Pelajaran yang dipetik dari ISO 27001 - studi kasus Perangkat Lunak ENTERBRAIN

ISI

• Studi kasus ISO 27001 - ENTERBRAIN mengandalkan sertifikasi
• Pengalaman praktis yang positif dengan ISO 27001
• Keamanan informasi sebagai fondasi untuk kesuksesan dan kepercayaan
• Wawancara dengan Christian Körner
• Rencana masa depan dan ISO 27001:2022
• Pelajaran ISO 27001 yang dipelajari di ENTERBRAIN - Kesimpulan

Studi kasus ISO 27001 - ENTERBRAIN mengandalkan sertifikasi

Berbasis di Offenbach, Jerman, ENTERBRAIN Software GmbH adalah salah satu penyedia perangkat lunak penggalangan dana terkemuka di Eropa. Solusi perangkat lunak organisasi ini mendukung organisasi nirlaba dalam mengelola donasi dan anggotanya. Di antaranya, solusi perangkat lunak ini digunakan untuk mengelola data pribadi dan detail pembayaran. Perlindungan informasi rahasia ini serta integritas dan ketersediaannya merupakan prioritas utama bagi penyedia perangkat lunak dan pelanggannya - juga terkait dengan aspek hukum.

Sistem manajemen keamanan informasi, yang telah disertifikasi sesuai dengan ISO 27001 sejak tahun 2019, menyediakan kerangka kerja praktis yang komprehensif untuk hal ini. Sistem ini memastikan kerahasiaan, integritas, dan ketersediaan informasi - tiga tujuan perlindungan keamanan informasi. Sistem manajemen yang telah ditetapkan mendefinisikan proses, peran, dan otorisasi yang mengikat dan secara sistematis mengurangi risiko keamanan informasi, sementara pada saat yang sama menciptakan kepercayaan dengan pelanggan dan mitra bisnis.

Pengalaman praktis yang positif dengan ISO 27001

Berkat penggunaan aktif sistem manajemen dan analisis serta evaluasi ancaman yang berkelanjutan, ENTERBRAIN memiliki posisi yang sangat baik di bidang keamanan informasi dan perlindungan data. Ada dokumentasi yang komprehensif dari semua objek perlindungan di perusahaan. Selain itu, pedoman yang berlaku, petunjuk teknis, dan aturan organisasi ditetapkan untuk menutup celah keamanan.

Pendekatan sistematis menciptakan transparansi yang baik tentang ancaman dan proses yang diperlukan untuk menutup celah keamanan. Kursus pelatihan kesadaran reguler menyadarkan semua karyawan di perusahaan akan pentingnya keamanan informasi.

Dalam praktiknya, sistem manajemen untuk keamanan informasi telah membuktikan nilainya berkali-kali. Khususnya berkat pelatihan karyawan secara rutin. Pada tahun 2020, misalnya, penyebaran virus Emotet* versi baru berhasil dicegah di dalam organisasi.

*Emotet = keluarga malware komputer (virus makro) yang dikirim melalui email

Berkat deteksi dini ancaman oleh karyawan layanan, hal terburuk dapat dihindari. Varian virus baru ini tidak terdeteksi oleh solusi perangkat lunak pemindai virus apa pun yang tersedia di pasaran saat itu.

Selama insiden tersebut, ENTERBRAIN menerima email yang terinfeksi dari pelanggan, yang awalnya dibuka oleh karyawan, yang segera melaporkan kejadian tersebut. Hasilnya, tim darurat diaktifkan dan insiden tersebut ditangani sesuai dengan manual darurat keamanan perusahaan. Berkat reaksi cepat dan cermat dari karyawan tersebut, komputer yang terkena dampak dapat diisolasi dan virus dapat dicegah penyebarannya di jaringan internal. Sebuah perusahaan forensik TI dipanggil untuk menyelidiki varian virus dan jaringan serta memberikan dukungan.

Keamanan informasi sebagai fondasi kesuksesan dan kepercayaan

Bagi penyedia perangkat lunak penggalangan dana dan pelanggannya, kepatuhan terhadap peraturan merupakan bagian penting dari aktivitas bisnis. Kepatuhan terhadap perlindungan data dan perilaku patuh dari semua karyawan perusahaan adalah dasar untuk mempercayai kerja sama dengan pelanggan dan mitra. Karena persyaratan ini, perusahaan disertifikasi sesuai dengan standar ISO 27001 yang diakui secara internasional untuk semua layanan yang ditawarkan.

Meskipun sertifikasi penuh untuk semua layanan secara signifikan lebih kompleks daripada sertifikasi untuk satu unit bisnis, tingkat keamanan informasi yang lebih tinggi terbayar untuk perusahaan. Di satu sisi, ini berarti bahwa manajemen keamanan informasi dengan semua manfaatnya tersedia untuk semua unit bisnis, dan di sisi lain, ENTERBRAIN menikmati keunggulan kompetitif dibandingkan pemain pasar lain yang tidak memiliki sertifikasi ISO 27001.

Selain itu, topik kepatuhan secara umum semakin penting, sehingga banyak organisasi juga memiliki persyaratan untuk bekerja sama dengan perusahaan bersertifikat ISO 27001.

Transparansi yang diperoleh memberikan titik awal yang sangat baik bagi perusahaan untuk melakukan optimalisasi proses guna meningkatkan kepuasan pelanggan dan efisiensi di dalam perusahaan. Proses dan area bisnis yang penting juga didefinisikan dengan jelas dan dapat dibuat lebih aman melalui minimalisasi risiko yang ditargetkan.

Wawancara dengan Christian Körner

Kepala Operasi di ENTERBRAIN Software GmbH

Manfaat sistem manajemen keamanan informasi adalah satu hal. Namun, untuk sertifikasi dan audit pengawasan tahunan yang terkait, perusahaan bergantung pada kerja sama dengan lembaga sertifikasi yang terakreditasi. Dalam wawancara ini, Christian Körner berbicara tentang pengalamannya dengan ISO 27001.

DQS: Tuan Körner, Anda memulai di bidang keamanan informasi dengan sistem yang dikembangkan khusus untuk UKM. Ketika harus beralih ke standar ISO 27001, diperlukan peningkatan yang komprehensif - apakah pendekatan ini masih direkomendasikan saat ini mengingat ancaman dunia maya yang sangat besar yang dihadapi oleh UKM khususnya?

Christian Körner: ENTERBRAIN menempatkan fokus utama pada keamanan informasi pada tahap yang sangat awal dan dengan demikian mengambil peran sebagai perintis. Dalam industri kami, keamanan informasi adalah fondasi untuk kesuksesan dan kepercayaan. Dalam proses transformasi digital yang semakin cepat, topik ini menjadi semakin penting.

Berdasarkan pengalaman praktis kami dan meningkatnya ancaman dunia maya, kami sekarang merekomendasikan untuk memulai langsung dengan sertifikasi ISO 27001. Hal yang berharga dari proses sertifikasi adalah ditemukannya risiko keamanan yang dapat ditutup atau setidaknya diminimalkan berkat transparansi yang diperoleh. Hal ini memberikan kontribusi yang signifikan terhadap keamanan informasi di perusahaan.

DQS: Dengan ISO 27001, Anda telah meletakkan dasar bagi sistem manajemen yang diakui - masih ingatkah Anda dengan audit sertifikasi pertama dengan DQS?

Christian Körner : Selama audit ISO 27001 pertama kami pada tahun 2019, semua orang di perusahaan cukup tegang. Meskipun kami sudah memiliki pengalaman dari sertifikasi sistem manajemen keamanan informasi pertama kami pada saat itu, ISO 27001 berada di kelasnya sendiri.

Jika melihat ke belakang, kami harus sedikit tersenyum saat mengingat kembali sertifikasi ISO 27001 yang pertama. Di satu sisi, kami sudah sangat siap dengan standar ISO saat itu; di sisi lain, kami hanya dapat memperoleh manfaat dari proses sertifikasi sebagai sebuah perusahaan, karena ketidaksesuaian apa pun akan menunjukkan kepada kami potensi untuk perbaikan.

Bagaimanapun juga, tujuan kami adalah memastikan dan meningkatkan keamanan informasi. Oleh karena itu, kami selalu menerima informasi dan rekomendasi untuk mengoptimalkan proses kami. Untuk organisasi mana pun yang belum tersertifikasi, saya hanya dapat merekomendasikan hal ini. Sertifikasi ISO 27001 tidak boleh didasarkan pada keinginan untuk mendapatkan sertifikat, tetapi pada pemahaman tentang pentingnya keamanan informasi di perusahaan saat ini.

DQS: Selama audit pengawasan berikutnya, apakah Anda menerima tips yang berguna dan dapat ditindaklanjuti dari auditor kami mengenai potensi peningkatan?

Christian Körner: Bagi kami, audit pengawasan merupakan bagian penting dari sertifikasi dan pengoptimalan yang sedang berlangsung, karena pertukaran langsung dengan auditor memberikan informasi yang berharga untuk diterapkan dalam praktik, yang merupakan pengayaan yang luar biasa bagi kami. Pada saat yang sama, kami juga mendapatkan manfaat dari pengetahuan dan pemahaman IT yang komprehensif dari auditor kami tentang sistem selama beberapa tahun terakhir. Dalam dirinya, kami memiliki mitra tanding yang berpengalaman yang memiliki pemahaman yang baik tentang proses dan yang selalu mengingat ukuran perusahaan kami.

DQS: Anda sekarang telah berhasil menyelesaikan sertifikasi ulang pertama Anda, dan Anda akan segera beralih ke versi baru, yaitu ISO/IEC 27001:2022 - apakah Anda sudah melakukan kontak dengan DQS tentang hal ini?

Christian Körner: Ya, kami telah melakukan kontak dengan DQS selama beberapa bulan dan sedang mempersiapkan peralihan. Kami juga sedang dalam proses mengoordinasikan kemungkinan perluasan "Sistem Manajemen Informasi Privasi".

DQS: Apakah ada sesuatu yang dapat ditingkatkan oleh DQS dalam hal kerja sama?

Christian Körner: Kami sangat puas dengan kerja sama ini. Hal ini sebagian besar disebabkan oleh auditor yang berpengalaman, yang mendukung kami secara signifikan dalam peningkatan berkelanjutan dari sistem kami dengan penilaiannya.

DQS: Tuan Körner, terima kasih atas percakapan yang menyenangkan dan semoga sukses dengan transisi ke ISO/IEC 27001:2022 yang baru!

Rencana masa depan dan ISO 27001:2022

ISO 27001 adalah standar yang diakui secara internasional untuk keamanan informasi yang pertama kali diterbitkan dalam bahasa Inggris pada tahun 2005. Standar ini direvisi pada tahun 2013 dan merupakan salah satu standar sistem manajemen ISO utama pertama yang dikonversi ke Struktur Tingkat Tinggi yang baru, yang sekarang membuatnya lebih mudah untuk diintegrasikan ke dalam sistem manajemen ISO yang ada. Revisi lebih lanjut dilakukan pada tahun 2022, yang berfokus pada penyesuaian standar dengan kondisi teknologi informasi terkini.

ENTERBRAIN tidak mengharapkan adanya kejutan untuk peralihan ke ISO 27001:2022 yang baru, sebaliknya: perusahaan menyambut baik revisi tersebut, karena bidang perlindungan data dan keamanan cyber khususnya akan diperkuat.

Perusahaan saat ini sedang menganalisis langkah-langkah dan persyaratan baru dan membandingkannya dengan proses dan keadaan khusus perusahaan. Evaluasi terhadap hasil sementara kemudian akan dilakukan untuk menentukan kebutuhan implementasi - terutama yang berkaitan dengan 93 kontrol dalam Lampiran A, yang beberapa di antaranya baru.

Pelajaran ISO 27001 yang dipetik di ENTERBRAIN - Kesimpulan

Penerapan sistem manajemen keamanan informasi sesuai dengan ISO 27001 telah terbukti menjadi langkah yang menentukan dalam memperkuat strategi keamanan perusahaan di ENTERBRAIN. Pengalaman yang diperoleh dengan sertifikasi ISO 27001 menggarisbawahi pentingnya pendekatan holistik yang tidak hanya mencakup langkah-langkah teknis tetapi juga organisasi.

Sertifikasi ISO 27001 tidak hanya meningkatkan infrastruktur keamanan, tetapi juga secara signifikan meningkatkan kepercayaan pelanggan dan mitranya. Karyawan menjadi lebih sadar akan pentingnya keamanan informasi, yang berujung pada budaya keamanan di seluruh perusahaan. Meskipun penerapannya disertai dengan berbagai tantangan, efek positifnya jelas lebih besar daripada efek negatifnya.

Kesimpulan dari pengalaman dengan ISO 27001 jelas: sertifikasi lebih dari sekadar sertifikat - ini adalah proses berkelanjutan yang membuat perusahaan lebih tahan terhadap ancaman dan menawarkan keunggulan kompetitif yang jelas.

Keahlian dan kepercayaan

Pandangan holistik dan netral dari auditor kami yang berpengalaman terhadap orang, proses, sistem, dan hasil menunjukkan seberapa efektif sistem manajemen keamanan informasi Anda dan bagaimana sistem tersebut diterapkan dan dikendalikan. Penting bagi kami agar Anda memandang sertifikasi sesuai dengan standar ISO bukan sebagai ujian, tetapi sebagai pengayaan untuk sistem manajemen Anda.

Audit kami memberi Anda kejelasan. Pelanggan kami melihat ini sebagai peluang. Bagi mereka, umpan balik dari auditor independen mengenai potensi peningkatan dan risiko yang mungkin terjadi sama berharganya dengan sertifikat DQS sebagai bukti kemampuan kualitas mereka. Untuk memastikan hal ini tetap terjaga, kami sangat memperhatikan integritas dan objektivitas - Anda dapat membaca lebih lanjut tentang hal ini di filosofi audit kami.

Dalam audit, kami secara khusus menanyakan "mengapa" karena kami ingin memahami alasan mengapa Anda memilih cara implementasi tertentu. Kami fokus pada potensi perbaikan dan mendorong perubahan perspektif. Dengan cara ini, Anda akan mengetahui opsi-opsi tindakan yang dapat digunakan untuk terus meningkatkan sistem manajemen Anda. Percayalah pada kata-kata kami.

Harap diperhatikan: Artikel-artikel kami ditulis secara eksklusif oleh para ahli standar kami untuk sistem manajemen dan auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan untuk penulis, silakan hubungi kami. Kami berharap dapat berbicara dengan Anda.