Lekcje wyciągnięte z ISO 27001 - studium przypadku ENTERBRAIN Software

TREŚĆ

• Studium przypadku ISO 27001 - ENTERBRAIN stawia na certyfikację
• Pozytywne doświadczenia praktyczne z ISO 27001
• Bezpieczeństwo informacji jako podstawa sukcesu i zaufania
• Wywiad z Christianem Körnerem
• Plany na przyszłość i ISO 27001:2022
• Wnioski z wdrożenia ISO 27001 w ENTERBRAIN - Podsumowanie

Studium przypadku ISO 27001 - ENTERBRAIN stawia na certyfikację

ENTERBRAIN Software GmbH z siedzibą w Offenbach w Niemczech jest jednym z wiodących dostawców oprogramowania do fundraisingu w Europie. Rozwiązania programowe organizacji wspierają organizacje non-profit w zarządzaniu darowiznami i członkami. Oprogramowanie to służy między innymi do zarządzania danymi osobowymi i szczegółami płatności. Ochrona tych poufnych informacji, a także ich integralność i dostępność są priorytetami dla dostawcy oprogramowania i jego klientów - również w odniesieniu do aspektów prawnych.

System zarządzania bezpieczeństwem informacji, który od 2019 roku posiada certyfikat zgodności z normą ISO 27001, zapewnia kompleksowe praktyczne ramy w tym zakresie. Zapewnia poufność, integralność i dostępność informacji - trzy cele ochrony bezpieczeństwa informacji. Ustanowiony system zarządzania definiuje wiążące procesy, role i uprawnienia oraz systematycznie zmniejsza ryzyko związane z bezpieczeństwem informacji, jednocześnie budując zaufanie klientów i partnerów biznesowych.

Pozytywne doświadczenia praktyczne z ISO 27001

Dzięki aktywnemu stosowaniu systemu zarządzania i związanej z tym ciągłej analizie i ocenie zagrożeń, ENTERBRAIN ma bardzo dobrą pozycję w obszarze bezpieczeństwa informacji i ochrony danych. W firmie istnieje kompleksowa dokumentacja wszystkich przedmiotów ochrony. Ponadto zdefiniowano odpowiednie wytyczne, instrukcje techniczne i zasady organizacyjne w celu wyeliminowania luk w zabezpieczeniach.

Systematyczne podejście zapewnia dobrą przejrzystość w zakresie zagrożeń i procesów wymaganych do wyeliminowania luk w zabezpieczeniach. Regularne szkolenia uświadamiające uwrażliwiają wszystkich pracowników firmy na ogromne znaczenie bezpieczeństwa informacji.

W praktyce system zarządzania bezpieczeństwem informacji już wielokrotnie udowodnił swoją wartość. Zwłaszcza dzięki regularnym szkoleniom pracowników. Na przykład w 2020 r. udało się zapobiec rozprzestrzenianiu się w organizacji nowej wersji wirusa Emotet*.

* Emotet = rodzina złośliwego oprogramowania komputerowego (makrowirusów) wysyłanych pocztą elektroniczną.

Dzięki wczesnemu wykryciu zagrożenia przez pracownika serwisu udało się zapobiec najgorszemu. Nowy wariant wirusa nie został wykryty przez żaden z dostępnych wówczas na rynku skanerów antywirusowych.

Podczas incydentu ENTERBRAIN otrzymał zainfekowaną wiadomość e-mail od klienta, która została początkowo otwarta przez pracownika, który natychmiast zgłosił incydent. W rezultacie aktywowano zespół awaryjny, a incydent został rozwiązany zgodnie z instrukcją bezpieczeństwa firmy. Dzięki szybkiej i sumiennej reakcji pracownika, zainfekowany komputer został odizolowany, a wirus nie rozprzestrzenił się w sieci wewnętrznej. Wezwano firmę zajmującą się informatyką śledczą, aby dodatkowo zbadała wariant wirusa i sieć oraz zapewniła wsparcie.

Bezpieczeństwo informacji jako podstawa sukcesu i zaufania

Dla dostawcy oprogramowania do fundraisingu i jego klientów zgodność z przepisami jest istotną częścią działalności biznesowej. Zgodność z ochroną danych i zgodne z przepisami zachowanie wszystkich pracowników firmy są podstawą współpracy z klientami i partnerami opartej na zaufaniu. Ze względu na te wymagania, firma jest certyfikowana zgodnie z uznaną na całym świecie normą ISO 27001 dla wszystkich oferowanych usług.

Chociaż pełna certyfikacja dla wszystkich usług jest znacznie bardziej złożona niż certyfikacja dla pojedynczej jednostki biznesowej, wyższy poziom bezpieczeństwa informacji opłaca się firmie. Z jednej strony oznacza to, że zarządzanie bezpieczeństwem informacji ze wszystkimi jego korzyściami jest wdrożone dla wszystkich jednostek biznesowych, a z drugiej strony ENTERBRAIN cieszy się przewagą konkurencyjną nad innymi graczami rynkowymi, którzy nie posiadają certyfikatu ISO 27001.

Ponadto, temat zgodności z przepisami zyskuje na znaczeniu, więc wiele organizacji ma również wymagania dotyczące współpracy z firmą posiadającą certyfikat ISO 27001.

Uzyskana przejrzystość zapewnia firmie doskonały punkt wyjścia do optymalizacji procesów w celu zwiększenia zadowolenia klientów i wydajności w firmie. Krytyczne procesy i obszary biznesowe są również jasno zdefiniowane i mogą być bezpieczniejsze dzięki ukierunkowanej minimalizacji ryzyka.

Wywiad z Christianem Körnerem

Dyrektor operacyjny w ENTERBRAIN Software GmbH

Korzyści płynące z systemu zarządzania bezpieczeństwem informacji to jedno. Jednak w celu jego certyfikacji i związanych z tym corocznych audytów nadzoru, firmy są zależne od współpracy z akredytowaną jednostką certyfikującą. W tym wywiadzie Christian Körner opowiada o swoich doświadczeniach z ISO 27001.

DQS: Panie Körner, zaczynał Pan swoją przygodę z bezpieczeństwem informacji od systemu opracowanego specjalnie dla MŚP. Kiedy przyszło do przejścia na standard ISO 27001, konieczna była kompleksowa aktualizacja - czy takie podejście byłoby nadal zalecane w obliczu ogromnego zagrożenia cybernetycznego, na które narażone są w szczególności MŚP?

Christian Körner: ENTERBRAIN położył duży nacisk na bezpieczeństwo informacji na bardzo wczesnym etapie, a tym samym przyjął pionierską rolę. W naszej branży bezpieczeństwo informacji jest podstawą sukcesu i zaufania. W trakcie przyspieszonej transformacji cyfrowej temat ten staje się coraz ważniejszy.

Opierając się na naszym praktycznym doświadczeniu i zwiększonych zagrożeniach cybernetycznych, zalecamy teraz rozpoczęcie bezpośrednio od certyfikacji ISO 27001. Cenną rzeczą w procesie certyfik acji jest odkrycie wszelkich zagrożeń bezpieczeństwa, które można wyeliminować lub przynajmniej zminimalizować dzięki uzyskanej przejrzystości. Przyczynia się to znacząco do bezpieczeństwa informacji w firmie.

DQS: Dzięki ISO 27001 położyłeś podwaliny pod uznany system zarządzania - czy nadal pamiętasz pierwszy audyt certyfikacyjny z DQS?

Christian Körner : Podczas naszego pierwszego audytu ISO 27001 w 2019 r. wszyscy w firmie byli bardzo spięci. Chociaż mieliśmy już wtedy doświadczenie z certyfikacji naszego pierwszego systemu zarządzania bezpieczeństwem informacji, ISO 27001 było klasą samą w sobie.

Z perspektywy czasu musimy się trochę uśmiechnąć, gdy wracamy myślami do pierwszej certyfikacji ISO 27001. Z jednej strony byliśmy już wtedy bardzo dobrze przygotowani do standardu ISO; z drugiej strony mogliśmy tylko skorzystać z procesu certyfikacji jako firma, ponieważ każda niezgodność w przejrzysty sposób pokazałaby nam potencjał do poprawy.

W końcu naszym celem jest zapewnienie i zwiększenie bezpieczeństwa informacji. Dlatego zawsze chętnie przyjmujemy informacje i zalecenia dotyczące optymalizacji naszych procesów. Dla każdej organizacji, która nie jest jeszcze certyfikowana, mogę tylko polecić ten punkt. Certyfikacja ISO 27001 nie powinna opierać się na chęci uzyskania certyfikatu, ale na zrozumieniu ogromnego znaczenia bezpieczeństwa informacji w dzisiejszych firmach.

DQS: Czy podczas kolejnych audytów nadzoru otrzymałeś od naszego audytora jakieś przydatne i możliwe do podjęcia działania wskazówki dotyczące potencjału poprawy?

Christian Körner: Dla nas audyty nadzoru są ważną częścią certyfikacji i bieżącej optymalizacji, ponieważ bezpośrednia wymiana z audytorem dostarcza cennych informacji do wdrożenia w praktyce, co jest dla nas dużym wzbogaceniem. Jednocześnie skorzystaliśmy z wszechstronnej wiedzy naszego audytora w zakresie IT i zrozumienia systemu w ciągu ostatnich kilku lat. Mamy w nim doświadczonego sparingpartnera, który dobrze rozumie procesy i pamięta o wielkości naszej firmy.

DQS: Pomyślnie zakończyliście pierwszą recertyfikację i wkrótce przejdziecie na nową wersję, czyli ISO/IEC 27001:2022 - czy jesteście już w kontakcie z DQS w tej sprawie?

Christian Körner: Tak, jesteśmy już w kontakcie z DQS od kilku miesięcy i przygotowujemy się do przejścia na nową wersję. Jesteśmy również w trakcie koordynowania ewentualnego rozszerzenia "Systemu Zarządzania Informacjami o Prywatności".

DQS: Czy jest coś, co DQS mógłby poprawić w zakresie współpracy?

Christian Körner: Jesteśmy bardzo zadowoleni ze współpracy. Jest to w dużej mierze zasługa doświadczonego audytora, który swoją oceną znacząco wspiera nas w ciągłym doskonaleniu naszego systemu.

DQS: Panie Körner, dziękujemy za miłą rozmowę i życzymy powodzenia w przejściu na nową normę ISO/IEC 27001:2022!

Plany na przyszłość i ISO 27001:2022

ISO 27001 to uznawany na całym świecie standard bezpieczeństwa informacji, który został po raz pierwszy opublikowany w języku angielskim w 2005 roku. Norma została zrewidowana w 2013 roku i była jedną z pierwszych głównych norm ISO dotyczących systemów zarządzania, które zostały przekształcone w nową strukturę wysokiego poziomu, co znacznie ułatwia integrację z istniejącymi systemami zarządzania ISO. W 2022 r. przeprowadzono kolejną rewizję, która koncentrowała się na dostosowaniu standardu do najnowszego stanu technologii informatycznych.

ENTERBRAIN nie spodziewa się żadnych niespodzianek związanych z przejściem na nową normę ISO 27001:2022, wręcz przeciwnie: firma z zadowoleniem przyjmuje rewizję, ponieważ wzmocnione zostaną w szczególności obszary ochrony danych i cyberbezpieczeństwa.

Firma analizuje obecnie nowe środki i wymagania oraz porównuje je z procesami i okolicznościami specyficznymi dla firmy. Następnie przeprowadzona zostanie ocena tymczasowych wyników w celu określenia potrzeby wdrożenia - w szczególności w odniesieniu do 93 kontroli w załączniku A, z których niektóre są nowe.

Wnioski z wdrożenia ISO 27001 w ENTERBRAIN - Podsumowanie

Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 okazało się decydującym krokiem we wzmocnieniu strategii bezpieczeństwa firmy ENTERBRAIN. Doświadczenie zdobyte dzięki certyfikacji ISO 27001 podkreśla znaczenie holistycznego podejścia, które obejmuje nie tylko środki techniczne, ale także organizacyjne.

Certyfikacja ISO 27001 nie tylko poprawiła infrastrukturę bezpieczeństwa, ale także znacznie zwiększyła zaufanie klientów i partnerów. Pracownicy stali się bardziej świadomi znaczenia bezpieczeństwa informacji, co doprowadziło do powstania kultury bezpieczeństwa w całej firmie. Chociaż wdrożenie wiązało się z wyzwaniami, pozytywne efekty wyraźnie przeważają nad negatywnymi.

Wniosek z doświadczeń z ISO 27001 jest jasny: certyfikacja to coś więcej niż tylko certyfikat - to ciągły proces, który sprawia, że firma jest bardziej odporna na zagrożenia i oferuje wyraźną przewagę konkurencyjną.

Ekspertyza i zaufanie

Holistyczne, neutralne spojrzenie naszych doświadczonych audytorów na ludzi, procesy, systemy i wyniki pokazuje, jak skuteczny jest system zarządzania bezpieczeństwem informacji oraz jak jest on wdrażany i kontrolowany. Ważne jest dla nas, abyś postrzegał certyfikację zgodnie z normą ISO nie jako test, ale jako wzbogacenie swojego systemu zarządzania.

Nasze audyty zapewniają przejrzystość. Nasi klienci postrzegają to jako szansę. Dla nich informacja zwrotna od niezależnego audytora na temat potencjału poprawy i możliwych zagrożeń jest równie cenna jak certyfikat DQS jako dowód ich zdolności w zakresie jakości. Aby to zapewnić, zwracamy szczególną uwagę na uczciwość i obiektywizm - więcej informacji na ten temat można znaleźć w naszej filozofii audytu.

Podczas audytu pytamy "dlaczego", ponieważ chcemy zrozumieć powody, dla których wybrałeś konkretny sposób wdrożenia. Skupiamy się na potencjale poprawy i zachęcamy do zmiany perspektywy. W ten sposób rozpoznajesz opcje działania, dzięki którym możesz stale ulepszać swój system zarządzania. Uwierz nam na słowo.

Uwaga: Nasze artykuły są pisane wyłącznie przez naszych ekspertów ds. norm systemów zarządzania i wieloletnich audytorów. Jeśli masz jakiekolwiek pytania do autora, skontaktuj się z nami. Z niecierpliwością czekamy na kontakt.