Een idee van een drietal compliance managers uit de regio Amsterdam is uitgewerkt tot een clouddienst. Eerst als klein product, bedoeld voor een paar bedrijven, maar de de clouddienst groeit zo snel dat ook grote klanten staan te wachten om aan te sluiten. Maar die grote klanten hebben ook grote verwachtingen aan de security. En nu? Dat was het moment om te starten met Durf2Control.

“Ik had er mijn handen vol aan. Al die vragenformulieren over onze security van nieuwe maar ook bestaande klanten van onze SAAS software. Dat ging zo niet meer, zeker ook omdat ik sommige vragen niet goed kan beantwoorden. En dat terwijl ik weet dat we toch echt goede software hebben ontwikkeld. Om hier zelf de regie terug te pakken zijn we gestart met Durf2Control.

We hebben een collega bereid gevonden om onze Information Security Officer (ISO) te worden en samen met Durf IT hebben we ons control framework opgebouwd. Typisch voor Durf IT om niet een standaard te pakken zoals de ISO27001 maar om ons te introduceren met een cloud control matrix (CCM). Dat bleek ons op het lijf geschreven. Vlot daarna pakten we door met het uitvoeren van onze eerste risico assessment. Met een pragmatische aanpak hebben we daar onze eigen methode voor gemaakt. Wat ons duidelijk werd was de grote afhankelijkheid (risico’s!) bij onze softwareleverancier. Met de hulp van Durf it hebben wij al onze security afspraken op orde gekregen. Onze ISO kon zo samen met de ontwikkelaars vaststellen dat ons security office werkte. We zijn vol vertrouwen de SOC2-audit gestart. En ja, ook zij waren overtuigd; we hebben security aantoonbaar op orde! Het staat ook op onze website en met bestaande en nieuwe klanten delen we met alle plezier ons rapport.”