Enterprise-level-certificering voor start-up - KPMG Nederland
close
Share with your friends

Security en compliance: hoe verkreeg een start-up zijn enterprise-level-certificering?

Enterprise-level-certificering voor start-up

Recentelijk werden wij benaderd door een snelgroeiende start-up die enterprisedataplatforms bouwt. De opschaling verliep in zo'n rap tempo dat de organisatie grote, internationale klanten aantrok. Een goed teken, maar dit betekende óók dat een zekere certificering onontbeerlijk werd – klanten van dit kaliber willen immers een bewijs van de kwaliteit die de start-up biedt.

Contact

Gerelateerde content

Het KPMG Cloudteam heeft deze start-up geholpen bij het verkrijgen van de SOC-2 type 2-certificering. In deze blog zetten wij onze ervaring met dit proces om in enkele handige tips!

Maatwerkaanpak: 3 principes, 1 transformatie

Bij het helpen van de start-up in kwestie vonden wij het belangrijk om een compliance-certificaat te verkrijgen en de organisatie te helpen een professionaliseringsslag te maken. Aan de andere kant moest de ondernemersgeest van de start-up intact blijven: wij wilden de interne flexibiliteit en snelheid niet hinderen.

Tijdens de transformatie namen we technologie, mensen en processen in overweging. Maar wél binnen een maatwerkaanpak op basis van Lean en Agile, die perfect paste bij deze organisatie. Onze benadering berustte op 3 principes:

  1. Automatisering
    Wij hebben clouddiensten, Platform-as-a-Service en Software-as-a-Service ingezet om de traditionele infrastructuur en technologie te minimaliseren. Aangezien de start-up een klein team heeft, was het extra belangrijk dat het team zelf geen infrastructuur hoefde te beheren. In deze clouddiensten zijn bijvoorbeeld veel standaard beveiligingscontroles ingebouwd. Medewerkers hoeven deze niet meer uit te voeren, doordat er automatisch rapportages worden opgeleverd.

  2. Agile en DevOps
    De traditionele werkwijze vereist security-officers die regelmatig (handmatige) controles uitvoeren. Wij hebben gekozen voor een aanpak waarin Agile en DevOps centraal staan, waardoor de DevOps-teamleden de verantwoordelijkheid voor security- en compliance-gerelateerde beslissingen kunnen dragen. Hiertoe hebben we zoveel mogelijk geautomatiseerd, infrastructuur en version-control ingezet voor verandermanagement, security en compliance geïntegreerd in continuous-delivery-pipelines en geautomatiseerd getest. Daarnaast wordt security nu niet bij de afronding, maar gedurende het hele traject aangepakt.

  3. Beheersingsmaatregelen
    Het controleframework hebben we gecreëerd op basis van de SOC-2-criteria. Het uitgangspunt: lichte beheersingsmaatregelen die voldoende zekerheid bieden zónder een extra last op de schouders van het team te leggen. Cruciaal voor deze start-up, die zich focust op innovatie met een beperkt aantal medewerkers. Met onze aanpak behouden zij de controle – en wel door de inzet van clouddiensten zoals monitoring en geautomatiseerd configuratiemanagement.

Project geslaagd, certificering behaald

Na afloop van het project heeft een externe auditor een audit uitgevoerd. Deze wees uit dat we de gestelde doelen samen hebben bereikt. De certificering is binnen. Een bijzondere prestatie, want een certificering van dit kaliber wordt meestal alleen aan grote enterprise-organisaties toegekend. Deze case bewijst dat ook een start-up met 50 mensen dit felbegeerde papiertje kan binnenhalen!

Meer informatie?

Wilt u concreet aan de slag met een cloudtransformatie en kunt u hier wel wat hulp van experts bij gebruiken? Wij hebben al vele organisaties geholpen bij hun cloudtransformatie. Neem gerust contact op met Johan Noltes of Mark de Groot.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

Offerteaanvraag (RFP)