Lições aprendidas com a ISO 27001 – um estudo de caso da ENTERBRAIN Software

CONTENTE

• Um estudo de caso da ISO 27001 – ENTERBRAIN depende de certificação
• Experiências práticas positivas com a ISO 27001
• Segurança da informação como base para o sucesso e a confiança
• Entrevista com Christian Körner
• Planos futuros e ISO 27001:2022
• Lições da ISO 27001 aprendidas na ENTERBRAIN - Conclusão

Um estudo de caso da ISO 27001 – ENTERBRAIN depende de certificação

Com sede em Offenbach, Alemanha, a ENTERBRAIN Software GmbH é um dos principais fornecedores de software de captação de recursos na Europa. As soluções de software da organização apoiam organizações sem fins lucrativos na gestão de suas doações e membros. Entre outras coisas, estas soluções de software são utilizadas para gerir dados pessoais e detalhes de pagamento. A proteção destas informações confidenciais, bem como a sua integridade e disponibilidade são prioridades máximas para o fornecedor de software e seus clientes - também no que diz respeito aos aspectos legais.

O sistema de gestão de segurança da informação, que foi certificado de acordo com ISO 27001 desde 2019, fornece um quadro prático abrangente para isso. Garante a confidencialidade, integridade e disponibilidade das informações - os três objetivos de proteção da segurança da informação. O sistema de gestão estabelecido define processos, funções e autorizações vinculativas e reduz sistematicamente os riscos de segurança da informação, ao mesmo tempo que cria confiança com clientes e parceiros de negócios.

Experiências práticas positivas com a ISO 27001

Graças ao uso ativo do Sistema de gestão e a análise e avaliação contínua de ameaças associadas, a ENTERBRAIN está muito bem posicionada na área de segurança da informação e proteção de dados. Existe documentação abrangente de todos os objetos de proteção da empresa. Além disso, são definidas diretrizes aplicáveis, instruções técnicas e regras organizacionais para colmatar lacunas de segurança.

A abordagem sistemática cria uma boa transparência sobre as ameaças e os processos necessários para fechar as lacunas de segurança. Cursos regulares de conscientização sensibilizam todos os colaboradores da empresa para a enorme importância da segurança da informação.

Na prática, o sistema de gestão da segurança da informação já provou inúmeras vezes o seu valor. Especialmente graças ao treinamento regular dos funcionários. Em 2020, por exemplo, foi evitada a propagação de uma nova versão do vírus Emotet* na organização.

* Emotet = família de malware de computador (vírus de macro) enviado por e-mail

Graças à detecção precoce da ameaça por um funcionário do serviço, o pior foi evitado. A nova variante do vírus não foi detectada por nenhuma solução de software antivírus disponível no mercado na época.

Durante o incidente, a ENTERBRAIN recebeu um e-mail infectado de um cliente, que foi inicialmente aberto pelo funcionário, que relatou o incidente imediatamente. Com isso, a equipe de emergência foi acionada e o incidente foi tratado de acordo com o manual de emergência de segurança da empresa. Graças à reação rápida e consciente do funcionário, o computador afetado foi isolado e o vírus foi impedido de se espalhar na rede interna. Uma empresa forense de TI foi chamada para investigar adicionalmente a variante do vírus e a rede e fornecer suporte.

Segurança da informação como base para o sucesso e a confiança

Para o fornecedor de software de captação de recursos e seus clientes, a conformidade com os regulamentos é uma parte essencial da atividade empresarial. O cumprimento da proteção de dados e o comportamento conforme de todos os funcionários da empresa são a base para uma cooperação confiável com clientes e parceiros. Devido a esses requisitos, a empresa é certificada de acordo com a norma ISO 27001, reconhecida internacionalmente, para todos os serviços oferecidos.

Embora a certificação completa para todos os serviços seja significativamente mais complexa do que a certificação para uma única unidade de negócios, o nível mais elevado de segurança da informação compensa para a empresa. Por um lado, isso significa que a gestão da segurança da informação com todos os seus benefícios está em vigor para todas as unidades de negócios e, por outro lado, a ENTERBRAIN desfruta de uma vantagem competitiva sobre outros players do mercado que não possuem Certificação ISO 27001 .

Além disso, o tema da conformidade está geralmente a ganhar importância, de modo que muitas organizações também têm requisitos para cooperação com uma empresa certificada pela ISO 27001.

A transparência conquistada proporciona à empresa um excelente ponto de partida para a otimização de processos para aumentar a satisfação do cliente e a eficiência dentro da empresa. Os processos e áreas críticas para o negócio também são claramente definidos e podem ser tornados mais seguros através da minimização de riscos direcionada.

Entrevista com Christian Körner

Chefe de Operações na ENTERBRAIN Software GmbH

Os benefícios de um sistema de gestão de segurança da informação são uma coisa. No entanto, para a sua certificação e para as auditorias de manutenção anuais associadas, as empresas dependem da cooperação com um organismo de certificação acreditado. Nesta entrevista, Christian Körner fala sobre suas experiências com a ISO 27001.

DQS: Sr. Körner, você começou na segurança da informação com um sistema desenvolvido especificamente para PMEs. Quando se tratou de mudar para a norma ISO 27001, foi necessária uma atualização abrangente - será que esta abordagem ainda seria recomendada hoje, tendo em conta a enorme ameaça cibernética a que as PME, em particular, estão expostas?

Christian Körner: A ENTERBRAIN colocou grande foco na segurança da informação desde muito cedo e assim assumiu um papel pioneiro. Em nosso setor, a segurança da informação é a base para o sucesso e a confiança. No decorrer da acelerada transformação digital, o tema ganha cada vez mais importância.

Com base na nossa experiência prática e no aumento das ameaças cibernéticas, recomendamos agora começar diretamente com a certificação ISO 27001. O que há de valioso no processo de certificação é a descoberta de quaisquer riscos de segurança que possam ser eliminados ou pelo menos minimizados graças à transparência conquistada. Isso contribui significativamente para a segurança da informação na empresa.

DQS: Com a ISO 27001, você lançou as bases para um sistema de gestão reconhecido - você ainda se lembra da primeira auditoria de certificação com DQS?

Christian Körner: Durante nosso primeiro ISO 27001 auditoria em 2019, todos na empresa estavam bastante tensos. Embora já tivéssemos experiência com as certificações do nosso primeiro sistema de gestão de segurança da informação na época, a ISO 27001 era uma classe à parte.

Olhando para trás, temos que sorrir um pouco quando pensamos na primeira certificação ISO 27001. Por um lado, já estávamos muito bem preparados para a norma ISO naquela época; por outro lado, só poderíamos nos beneficiar do processo de certificação como empresa, pois qualquer não conformidade nos mostraria de forma transparente o potencial de melhoria.

Afinal, nosso objetivo é garantir e aumentar a segurança da informação. Por isso, acolhemos sempre com satisfação informações e recomendações para otimizar os nossos processos. Para qualquer organização que ainda não esteja certificada, só posso recomendar este ponto. A certificação ISO 27001 não deve ser baseada no desejo de um certificado, mas sim na compreensão da enorme importância da segurança da informação nas empresas hoje.

DQS: Durante as auditorias de supervisão subsequentes, você recebeu alguma dica útil e prática do nosso auditor sobre o potencial de melhoria?

Christian Körner: Para nós, as auditorias de acompanhamento são uma parte importante da certificação e da otimização contínua, pois a troca direta com o auditor fornece informações valiosas para implementação na prática, o que é um grande enriquecimento para nós. Ao mesmo tempo, beneficiámos do conhecimento abrangente de TI e da compreensão do sistema por parte do nosso auditor ao longo dos últimos anos. Nele temos um sparring experiente, que entende bem dos processos e que leva em conta o tamanho da nossa empresa.

DQS: você concluiu com êxito sua primeira recertificação e em breve mudará para a nova versão, ou seja, ISO/IEC 27001:2022 - você já está em contato com a DQS sobre isso?

Christian Körner: Sim, já estamos em contato com a DQS há vários meses e estamos nos preparando para a mudança. Estamos também no processo de coordenação de uma possível extensão do “Sistema de Gestão de Informações de Privacidade”.

DQS: Há algo que a DQS poderia melhorar em termos de cooperação?

Christian Körner: Estamos muito satisfeitos com a cooperação. Isto deve-se em grande parte ao auditor experiente, que nos apoia significativamente na melhoria contínua do nosso sistema com a sua avaliação.

DQS: Sr. Körner, obrigado pela boa conversa e boa sorte com a transição para a nova ISO/IEC 27001:2022!

Planos futuros e ISO 27001:2022

ISO 27001 é um padrão internacionalmente reconhecido para segurança da informação que foi publicado pela primeira vez em inglês em 2005. a Norma foi revisado em 2013 e foi um dos primeiros grandes padrões de sistema de gestão ISO a ser convertido para o então novo Estrutura de alto nível, o que agora torna muito mais fácil a integração nos sistemas de gestão ISO existentes. Uma nova revisão foi realizada em 2022, com foco na adaptação da norma ao mais recente estado da tecnologia da informação.

A ENTERBRAIN não espera surpresas na mudança para o nova ISO 27001:2022 , pelo contrário: a empresa saúda a revisão, uma vez que as áreas da proteção de dados e da segurança cibernética em particular serão reforçadas.

A empresa está atualmente analisando as novas medidas e requisitos e comparando-os com os processos e circunstâncias específicos da empresa. Será então realizada uma avaliação dos resultados provisórios para determinar a necessidade de implementação - particularmente no que diz respeito aos 93 controles do Anexo A, alguns dos quais são novos.

Lições da ISO 27001 aprendidas na ENTERBRAIN - Conclusão

A implementação de um sistema de gestão de segurança da informação de acordo com a ISO 27001 revelou-se um passo decisivo no fortalecimento da estratégia de segurança da empresa na ENTERBRAIN. A experiência adquirida com a certificação ISO 27001 sublinha a importância de uma abordagem holística que inclua não apenas medidas técnicas, mas também organizacionais.

A Certificação ISO 27001 não só melhorou a infra-estrutura de segurança, mas também aumentou significativamente a confiança dos seus clientes e parceiros. Os colaboradores ficaram mais conscientes da importância da segurança da informação, o que levou a uma cultura de segurança em toda a empresa. Embora a implementação tenha estado associada a desafios, os efeitos positivos superam claramente os negativos.

A conclusão da experiência com a ISO 27001 é clara: a certificação é mais do que apenas um certificado – é um processo contínuo que torna a empresa mais resiliente às ameaças e oferece uma clara vantagem competitiva.

Experiência e confiança

A visão abrangente e neutra da nossa experiência auditores sobre pessoas, processos, sistemas e resultados mostra quão eficaz é o seu sistema de gestão de segurança da informação e como ele é implementado e controlado. É importante para nós que você perceba a certificação de acordo com a norma ISO não como um teste, mas como um enriquecimento para o seu sistema de gestão.

Nossas auditorias lhe fornecem clareza. Nossos clientes veem isso como uma oportunidade. Para eles, o feedback do auditor independente sobre o potencial de melhoria e possíveis riscos é tão valioso quanto um certificado da DQS como prova da sua capacidade de qualidade. Para garantir que assim seja, prestamos muita atenção à integridade e à objetividade - você pode ler mais sobre isso em nossa filosofia de auditoria.

Na auditoria, perguntamos especificamente “porquê”, porque queremos compreender as razões pelas quais você escolheu uma forma específica de implementação. Nós nos concentramos no potencial de melhoria e incentivamos uma mudança de perspectiva. Desta forma, você reconhece opções de ação com as quais pode melhorar continuamente o seu sistema de gestão. Confie na DQS.

Observe: Nossos artigos são escritos exclusivamente por nossos especialistas em normas para sistemas de gestão e auditores de longa data. Se você tiver alguma dúvida para o autor, por favor contate-nos. Estamos ansiosos para falar com você.