Lições aprendidas com a ISO 27001 - um estudo de caso da ENTERBRAIN Software

CONTEÚDO

• Um caso de estudo ISO 27001 - A ENTERBRAIN confia na certificação
• Experiências práticas positivas com a ISO 27001
• A segurança da informação como base para o sucesso e a confiança
• Entrevista com Christian Körner
• Planos futuros e ISO 27001:2022
• Lições ISO 27001 aprendidas na ENTERBRAIN - Conclusão

Um estudo de caso ISO 27001 - A ENTERBRAIN confia na certificação

Com sede em Offenbach, Alemanha, a ENTERBRAIN Software GmbH é um dos principais fornecedores de software de angariação de fundos na Europa. As soluções de software da organização apoiam organizações sem fins lucrativos na gestão dos seus donativos e membros. Entre outras coisas, estas soluções de software são utilizadas para gerir dados pessoais e detalhes de pagamento. A proteção destas informações confidenciais, bem como a sua integridade e disponibilidade, são as principais prioridades do fornecedor de software e dos seus clientes - também no que diz respeito aos aspectos legais.

O sistema de gestão da segurança da informação, certificado em conformidade com a norma ISO 27001 desde 2019, proporciona um quadro prático abrangente para o efeito. Garante a confidencialidade, a integridade e a disponibilidade da informação - os três objectivos de proteção da segurança da informação. O sistema de gestão estabelecido define processos, funções e autorizações vinculativos e reduz sistematicamente os riscos de segurança da informação, criando ao mesmo tempo confiança com clientes e parceiros de negócios.

Experiências práticas positivas com a norma ISO 27001

Graças à utilização ativa do sistema de gestão e à análise e avaliação contínua das ameaças associadas, a ENTERBRAIN está muito bem posicionada na área da segurança da informação e proteção de dados. Existe uma documentação abrangente de todos os objectos de proteção na empresa. Além disso, são definidas directrizes aplicáveis, instruções técnicas e regras organizacionais para colmatar as lacunas de segurança.

A abordagem sistemática cria uma boa transparência sobre as ameaças e os processos necessários para colmatar as lacunas de segurança. Cursos regulares de formação sensibilizam todos os colaboradores da empresa para a enorme importância da segurança da informação.

Na prática, o sistema de gestão da segurança da informação já provou muitas vezes o seu valor. Especialmente graças à formação regular dos colaboradores. Em 2020, por exemplo, foi evitada a propagação de uma nova versão do vírus Emotet* na organização.

* Emotet = família de malware informático (vírus de macro) que são enviados por correio eletrónico

Graças à deteção precoce da ameaça por um funcionário do serviço, o pior foi evitado. A nova variante do vírus não foi detectada por nenhuma solução de software antivírus disponível no mercado na época.

Durante o incidente, a ENTERBRAIN recebeu um e-mail infetado de um cliente, que foi inicialmente aberto pelo funcionário, que comunicou o incidente imediatamente. Como resultado, a equipa de emergência foi activada e o incidente foi tratado de acordo com o manual de emergência de segurança da empresa. Graças à reação rápida e conscienciosa do funcionário, o computador afetado foi isolado e o vírus foi impedido de se propagar na rede interna. Foi chamada uma empresa forense de TI para investigar adicionalmente a variante do vírus e a rede e prestar apoio.

A segurança da informação como base para o sucesso e a confiança

Para o fornecedor de software de angariação de fundos e para os seus clientes, a conformidade com os regulamentos é uma parte essencial da atividade empresarial. A conformidade com a proteção de dados e o comportamento compatível de todos os funcionários da empresa são a base para uma cooperação de confiança com clientes e parceiros. Devido a estes requisitos, a empresa está certificada de acordo com a norma ISO 27001, reconhecida internacionalmente, para todos os serviços oferecidos.

Embora a certificação completa para todos os serviços seja significativamente mais complexa do que a certificação para uma única unidade de negócio, o nível mais elevado de segurança da informação compensa para a empresa. Por um lado, isto significa que a gestão da segurança da informação, com todos os seus benefícios, está implementada em todas as unidades empresariais e, por outro lado, a ENTERBRAIN goza de uma vantagem competitiva em relação a outros intervenientes no mercado que não possuem a certificação ISO 27001.

Além disso, o tópico da conformidade está a ganhar importância, pelo que muitas organizações também têm requisitos para a cooperação com uma empresa certificada pela ISO 27001.

A transparência obtida proporciona à empresa um excelente ponto de partida para a otimização de processos, com vista a aumentar a satisfação do cliente e a eficiência da empresa. Os processos e áreas críticos para o negócio são também claramente definidos e podem ser tornados mais seguros através de uma minimização de riscos direccionada.

Entrevista com Christian Körner

Diretor de Operações da ENTERBRAIN Software GmbH

Os benefícios de um sistema de gestão de segurança da informação são uma coisa. No entanto, para a sua certificação e as auditorias de controlo anuais associadas, as empresas dependem da cooperação com um organismo de certificação acreditado. Nesta entrevista, Christian Körner fala sobre as suas experiências com a ISO 27001.

DQS: Sr. Körner, começou a sua atividade no domínio da segurança da informação com um sistema desenvolvido especificamente para as PME. Quando chegou a altura de mudar para a norma ISO 27001, foi necessária uma atualização abrangente - esta abordagem ainda seria recomendada hoje em dia, tendo em conta a enorme ameaça cibernética a que as PME, em particular, estão expostas?

Christian Körner: A ENTERBRAIN colocou uma grande ênfase na segurança da informação numa fase muito precoce e assumiu assim um papel pioneiro. No nosso sector, a segurança da informação é a base do sucesso e da confiança. No decurso da transformação digital acelerada, o tema está a tornar-se cada vez mais importante.

Com base na nossa experiência prática e no aumento das ameaças cibernéticas, recomendamos agora que se comece diretamente com a certificação ISO 27001. O mais importante no processo de certificação é a descoberta de quaisquer riscos de segurança que possam ser eliminados ou, pelo menos, minimizados graças à transparência obtida. Isto contribui significativamente para a segurança da informação na empresa.

DQS: Com a ISO 27001, lançaram as bases para um sistema de gestão reconhecido - ainda se lembram da primeira auditoria de certificação com a DQS?

Christian Körner : Durante nossa primeira auditoria ISO 27001 em 2019, todos na empresa estavam bastante tensos. Embora já tivéssemos experiência com as certificações do nosso primeiro sistema de gestão da segurança da informação na altura, a ISO 27001 estava numa classe própria.

Em retrospetiva, temos de sorrir um pouco quando pensamos na primeira certificação ISO 27001. Por um lado, já estávamos muito bem preparados para a norma ISO nessa altura; por outro lado, só podíamos beneficiar do processo de certificação enquanto empresa, uma vez que qualquer não conformidade nos teria mostrado de forma transparente o potencial de melhoria.

Afinal de contas, o nosso objetivo é garantir e aumentar a segurança da informação. Por isso, recebemos sempre com agrado informações e recomendações para otimizar os nossos processos. Para qualquer organização que ainda não esteja certificada, só posso recomendar este ponto. A certificação ISO 27001 não deve ser baseada no desejo de obter um certificado, mas na compreensão da enorme importância da segurança da informação nas empresas atualmente.

DQS: Durante as auditorias de acompanhamento subsequentes, receberam algumas sugestões úteis e accionáveis do nosso auditor relativamente ao potencial de melhoria?

Christian Körner: Para nós, as auditorias de acompanhamento são uma parte importante da certificação e da otimização contínua, uma vez que o intercâmbio direto com o auditor fornece informações valiosas para a implementação na prática, o que é um grande enriquecimento para nós. Ao mesmo tempo, beneficiámos do conhecimento abrangente de TI e da compreensão do sistema por parte do nosso auditor ao longo dos últimos anos. Com ele, temos um parceiro de treino experiente, que compreende bem os processos e que tem em conta a dimensão da nossa empresa.

DQS: Concluíram agora com êxito a vossa primeira recertificação e em breve irão mudar para a nova versão, ou seja, a ISO/IEC 27001:2022 - já estão em contacto com a DQS sobre este assunto?

Christian Körner: Sim, já estamos em contacto com a DQS há vários meses e estamos a preparar-nos para a mudança. Estamos também a coordenar uma possível extensão do "Sistema de Gestão da Informação sobre Privacidade".

DQS: Há alguma coisa que a DQS pudesse melhorar em termos de cooperação?

Christian Körner: Estamos muito satisfeitos com a cooperação. Isto deve-se em grande parte ao auditor experiente, que nos apoia significativamente na melhoria contínua do nosso sistema com a sua avaliação.

DQS: Sr. Körner, obrigado pela agradável conversa e boa sorte com a transição para a nova ISO/IEC 27001:2022!

Planos futuros e a ISO 27001:2022

A ISO 27001 é uma norma internacionalmente reconhecida para a segurança da informação que foi publicada pela primeira vez em inglês em 2005. A norma foi revista em 2013 e foi uma das primeiras grandes normas de sistemas de gestão ISO a ser convertida para a então nova estrutura de alto nível, o que facilita muito a sua integração nos sistemas de gestão ISO existentes. Uma nova revisão foi realizada em 2022, que se concentrou em adaptar a norma ao estado mais recente da tecnologia da informação.

A ENTERBRAIN não espera quaisquer surpresas para a mudança para a nova ISO 27001:2022, pelo contrário: a empresa congratula-se com a revisão, uma vez que as áreas de proteção de dados e segurança cibernética em particular serão reforçadas.

A empresa está atualmente a analisar as novas medidas e requisitos e a compará-los com os processos e circunstâncias específicos da empresa. Em seguida, será efectuada uma avaliação dos resultados intercalares para determinar a necessidade de implementação - especialmente no que diz respeito aos 93 controlos do Anexo A, alguns dos quais são novos.

Lições da ISO 27001 aprendidas na ENTERBRAIN - Conclusão

A implementação de um sistema de gestão da segurança da informação em conformidade com a norma ISO 27001 provou ser um passo decisivo no reforço da estratégia de segurança da empresa ENTERBRAIN. A experiência adquirida com a certificação ISO 27001 sublinha a importância de uma abordagem holística que inclui não só medidas técnicas mas também organizacionais.

A certificação ISO 27001 não só melhorou a infraestrutura de segurança, como também aumentou significativamente a confiança dos seus clientes e parceiros. Os funcionários ficaram mais conscientes da importância da segurança da informação, o que levou a uma cultura de segurança em toda a empresa. Embora a implementação tenha sido associada a desafios, os efeitos positivos superam claramente os negativos.

A conclusão da experiência com a ISO 27001 é clara: a certificação é mais do que um simples certificado - é um processo contínuo que torna a empresa mais resistente às ameaças e oferece uma clara vantagem competitiva.

Experiência e confiança

A visão holística e neutra dos nossos auditores experientes sobre pessoas, processos, sistemas e resultados mostra a eficácia do seu sistema de gestão da segurança da informação e a forma como é implementado e controlado. Para nós, é importante que a certificação em conformidade com a norma ISO seja encarada não como um teste, mas como um enriquecimento do seu sistema de gestão.

As nossas auditorias proporcionam-lhe clareza. Os nossos clientes vêem isto como uma oportunidade. Para eles, o feedback do auditor independente sobre o potencial de melhoria e os possíveis riscos é tão valioso como um certificado DQS como prova da sua capacidade de qualidade. Para garantir que isto se mantém, prestamos uma atenção rigorosa à integridade e objetividade - pode ler mais sobre isto na nossa filosofia de auditoria.

Na auditoria, perguntamos especificamente "porquê", porque queremos compreender as razões pelas quais escolheu uma determinada forma de implementação. Concentramo-nos no potencial de melhoria e incentivamos uma mudança de perspetiva. Desta forma, reconhece opções de ação com as quais pode melhorar continuamente o seu sistema de gestão. Acredite na nossa palavra.

Nota: Os nossos artigos são escritos exclusivamente pelos nossos especialistas em normas para sistemas de gestão e auditores de longa data. Se tiver alguma questão para o autor, contacte-nos. Estamos ansiosos por falar consigo.