Lessen uit ISO 27001 - een casestudy van ENTERBRAIN Software

INHOUD

• Een ISO 27001 casestudy - ENTERBRAIN vertrouwt op certificering
• Positieve praktijkervaringen met ISO 27001
• Informatiebeveiliging als basis voor succes en vertrouwen
• Interview met Christian Körner
• Toekomstplannen en ISO 27001:2022
• ISO 27001-lessen geleerd bij ENTERBRAIN - Conclusie

Een ISO 27001 casestudy - ENTERBRAIN vertrouwt op certificering

ENTERBRAIN Software GmbH, gevestigd in Offenbach, Duitsland, is een van de toonaangevende leveranciers van fondsenwervingssoftware in Europa. De softwareoplossingen van de organisatie ondersteunen non-profitorganisaties bij het beheren van hun donaties en leden. Deze softwareoplossingen worden onder andere gebruikt om persoonlijke gegevens en betalingsgegevens te beheren. De bescherming van deze vertrouwelijke informatie en de integriteit en beschikbaarheid ervan zijn topprioriteiten voor de softwareleverancier en zijn klanten - ook met het oog op juridische aspecten.

Het beheersysteem voor informatiebeveiliging, dat sinds 2019 is gecertificeerd volgens ISO 27001, biedt hiervoor een uitgebreid praktisch kader. Het waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie - de drie beschermingsdoelen van informatiebeveiliging. Het vastgestelde managementsysteem definieert bindende processen, rollen en autorisaties en vermindert systematisch de risico's voor informatiebeveiliging, terwijl het tegelijkertijd vertrouwen creëert bij klanten en zakelijke partners.

Positieve praktijkervaringen met ISO 27001

Dankzij het actieve gebruik van het managementsysteem en de bijbehorende voortdurende analyse en evaluatie van bedreigingen is ENTERBRAIN zeer goed gepositioneerd op het gebied van informatiebeveiliging en gegevensbescherming. Er is uitgebreide documentatie van alle beschermingsobjecten in het bedrijf. Daarnaast zijn er toepasselijke richtlijnen, technische instructies en organisatorische regels gedefinieerd om gaten in de beveiliging te dichten.

De systematische aanpak zorgt voor een goede transparantie over de bedreigingen en de processen die nodig zijn om de gaten in de beveiliging te dichten. Regelmatige bewustwordingstrainingen maken alle werknemers in het bedrijf bewust van het enorme belang van informatiebeveiliging.

In de praktijk heeft het managementsysteem voor informatiebeveiliging zijn waarde al vele malen bewezen. Vooral dankzij de regelmatige training van werknemers. In 2020 werd bijvoorbeeld de verspreiding van een nieuwe versie van het Emotet*-virus in de organisatie voorkomen.

* Emotet = familie van computermalware (macrovirussen) die per e-mail worden verzonden.

Dankzij de vroege detectie van de dreiging door een servicemedewerker werd het ergste afgewend. De nieuwe virusvariant werd niet gedetecteerd door enige virusscannersoftware die op dat moment op de markt was.

Tijdens het incident ontving ENTERBRAIN een geïnfecteerde e-mail van een klant, die in eerste instantie werd geopend door de medewerker, die het incident onmiddellijk meldde. Als gevolg daarvan werd het noodteam geactiveerd en werd het incident afgehandeld in overeenstemming met de handleiding voor beveiligingsnoodsituaties van het bedrijf. Dankzij de snelle en consciëntieuze reactie van de medewerker werd de getroffen computer geïsoleerd en werd voorkomen dat het virus zich in het interne netwerk zou verspreiden. Een IT-forensisch bedrijf werd ingeschakeld om de virusvariant en het netwerk verder te onderzoeken en ondersteuning te bieden.

Informatiebeveiliging als basis voor succes en vertrouwen

Voor de fondsenwervende softwareleverancier en zijn klanten is de naleving van voorschriften een essentieel onderdeel van de bedrijfsactiviteit. Naleving van de gegevensbescherming en het conforme gedrag van alle medewerkers van het bedrijf vormen de basis voor een vertrouwensvolle samenwerking met klanten en partners. Vanwege deze vereisten is het bedrijf gecertificeerd volgens de internationaal erkende ISO 27001-norm voor alle aangeboden diensten.

Hoewel volledige certificering voor alle diensten aanzienlijk complexer is dan certificering voor één bedrijfsonderdeel, loont het hogere niveau van informatiebeveiliging voor het bedrijf. Aan de ene kant betekent dit dat het informatiebeveiligingsbeheer met al zijn voordelen voor alle bedrijfseenheden aanwezig is, en aan de andere kant geniet ENTERBRAIN een concurrentievoordeel ten opzichte van andere marktspelers die geen ISO 27001-certificering hebben.

Daarnaast wordt het onderwerp compliance over het algemeen steeds belangrijker, zodat veel organisaties ook eisen stellen aan de samenwerking met een ISO 27001-gecertificeerd bedrijf.

De verkregen transparantie biedt het bedrijf een uitstekend uitgangspunt voor procesoptimalisatie om de klanttevredenheid en efficiëntie binnen het bedrijf te verhogen. Bedrijfskritische processen en gebieden zijn ook duidelijk gedefinieerd en kunnen veiliger worden gemaakt door gerichte risicominimalisatie.

Interview met Christian Körner

Hoofd Operations bij ENTERBRAIN Software GmbH

De voordelen van een managementsysteem voor informatiebeveiliging zijn één ding. Maar voor de certificering ervan en de bijbehorende jaarlijkse toezichtsaudits zijn bedrijven afhankelijk van samenwerking met een geaccrediteerde certificeringsinstantie. In dit interview vertelt Christian Körner over zijn ervaringen met ISO 27001.

DQS: Meneer Körner, u begon in de informatiebeveiliging met een systeem dat speciaal was ontwikkeld voor het MKB. Toen u overstapte op de ISO 27001-norm, was een uitgebreide upgrade nodig - zou deze aanpak vandaag de dag nog steeds worden aanbevolen met het oog op de enorme cyberdreiging waaraan met name KMO's worden blootgesteld?

Christian Körner: ENTERBRAIN legde al in een zeer vroeg stadium grote nadruk op informatiebeveiliging en nam daarmee een pioniersrol op zich. In onze branche is informatiebeveiliging de basis voor succes en vertrouwen. In de loop van de versnelde digitale transformatie wordt het onderwerp steeds belangrijker.

Op basis van onze praktijkervaring en de toegenomen cyberdreigingen raden we nu aan om direct te beginnen met ISO 27001 certificering. Het waardevolle van het certificeringsproces is de ontdekking van eventuele beveiligingsrisico's die dankzij de verkregen transparantie kunnen worden gesloten of op zijn minst geminimaliseerd. Dit draagt aanzienlijk bij aan de informatiebeveiliging in het bedrijf.

DQS: Met ISO 27001 hebt u de basis gelegd voor een erkend managementsysteem - kunt u zich de eerste certificeringsaudit met DQS nog herinneren?

Christian Körner : Tijdens onze eerste ISO 27001-audit in 2019 was iedereen in het bedrijf behoorlijk gespannen. Hoewel we toen al ervaring hadden met de certificeringen van ons eerste beheersysteem voor informatiebeveiliging, was ISO 27001 een klasse apart.

Achteraf gezien moeten we een beetje glimlachen als we terugdenken aan de eerste ISO 27001-certificering. Aan de ene kant waren we toen al zeer goed voorbereid op de ISO-norm, aan de andere kant konden we als bedrijf alleen maar profiteren van het certificeringsproces, omdat elke afwijking ons op transparante wijze verbeterpotentieel zou hebben laten zien.

Uiteindelijk is het ons doel om de informatiebeveiliging te waarborgen en te verbeteren. Daarom zijn we altijd blij met informatie en aanbevelingen om onze processen te optimaliseren. Voor elke organisatie die nog niet gecertificeerd is, kan ik alleen dit punt aanbevelen. ISO 27001-certificering moet niet gebaseerd zijn op de wens voor een certificaat, maar op het inzicht dat informatiebeveiliging tegenwoordig enorm belangrijk is in bedrijven.

DQS: Hebt u tijdens de daaropvolgende surveillance-audits nuttige en bruikbare tips van onze auditor gekregen met betrekking tot het verbeteringspotentieel?

Christian Körner: Voor ons zijn de surveillance-audits een belangrijk onderdeel van de certificering en voortdurende optimalisering, omdat de directe uitwisseling met de auditor waardevolle informatie oplevert voor de implementatie in de praktijk, wat voor ons een grote verrijking is. Tegelijkertijd hebben we de afgelopen jaren geprofiteerd van de uitgebreide IT-kennis en het inzicht in het systeem van onze auditor. In hem hebben we een ervaren sparringpartner die de processen goed begrijpt en rekening houdt met de omvang van ons bedrijf.

DQS: Jullie hebben nu de eerste hercertificering met succes afgerond en gaan binnenkort over op de nieuwe versie, namelijk ISO/IEC 27001:2022 - hebben jullie hierover al contact met DQS?

Christian Körner: Ja, we hebben al enkele maanden contact met DQS en bereiden ons voor op de overstap. We zijn ook bezig met de coördinatie van een mogelijke uitbreiding van het "Privacy Information Management System".

DQS: Is er iets dat DQS zou kunnen verbeteren op het gebied van samenwerking?

Christian Körner: We zijn zeer tevreden over de samenwerking. Dit is grotendeels te danken aan de ervaren auditor, die ons met zijn beoordeling aanzienlijk ondersteunt bij de voortdurende verbetering van ons systeem.

DQS: Meneer Körner, bedankt voor het leuke gesprek en veel succes met de overgang naar de nieuwe ISO/IEC 27001:2022!

Toekomstplannen en ISO 27001:2022

ISO 27001 is een internationaal erkende norm voor informatiebeveiliging die in 2005 voor het eerst in het Engels werd gepubliceerd. De norm werd herzien in 2013 en was een van de eerste belangrijke ISO managementsysteemnormen die werd omgezet naar de toen nieuwe High Level Structure, waardoor hij nu veel gemakkelijker kan worden geïntegreerd in bestaande ISO managementsystemen. In 2022 werd een verdere herziening uitgevoerd, die gericht was op het aanpassen van de norm aan de laatste stand van de informatietechnologie.

ENTERBRAIN verwacht geen verrassingen voor de overgang naar de nieuwe ISO 27001:2022, integendeel: het bedrijf verwelkomt de herziening, omdat met name de gebieden gegevensbescherming en cybersecurity zullen worden versterkt.

Het bedrijf analyseert momenteel de nieuwe maatregelen en vereisten en vergelijkt deze met de bedrijfsspecifieke processen en omstandigheden. Een evaluatie van de tussentijdse resultaten zal vervolgens worden uitgevoerd om de noodzaak voor implementatie te bepalen - met name met betrekking tot de 93 controles in Bijlage A, waarvan sommige nieuw zijn.

ISO 27001-lessen geleerd bij ENTERBRAIN - Conclusie

De implementatie van een beheersysteem voor informatiebeveiliging conform ISO 27001 is een beslissende stap gebleken in het versterken van de beveiligingsstrategie van het bedrijf bij ENTERBRAIN. De ervaring die is opgedaan met de ISO 27001-certificering onderstreept het belang van een holistische aanpak die niet alleen technische maar ook organisatorische maatregelen omvat.

De ISO 27001-certificering heeft niet alleen de beveiligingsinfrastructuur verbeterd, maar ook het vertrouwen van klanten en partners aanzienlijk vergroot. Medewerkers werden zich meer bewust van het belang van informatiebeveiliging, wat leidde tot een cultuur van beveiliging in het hele bedrijf. Hoewel de implementatie gepaard ging met uitdagingen, zijn de positieve effecten duidelijk groter dan de negatieve.

De conclusie van de ervaring met ISO 27001 is duidelijk: certificering is meer dan alleen een certificaat - het is een continu proces dat het bedrijf weerbaarder maakt tegen bedreigingen en een duidelijk concurrentievoordeel biedt.

Expertise en vertrouwen

De holistische, neutrale kijk van onze ervaren auditors op mensen, processen, systemen en resultaten laat zien hoe effectief uw beheersysteem voor informatiebeveiliging is en hoe het wordt geïmplementeerd en gecontroleerd. Wij vinden het belangrijk dat u de certificering volgens de ISO-norm niet ziet als een test, maar als een verrijking van uw managementsysteem.

Onze audits verschaffen u duidelijkheid. Onze klanten zien dit als een kans. Voor hen is de feedback van de onafhankelijke auditor over verbeterpotentieel en mogelijke risico's net zo waardevol als een DQS-certificaat als bewijs van hun kwaliteitscapaciteit. Om ervoor te zorgen dat dit zo blijft, besteden we veel aandacht aan integriteit en objectiviteit - u kunt hier meer over lezen in onze auditfilosofie.

Tijdens de audit vragen we specifiek "waarom" omdat we willen begrijpen waarom u voor een bepaalde manier van implementeren hebt gekozen. We focussen op het potentieel voor verbetering en moedigen een verandering van perspectief aan. Op deze manier herkent u actiemogelijkheden waarmee u uw managementsysteem voortdurend kunt verbeteren. Geloof ons op ons woord.

Let op: Onze artikelen worden uitsluitend geschreven door onze normexperts voor managementsystemen en ervaren auditors. Als u vragen hebt voor de auteur, neem dan contact met ons op. We staan u graag te woord.