Hoe Infinity IT een volwassen risicomanagement¬cultuur bouwt: van compliance druk naar strategische grip
Risicomanagement wordt in veel organisaties nog steeds gezien als iets dat moet. Een verplichting om certificeringen te behouden, aanbestedingen te winnen of auditors tevreden te stellen. Bij Infinity IT verandert dit perspectief fundamenteel. Onder leiding van CISO Caty Hooijsma ontwikkelde zich in korte tijd een benadering waarin risicomanagement niet langer een administratieve last is, maar een strategisch stuurinstrument dat richting geeft aan groei, betrouwbaarheid en bestuurbaarheid.
Die verandering komt niet uit de lucht vallen. Het is het resultaat van een combinatie van leiderschap, een volwassen governancestructuur en het gebruik van het Nederlandse GRC‑platform PulseComply, dat risico‑informatie en compliance centraal samenbrengt.
Risicomanagement als strategische capability
Toen Caty Hooijsma, in augustus aantrad, merkte ze dat Infinity IT al sterk leunde op standaarden en kwaliteitsnormen, maar dat de echte winst zou liggen in het verschuiven van de mindset. Niet werken vanuit documenten, maar vanuit risico’s. Niet wachten op een auditmoment, maar continu inzicht houden. En niet alleen voldoen aan de norm, maar deze benutten om beter te sturen.
“Een norm is geen invuloefening,” zegt Caty. “Als CISO stuur je op risico’s, scenario’s en impact. Governance en tooling moeten dat ondersteunen.”
Die visie vormde het startpunt voor een bredere ontwikkeling: risicomanagement werd niet langer iets wat eens per kwartaal op de agenda stond, maar een continu proces dat richting geeft aan prioriteiten, beslissingen en operationele controle. Daarmee schuift het onderwerp ook nadrukkelijk op naar directieniveau. Risico’s raken immers niet alleen aan informatiebeveiliging, maar ook aan strategie, prestaties, klantvertrouwen en reputatie. “Het bestuur moet realtime weten waar de kwetsbaarheden zitten en waar moet worden bijgestuurd,” zegt Hooijsma.
Eén governance‑laag over alle normen
Infinity IT werkt met een complex landschap aan normen: ISO 27001, NEN 7510, ISO 9001, ISO 27701, de BIO en binnenkort SOC 2 Type II en ISAE 3402. Het managen van zo’n normenkader vraagt om overzicht en om samenhang, precies de rol die PulseComply vervult.
Het platform brengt risico’s, maatregelen, verantwoordelijkheden en voortgang samen in één omgeving die zowel op detailniveau als op bestuursniveau inzicht biedt. Hierdoor ontstaat een governance‑laag die niet alleen volledig, maar ook bruikbaar is voor besluitvorming. Waar traditionele ISMS‑systemen vooral documentgedreven zijn, sluit deze aanpak aan op de dagelijkse realiteit van een CISO: dynamisch, risicogestuurd en continu veranderlijk.
“PulseComply is de ruggengraat die je niet ziet, maar wel voelt,” vat Caty samen. Het platform maakt inzicht niet afhankelijk van auditpieken, maar houdt de organisatie doorlopend auditready. Daardoor ontstaat een cultuur waarin risico’s vroeg worden gesignaleerd, procesverantwoordelijken tijdig kunnen ingrijpen en het bestuur altijd beschikt over actuele informatie.
Auditready: niet door harder te werken, maar door slimmer te organiseren
Het meest tastbare resultaat van deze nieuwe manier van werken is de rust rond audits. Niet omdat audits eenvoudiger worden, maar omdat ze voorspelbaar worden. Medewerkers worden periodiek geïnterviewd, risico’s boven de baseline krijgen direct aandacht en domeineigenaren pakken hun processen cyclisch op.
De auditcyclus verschuift daardoor van een jaarlijkse inspanning naar een permanente staat van controle. Auditors waarderen de transparantie: ze kunnen op elk moment vragen stellen en krijgen direct inzicht in maatregelen, bewijsvoering en risico‑statussen. Voor Infinity IT betekent dit dat audits geen project meer zijn, maar een logisch onderdeel van de bedrijfsvoering.
Versnelling en schaalbaarheid als gevolg van volwassenheid
Die volwassenheid uit zich ook in tempo. In vier maanden tijd werden meerdere normen her-audit, is de volledige ISO 27701‑norm geïmplementeerd en meegenomen in de audit, en zijn de governance‑processen schaalbaar vormgegeven voor toekomstige groei. Het is een indicatie dat een volwassen risicomanagementcultuur niet alleen rust brengt, maar ook snelheid en wendbaarheid.
De les voor leiders in de digitale sector
De ontwikkeling bij Infinity IT laat zien dat organisaties die risicomanagement strategisch omarmen niet alleen beter presteren op compliance, maar ook sterker worden als geheel. Het verschuift van een kostenpost naar een waardevolle motor achter groei, vertrouwen en duurzame dienstverlening.
Leiders die risicomanagement zien als stuurinstrument in plaats van verplichting, zetten hun organisatie sterker neer in een markt waar betrouwbaarheid, transparantie en adaptiviteit steeds bepalender worden.
Of, zoals Caty het treffend zegt:
“Infinity IT is altijd auditready, omdat we elke dag weten waar we staan.”
