Middenin de lockdown en tijdens een week vol ijs en sneeuw, vond van 8 tot en met 12 februari de online training Lead Auditor ISO 27001 plaats. Wat zijn de ervaringen? Wij stelden 6 vragen aan de deelnemers.
Niets weerhield deze groep deelnemers om concreet aan de slag te gaan met informatiebeveiliging. Wij gingen in gesprek met 3 van de deelnemers. Hoe hebben zij de online training ervaren? We vroegen het aan de heer Koorneef, werkzaam als senior beleidsadviseur & lead auditor bij het Centraal Bureau voor Statistiek (CBS), de heer Ponsen, werkzaam als risk manager bij KPN en de heer Barelds, werkzaam als senior consultant bij Qtrans.
De online training Lead Auditor ISO 27001 zit er op. Hoe is het om een 5-daagse training volledig online te volgen?
De heren zijn het erover eens, de voordelen van het niet te hoeven reizen en de besparing van waardevolle tijd die weer gestoken kan worden in de training wegen niet op tegen het nadeel van elkaar niet ‘real live’ zien. De heer Ponsen, die in de praktijk ook actief is als interne auditor bij KPN: “Ik heb in de trainingsweek veel opgestoken. Het gevoel dat ik in de training even (positief) ben gereset. Het was een week met veel sneeuw en gladheid, dat was direct het belangrijkste voordeel dat het online was. We hoefden niet te reizen.”
Waarom was het voor jullie belangrijk om deze online ISO 27001 training te volgen?
De training heeft een meerwaarde op het uitvoeren van de interne audits binnen de eigen organisaties of bij klanten in het geval van Qtrans.
De heer Koorneef vult aan: “We zijn als organisatie, het Centraal Bureau voor de Statistiek (CBS), gecertificeerd voor ISO 9001, ISO 27001 en hebben een Assurance-verklaring volgens het AVG conform Norea Framework. Ik ben zelf ook lead auditor voor ISO 9001. Het was voor mij dan ook logisch om meer kennis en ervaring op te doen op het gebied van ISO 27001 en hoe een certificerende instelling er naar kijkt. De toegevoegde waarde voor de organisatie is dat ik de organisatie via mijn interne audits beter kan voorbereiden.”
Ook de auditoefeningen en rollenspellen verliepen nu online. Was dat een uitdaging?
Tijdens het uitvoeren van de rollenspellen let je niet alleen op de de verbale, maar ook op de non-verbale communicatie. Dat was dan ook de grootste uitdaging online, het opmerken van de de non-verbale communicatie. Maar nu ook veel interne audits remote plaatsvinden is het tegelijkertijd ook handig om de rollenspellen op deze manier te trainen.
“De auditopdrachten en groepsopdrachten gingen goed online, dat waren ook de momenten om het even over andere dingen te hebben. Al kreeg je altijd net te weinig tijd. Onze trainer Rob zei dat dat ook de praktijk is, werken onder tijdsdruk. Je mist wel een stuk non-verbale communicatie. Ook als je samen een rollenspel doet is het nog een extra beperking dat het online is”, alsdus de heer Ponsen. Dit ervaart ook de heer Koorneef: “Een groot deel van de communicatie gebeurt ook op basis van lichaamstaal en intonatie en dat is digitaal wat lastiger. Ik moet wel zeggen dat onze trainer, Rob Jansen, dat heel goed deed tijdens de cursus.”
Gaan jullie de interne audits ook online uitvoeren binnen jullie organisaties en/of bij klanten?
“De rollenspellen die we tijdens de training online hebben gedaan gingen buitengewoon goed. Ik zie geen reden waarom dit niet vaker / altijd online kan”, zegt de heer Barelds.
Bij het CBS wordt al ruim een jaar intern en extern geauditeerd via Zoom. De heer Koorneef geeft aan dat ook hier dezelfde uitdagingen genoemd worden door zijn collega’s, als die hij ervaarde met de online rollenspellen.
KPN voert bijna alleen maar online audits uit, met uitzondering van audits aan datacenters. “Het makkelijke is dat je op één dag een gesprek kan hebben met iemand uit Groningen en met iemand uit Maastricht. Voorheen gingen we er altijd naar toe. Dit blijft in de toekomst denk ik wel bestaan. We zullen meer op afstand blijven toetsen. Ook wel jammer. Ik hoop dat we een mix vinden”, voegt de heer Ponsen toe.
Vooruitkijkend: gaan jullie in de toekomst vaker een online training volgen?
“Absoluut!”, antwoordt de heer Barelds resoluut. “Ik wil mijn normkennis in de breedte uitbreiden met meer kennis van meerdere normen. Ik verwacht dat ik binnenkort een opfris training doe voor ISO 9001."
“Ik heb een lichte voorkeur voor klassikaal, maar ik zeg er gelijk eerlijk bij dat ik online trainingen ook serieuzer zal overwegen in de toekomst, ook vanuit de voordelen”, antwoordt de heer Koorneef.
De heer Ponsen: “Mijn persoonlijke voorkeur is toch ook wel klassikaal. Maar ik ben blij dat het nu online is gegeven. Anders blijf je het maar voor je uitschuiven en daardoor uitstellen. Online is een prima alternatief voor klassikaal. In het verleden heb ik ook andere trainingen gevolgd zoals bijvoorbeeld CISM/ CISA en deze zou ik nu ook sneller online doen.”
Welke tips zouden jullie toekomstige deelnemers willen meegeven over de online training Lead Auditor ISO 27001?
De heer Ponsen (KPN): “Stel niet uit, ga niet wachten tot het weer mag. Een online training is een prima alternatief. Begin niet helemaal blanco aan de training, begin al in de praktijk met de norm, je start dan al met een basis en je ziet dan sneller de link met de praktijk.”
De heer Barelds (Qtrans): “Houd echt rekening met een week waarbij geen andere werkzaamheden mogelijk zijn. Dus dedicated bezig zijn met de training, ook ‘s avonds. Daarnaast kan het nooit kwaad om zaken al goed voor te bereiden zodat het online volgen van de training en het examen doen mogelijk is (hardware check, teams installeren etc.).”
De heer Koorneef (CBS):“Gewoon doen en eerst ervaren. Wij “Nederlanders” zijn altijd gewend om gelijk alle negatieve aspecten naar voren te gooien, maar doe het eens en bedenk ook dat je niet eerst 1,5 uur naar een locatie hoeft te reizen met eventuele frustraties van files en niet-rijdende treinen/OV en ’s avonds ook weer terug naar huis."
De volgende ISO 27001 trainingen staan gepland:
- 17 mei: Normkennis ISO 27001. Lees hier verder.
- 7 juni: Lead Auditor ISO 27001. Lees hier verder.