je niet antwoorden: ‘ergens in dat document’. Je wilt het direct kunnen laten zien.”
Samen met collega’s Han Bonink, Merel Wiggelinkhuizen en Remco Takkebos werd het traject verder uitgewerkt en voorbereid op de externe audit door TÜV, één van de strengste certificerende instanties.
Security als continu proces
Volgens Robert is TISAX geen eenmalig project, maar een continu proces van verbeteren en controleren. “Een jaarlijks self-assessment is onderdeel van de certificering. Daarom hebben we processen ingericht waarbij controles, logging en bewijslast gedurende het hele jaar worden bijgehouden. Dat maakt toekomstige audits veel efficiënter.”
Daarnaast heeft Ventus inmiddels een eigen Security Office ingericht, zodat kennis en verantwoordelijkheden beter binnen de organisatie worden geborgd.
Sterke basis voor de toekomst
De TISAX-certificering vormt bovendien een stevige basis voor toekomstige certificeringen, zoals ISO 27001. “Veel eisen overlappen,” legt Robert uit. “Doordat we TISAX nu goed hebben ingericht, kunnen we een groot deel daarvan hergebruiken voor andere security- en compliance-trajecten. De TISAX-certificering vormt namelijk een stevige basis voor NIS2 en ISO 27001. Veel eisen op het gebied van security, processen en governance overlappen.”
Robert vervolgt: “Als Ventus moeten we zelf ook aan NIS2 voldoen. Juist doordat we nu de trajecten als TISAX en NIS2 in onze eigen organisatie doorlopen, weten we uit de praktijk wat het van een organisatie vraagt, en kunnen we klanten niet alleen adviseren vanuit de theorie, maar ook op basis van onze eigen ervaring.”
Vertrouwen als fundament
Voor Ventus draait deze certificering uiteindelijk om meer dan compliance alleen. “Wij vinden dat informatiebeveiliging gewoon goed geregeld moet zijn,” zegt Robert. “Niet alleen omdat klanten dat vragen, maar omdat het hoort bij professioneel IT-partnerschap.”
Met de TISAX-certificering onderstreept Ventus opnieuw haar positie als betrouwbare IT-partner voor organisaties waar veiligheid, continuïteit en vertrouwelijkheid cruciaal zijn.