Lekcije naučene iz ISO 27001 - studija slučaja ENTERBRAIN softvera

CONTENT

• ISO 27001 slučaj - ENTERBRAIN se oslanja na certifikaciju
• Pozitivna praktična iskustva sa ISO 27001
• Sigurnost informacija kao osnova za uspjeh i povjerenje
• Intervju sa Christian Körner
• Budući planovi i ISO 27001:2022
• ISO 27001 naučene lekcije u ENTERBRAIN - Zaključak

ISO 27001 slučaj - ENTERBRAIN se oslanja na certifikaciju

Sa sjedištem u Offenbachu, Njemačka, ENTERBRAIN Software GmbH je jedan od vodećih dobavljača softvera za prikupljanje sredstava u Evropi. Softverska rješenja organizacije podržavaju neprofitne organizacije u upravljanju njihovim donacijama i članovima. Između ostalog, ova softverska rješenja koriste se za upravljanje ličnim podacima i detaljima plaćanja. Zaštita ovih povjerljivih informacija, kao i njihov integritet i dostupnost, glavni su prioriteti za dobavljača softvera i njegove kupce - također u pogledu pravnih aspekata.

Sistem upravljanja sigurnošću informacija, koji je certificiran u skladu sa ISO 27001 od 2019. godine, pruža sveobuhvatan praktični okvir za to. Osigurava povjerljivost, integritet i dostupnost informacija - tri cilja zaštite sigurnosti informacija. Uspostavljeni sistem upravljanja definiše obavezujuće procese, uloge i autorizacije i sistematski smanjuje rizike po sigurnost informacija, a istovremeno stvara povjerenje kod kupaca i poslovnih partnera.

Pozitivna praktična iskustva sa ISO 27001

Zahvaljujući aktivnom korištenju sistema upravljanja i pratećoj kontinuiranoj analizi i evaluaciji prijetnji, ENTERBRAIN je veoma dobro pozicioniran u oblasti sigurnosti informacija i zaštite podataka. Postoji sveobuhvatna dokumentacija svih objekata zaštite u kompaniji. Osim toga, definisane su primjenjive smjernice, tehnička uputstva i organizaciona pravila kako bi se zatvorile sigurnosne praznine.

Sistematski pristup stvara dobru transparentnost o prijetnjama i procesima potrebnim za zatvaranje sigurnosnih praznina. Redovni kursevi podizanja svijesti senzibiliziraju sve zaposlene u kompaniji za ogroman značaj informacione sigurnosti.

U praksi je sistem upravljanja sigurnosti informacija već višestruko dokazao svoju vrijednost. Posebno zahvaljujući redovnoj obuci zaposlenih. 2020. godine, na primjer, u organizaciji je spriječeno širenje nove verzije virusa Emotet*.

* Emotet = porodica kompjuterskih zlonamernih programa (makro virusi) koji se šalju e-mailom

Zahvaljujući ranom otkrivanju prijetnje od strane službenika, najgore je izbjegnuto. Novu varijantu virusa nije otkrilo nijedno softversko rješenje za skeniranje virusa dostupno na tržištu u to vrijeme.

Tokom incidenta, ENTERBRAIN je primio zaraženi e-mail od kupca, koji je prvobitno otvorio zaposlenik, koji je odmah prijavio incident. Kao rezultat toga, aktiviran je tim za hitne slučajeve i incident je riješen u skladu sa sigurnosnim priručnikom za hitne slučajeve kompanije. Zahvaljujući brzoj i savjesnoj reakciji zaposlenika, zahvaćeni računar je izolovan i spriječeno je širenje virusa u internoj mreži. Pozvana je IT forenzička kompanija da dodatno istraži varijantu virusa i mrežu i pruži podršku.

Sigurnost informacija kao osnova za uspjeh i povjerenje

Za dobavljača softvera za prikupljanje sredstava i njegove kupce, poštovanje propisa je bitan dio poslovne aktivnosti. Poštivanje zaštite podataka i usaglašeno ponašanje svih zaposlenih u kompaniji osnova su poverljive saradnje sa kupcima i partnerima. Zbog ovih zahtjeva, kompanija je certificirana u skladu sa međunarodno priznatim standardom ISO 27001 za sve usluge koje nudi.

Iako je potpuna certifikacija za sve usluge znatno složenija od certifikacije za jednu poslovnu jedinicu, viši nivo sigurnosti informacija isplati se kompaniji. S jedne strane, to znači da je upravljanje sigurnošću informacija sa svim svojim prednostima uspostavljeno za sve poslovne jedinice, a s druge strane, ENTERBRAIN uživa konkurentsku prednost u odnosu na ostale igrače na tržištu koji nemaju ISO 27001 certifikat.

Osim toga, tema usklađenosti generalno dobija na značaju, tako da mnoge organizacije imaju i zahtjeve za saradnju sa kompanijom koja ima certifikat ISO 27001.

Dobivena transparentnost pruža kompaniji odličnu polaznu tačku za optimizaciju procesa kako bi se povećalo zadovoljstvo kupaca i efikasnost unutar kompanije. Poslovni kritični procesi i oblasti su također jasno definisani i mogu se učiniti sigurnijim kroz ciljano smanjenje rizika.

Intervju sa Christian Körner

Šef operacija u ENTERBRAIN Software GmbH

Prednosti sistema upravljanja sigurnošću informacija su jedna stvar. Međutim, za njegovu certifikaciju i povezane godišnje nadzorne audite, kompanije zavise od saradnje sa akreditovanim certrifikacijskim tijelom. U ovom intervjuu Christian Körner govori o svojim iskustvima sa ISO 27001.

DQS: Gospodine Körner, počeli ste u informacionoj sigurnosti sa sistemom razvijenim posebno za mala i srednja preduzeća. Kada je u pitanju prelazak na standard ISO 27001, bila je potrebna sveobuhvatna nadogradnja – da li bi se ovaj pristup i danas preporučivao s obzirom na ogromnu sajber prijetnju kojoj su izložena posebno mala i srednja poduzeća?

Christian Körner: ENTERBRAIN je stavio veliki fokus na sigurnost informacija u vrlo ranoj fazi i time preuzeo pionirsku ulogu. U našoj industriji, sigurnost informacija je temelj uspjeha i povjerenja. U toku ubrzane digitalne transformacije ova tema postaje sve važnija.

Na osnovu našeg praktičnog iskustva i povećanih sajber prijetnji, sada preporučujemo da počnete direktno sa ISO 27001 certifikacijom. Vrijedna stvar u vezi s procesom certifikacije je otkrivanje svih sigurnosnih rizika koji se mogu zatvoriti ili barem svesti na minimum zahvaljujući stečenoj transparentnosti. Ovo značajno doprinosi sigurnosti informacija u kompaniji.

DQS: Sa ISO 27001, postavili ste temelje za priznati sistem upravljanja - da li se još uvijek sjećate prvog certifikacijskog audita s DQS-om?

Christian Körner: Tokom našeg prvog ISO 27001 audita u 2019., svi u kompaniji bili su prilično napeti. Iako smo u to vrijeme već imali iskustva sa certifikacijama našeg prvog sistema upravljanja sigurnošću informacija, ISO 27001 je bio posebna klasa.

Gledajući unazad, moramo se malo nasmiješiti kada se prisjetimo prve ISO 27001 certifikacije. S jedne strane, tada smo već bili vrlo dobro pripremljeni za ISO standard; s druge strane, mogli bismo samo imati koristi od procesa certifikacije kao kompanija, jer bi nam svaka neusklađenost transparentno pokazala potencijal za poboljšanje.

Na kraju krajeva, naš cilj je osigurati i povećati sigurnost informacija. Stoga uvijek pozdravljamo informacije i preporuke za optimizaciju naših procesa. Za svaku organizaciju koja još nije certificirana, mogu samo preporučiti ovu stavku. ISO 27001 certifikacija ne treba da se zasniva na želji za certifikatom, već na razumijevanju ogromnog značaja informacione sigurnosti u kompanijama danas.

DQS: Tokom naknadnih nadzornih audita, da li ste od našeg auditora dobili bilo kakve korisne savjete u vezi s potencijalom poboljšanja?

Christian Körner: Za nas su nadzorni auditi važan dio certifikacije i stalne optimizacije, jer direktna razmjena sa auditorom daje vrijedne informacije za implementaciju u praksi, što je za nas veliko obogaćenje. U isto vrijeme, imali smo koristi od sveobuhvatnog IT znanja i razumijevanja sistema našeg auditora u posljednjih nekoliko godina. U njemu imamo iskusnog sparing partnera koji dobro razumije procese i koji vodi računa o veličini naše kompanije.

DQS: Sada ste uspješno završili svoju prvu recertifikaciju, a uskoro ćete se prebaciti na novu verziju, odnosno ISO/IEC 27001:2022 - da li ste već u kontaktu s DQS-om u vezi s tim?

Christian Körner: Da, već smo u kontaktu sa DQS-om nekoliko mjeseci i pripremamo se za promjenu. Također smo u procesu koordinacije mogućeg proširenja "Sistem upravljanja privatnosti informacija".

DQS: Postoji li nešto što bi DQS mogao poboljšati u smislu saradnje?

Christian Körner: Veoma smo zadovoljni saradnjom. Tome je u velikoj mjeri zaslužan iskusan auditor, koji nas svojom ocjenom značajno podržava u kontinuiranom unapređenju našeg sistema.

DQS: Gospodine Körner, hvala vam na lijepom razgovoru i sretno sa prelaskom na novi ISO/IEC 27001:2022!

Budući planovi i ISO 27001:2022

ISO 27001 je međunarodno priznati standard za sigurnost informacija koji je prvi put objavljen na engleskom 2005. godine. Standard je revidiran 2013. i bio je jedan od prvih velikih standarda ISO sistema upravljanja koji je pretvoren u tada novu Strukturu visokog nivoa, koja sada čini mnogo lakše da se integriše u postojeće ISO sisteme upravljanja. Daljnja revizija izvršena je 2022. godine, koja se fokusirala na prilagođavanje standarda najnovijem stanju informacione tehnologije.

ENTERBRAIN ne očekuje nikakva iznenađenja za prelazak na novi ISO 27001:2022, naprotiv: kompanija pozdravlja reviziju, jer će oblasti zaštite podataka i sajber sigurnosti posebno biti ojačane.

Kompanija trenutno analizira nove mjere i zahtjeve i upoređuje ih sa procesima i okolnostima specifičnim za kompaniju. Zatim će se izvršiti evaluacija privremenih rezultata kako bi se utvrdila potreba za implementacijom – posebno u pogledu 93 kontrole u Aneksu A, od kojih su neke nove.

ISO 27001 naučene lekcije u ENTERBRAIN - Zaključak

Implementacija sistema upravljanja sigurnosti informacija u skladu sa standardom ISO 27001 pokazala se kao odlučujući korak u jačanju sigurnosne strategije kompanije ENTERBRAIN. Iskustvo stečeno sa certifikacijom ISO 27001 naglašava važnost holističkog pristupa koji uključuje ne samo tehničke već i organizacione mjere.

Certifikacija ISO 27001 ne samo da je poboljšala sigurnosnu infrastrukturu, već je i značajno povećala povjerenje svojih kupaca i partnera. Zaposleni su postali svjesniji važnosti informacione sigurnosti, što je dovelo do kulture sigurnosti u cijeloj kompaniji. Iako je implementacija bila povezana sa izazovima, pozitivni efekti jasno su veći od negativnih.

Zaključak iz iskustva s ISO 27001 je jasan: certifikacija je više od samo certifikata – to je kontinuirani proces koji čini kompaniju otpornijom na prijetnje i nudi jasnu konkurentsku prednost.

Ekspertiza i povjerenje

Holistički, neutralni pogled naših iskusnih auditora o ljudima, procesima, sistemima i rezultatima pokazuje koliko je efikasan vaš sistem upravljanja sigurnošću informacija i kako se implementira i kontroliše. Nama je važno da percipirate certifikaciju u skladu sa ISO standardom ne kao test, već kao obogaćivanje vašeg sistema upravljanja.

Naši auditi vam daju jasnoću. Naši kupci to vide kao priliku. Za njih su povratne informacije nezavisnog auditora o potencijalu poboljšanja i mogućim rizicima jednako vrijedne kao i DQS certifikat kao i dokaz njihove sposobnosti kvaliteta. Kako bismo osigurali da to i dalje bude slučaj, posvećujemo strogu pažnju integritetu i objektivnosti -više o tome možete pročitati u našoj audit filozofiji.

U auditu se posebno pitamo „zašto“ jer želimo razumjeti razloge zašto ste odabrali određeni način implementacije. Fokusiramo se na potencijal za poboljšanje i potičemo promjenu perspektive. Na taj način prepoznajete opcije za djelovanje pomoću kojih možete kontinuirano poboljšavati svoj sistem upravljanja. Vjerujte nam na riječ.

Napomena: Naše članke pišu isključivo naši stručnjaci za standarde za sisteme upravljanja i dugogodišnji auditori. Ako imate pitanja za autora, slobodno nas kontaktirajte. Radujemo se razgovoru s vama.