Уроки, отримані з ISO 27001 - тематичне дослідження компанії ENTERBRAIN Software

ЗМІСТ

• Тематичне дослідження ISO 27001 - ENTERBRAIN покладається на сертифікацію
• Позитивний практичний досвід застосування ISO 27001
• Інформаційна безпека як основа успіху та довіри
• Інтерв'ю з Крістіаном Кернером
• Плани на майбутнє та ISO 27001:2022
• Уроки ISO 27001, отримані в ENTERBRAIN - Висновок

Тематичне дослідження ISO 27001 - ENTERBRAIN подається на сертифікацію

Компанія ENTERBRAIN Software GmbH, що базується в Оффенбаху, Німеччина, є одним із провідних постачальників програмного забезпечення для андрейзингу (діяльність, спрямована на залучення фінансових ресурсів для підтримки різних проектів, організацій або ініціатив) в Європі. Програмні рішення організації підтримують неприбуткові організації в управлінні пожертвами та членами. Серед інших, ці програмні рішення розроблені для управління персональними даними та платіжними реквізитами. Захист цієї конфіденційності інформації, а також її цільність і доступність є головними перевагами для постачальника програмного забезпечення та його клієнтів - також з огляду на правові аспекти.

Система управління інформаційною безпекою, сертифікована відповідно до стандарту ISO 27001  від 2019 року, забезпечує комплексну практичну основу для цього. Вона забезпечує конфіденційність, цілісність та доступність інформації - три цілі захисту інформаційної безпеки . Накладена система управління вимагає обов’язкових процесів, ролей та повторень і систематично знижує ризики інформаційної безпеки, одночасно створюючи довіру з клієнтами та діловими партнерами.

Позитивний практичний досвід застосування ISO 27001

Завдяки активному використанню  системи управління   та пов’язаному з нею безперервному аналізу та оцінці загроз, ENTERBRAIN займає дуже хороші позиції у сфері інформаційної безпеки та захисту даних. В компанії ведеться вичерпне документування всіх об'єктів захисту. На додаток до цього, для закриття прогалин у безпеці визначені відповідні керівні принципи, технічні інструкції та організаційні правила.

Системний підхід створює належну прозорість щодо загроз і процесів, залишків для усунення прогалин у безпеці. Регулярні навчальні курси з підвищення обізнаності привертають увагу всіх співробітників компанії до величезної важливості інформаційної безпеки.

На практиці система управління інформаційною безпекою вже багато разів довела свою ефективність. Особливо допомагає регулярному навчанню співробітників. Наприклад, у 2020 році в організації вдалося запобігти розширенню нової версії вірусу Emotet*.

* Emotet = сімейство комп'ютерних шкідливих програм (макровірусів), які надсилаються електронною поштою.

Завдяки ранньому виявленню загрози співробітником служби, найбільшого успіху запобігти. Ваш новий варіант вірусу не був відкритий жодним програмним рішенням для сканування вірусів, доступним на цьому сайті.

Під час інциденту ENTERBRAIN отримав заражений електронний лист від клієнта, який спочатку відкрився співробітником, який одразу завершився про інцидент. В результаті була активована аварійна команда, і інцидент був вирішений відповідно до інструкцій служби безпеки в надзвичайних ситуаціях. Завдяки швидкій та сумлінній реакції співробітника, уражений комп’ютер було ізольовано, а вірус не зміг поширитися у внутрішню мережу. Для додаткового дослідження варіанту вірусу, мережі та надання підтримки було викликано компанію ІТ-криміналістики.

Інформаційна безпека як основа успіху та довіри

Для постачальника програмного забезпечення для андрейзингу та його клієнтів дотримання нормативних вимог є невід'ємною частиною бізнес-діяльності. Дотримання вимог щодо захисту даних та законодавчої поведінки всіх співробітників компанії є основою для надійної співпраці з клієнтами та партнерами. У зв'язку з цими вимогами компанія сертифікована за міжнародним стандартом ISO 27001 для всіх пропонованих послуг.

Хоча повна сертифікація всіх послуг значно складніша, ніж сертифікація окремого бізнес-підрозділу, для компанії досягається вищий рівень інформаційної безпеки. З одного боку, це означає, що управління інформаційною безпекою з усіма його перевагами впроваджено для всіх бізнес-підрозділів, а з іншого боку, ENTERBRAIN має конкурентну перевагу перед іншими гравцями, які не мають  сертифікації ISO 27001 .

Крім того, тема комплаєнсу в цілому набуває все більшого значення, тому багато організацій також висувають вимоги до співпраці з компанією, сертифікованою за стандартом ISO 27001.

Досягнута прозорість забезпечує компанії відмінну відправну точку для оптимізації процесів із зазначенням підвищення задоволеності клієнтів і ефективності всередині компанії. Критично важливі для бізнес-процесів та області також чітко визначені, і їх можна зробити більш безпечними за рахунок цілеспрямованої мінімізації ризиків.

Інтерв'ю з Крістіаном Кернером

керівником операційного відділу в ENTERBRAIN Software GmbH

Переваги системи управління інформаційною безпекою це одна річ. Протести компаній для сертифікації та пов'язаних з нею щорічних оглядів аудиту залежать від співпраці з акредитованим органом сертифікації. У цьому інтерв'ю Крістіан Кернер розповідає про свій досвід роботи з ISO 27001.

DQS : Пане Корнер, ви почали у сфері інформаційної безпеки із системами, розробленими спеціально для малого та середнього бізнесу. Якщо справа йде до переходу на стандарт ISO 27001, потрібна комплексна модернізація – чи буде цей підхід, все ще рекомендований сьогодні з огляду на масову кіберзагрозу, яка піддається, зокрема, підприємствам малого та середнього бізнесу.

Крістіан Кернер: ENTERBRAIN приділив значну увагу інформаційній безпеці на дуже ранній стадії і, таким чином, взяв на себе роль першопроходця. У нашій галузі інформаційна безпека є основою успіху та довіри. У процесі прискореної цифрової трансформації ця тема набуває все більшого значення.

Виходячи з нашого практичного досвіду та зростаючих кіберзагроз, ми рекомендуємо починати разом із сертифікацією за стандартом ISO 27001. Цінність   процесу сертифікації   призвела до встановлення будь-яких ризиків для безпеки, які можна закрити або максимально мінімізувати за допомогою досягнутої прозорості. Це робить значний внесок в інформаційну безпеку компанії.

DQS : З ISO 27001 ви заклали основу для визнання системи управління - чи пам'ятаєте ви ще перший сертифікаційний аудит з DQS?

Крістіан Кернер : Під час нашого першого   аудиту   ISO 27001 у 2019 році всі компанії були досить напружені. Хоча на той час ми вже мали досвід сертифікації нашої першої системи управління інформаційною безпекою, ISO 27001 був у вашому класі.

Озираючись назад, ми повинні трохи посміхнутися, коли згадуємо першу сертифікацію ISO 27001. З одного боку, ми вже тоді були дуже добре підготовлені до стандарту ISO; з іншого боку, ми могли тільки грати від процесу сертифікації як компанія, оскільки будь-яка невідповідність прозоро показала нам потенціал для вдосконалення.

Зрештою, нашою послугою є забезпечення та підвищення рівня інформаційної безпеки. Тому ми завжди раді інформації та рекомендаціям щодо оптимізації наших процесів. Для будь-якої організації, яка ще не сертифікована, я можу лише рекомендувати цей пункт. Сертифікація ISO 27001 повинна бути обґрунтована не на бажаних сертифікатах, а на розумінні величезної важливості інформаційної безпеки в компаніях сьогодні.

DQS : Під час наступних наглядових аудитів, чи отримали ви якісь корисні та дієві поради від наших аудиторів щодо потенціалу для покращення?

Крістіан Кернер: Для нас наглядові є важливою частиною сертифікації та постійної оптимізації, а потім безпосередній обмін з аудиторами дає цінну інформацію для впровадження аудиту на практиці, що є для нас великими збагаченнями. У той же час ми отримали вихід від усіх аудиторів в галузі ІТ та системи розуміння за останні кілька років. У ньому ми маємо досвідченого спаринг-партнера, який добре розробляє процеси та враховує розмір нашої компанії.

DQS : Ви успішно1 пройшли першу повторну сертифікацію і незабаром перейшли на нову версію, відповідно до   ISO/IEC 2700:2022   - ви вже зв'язуєтеся з DQS за цим приводом?

Крістіан Кернер: Так, ми вже кілька місяців контактуємо з DQS і готуємося до переходу на нову версію. Ми також переходимо в процес узгодження можливого розширення "Системи управління інформацією про конфіденційність" (Privacy Information Management System).

DQS: Чи є щось, що DQS може покращити з точки зору співпраці?

Крістіан Кернер: Ми дуже задоволені співпрацею. Це значною мірою завдяки досвідченим аудиторам, які вашою оцінкою суттєво підтримують нас у постійному вдосконаленні нашої системи.

DQS: Пан Корнер, дякуємо за приємну розмову і бажаємо успіхів при переході на новий стандарт ISO/IEC 27001:2022!

Плани на майбутнє та ISO 27001:2022

ISO 27001 - це міжнародно визнаний стандарт інформаційної безпеки, який вперше був опублікований англійською мовою в 2005 році. Стандарт було переглянуто у 2013 році і він став одним із перших основних стандартів системи менеджменту ISO, який був переведений на нову на той час структуру високого рівня (High Level Structure), що тепер значно полегшує його інтеграцію в існуючі системи менеджменту ISO. Додатковий перегляд був проведений у 2022 році, який був зосереджений на адаптації стандарту до найсучаснішого стану інформаційних технологій.

ENTERBRAIN не очікує жодних сюрпризів від переходу на новий ISO 27001:2022, натомість: компанія вітає перегляд, сферу захисту даних та кібербезпеки які зокрема посилені.

Наразі компанія аналізує нові заходи та вимоги та порівнює їх зі специфічними для компанії процесами та ресурсами. Потім буде проведена оцінка проміжних результатів, щоб застосувати потребу імплементації - особливо щодо 93 контролів у Додатку А, деякі з яких є новими.

Уроки ISO 27001, отримані в ENTERBRAIN - Висновок

Впровадження системи управління інформаційною безпекою відповідно до стандарту ISO 27001 стало вирішальним кроком у зміцненні стратегії безпеки компанії ENTERBRAIN. Досвід, отриманий під час сертифікації за стандартом ISO 27001, підкреслює важливість комплексного підходу, який включає не тільки технічні, а й організаційні заходи.

Сертифікація  ISO 27001 не лише покращила безпеку інфраструктури, але значно підвищила довіру клієнтів та партнерів. Співробітники стали краще розуміти важливість інформаційної безпеки, що призвело до формування культури безпеки в усіх компаніях. Хоча впровадження було пов'язане з певними труднощами, позитивні ефекти явно переважають негативні.

Висновок з досвіду роботи з ISO 27001 очевидний: сертифікація - це більше, ніж просто сертифікат - це безперервний процес, який робить компанію більш стійкою до загроз і пропонує явну конкурентну перевагу.

Експертиза та довіра

Цілісний, нейтральний погляд досвідчених аудиторів на людей, процеси, системи та результати показує, наскільки ефективною є ваша система управління інформаційною безпекою, як вона впроваджена та контролюється. Для нас важливо, щоб ви сприймали  сертифікацію  відповідно до стандарту ISO не як перевірку, а як збагачення вашої системи управління.

Наші  аудити  дають вам ясність. Наші клієнти бачать це як можливість. Для них відгуки незалежних аудиторів щодо потенціалу вдосконалення та можливих ризиків так само, як і сертифікат DQS, як доказ їхньої здатності забезпечувати якість. Щоб гарантувати, що це подовжиться й далі, ми приділяємо особливу увагу чесності та об’єктивності – ви можете прочитати більше про це в нашій  філософії аудиту . 

Під час аудиту ми спеціально запитуємо "чому", тому що ми хочемо зрозуміти причини, чому ви обрали той чи інший шлях впровадження. Ми зосереджуємося на потенціалі для вдосконалення і заохочуємо зміну точки зору. Таким чином, ви визнаєте варіанти дій, за допомогою яких ви можете постійно вдосконалювати свою систему менеджменту. Повірте нам на слово.

Зверніть увагу: наші статті написані виключно нашими експертами зі стандартизації систем менеджменту та аудиторами з багаторічним стажем. Якщо у вас є запитання до автора, будь ласка, зв'яжіться з нами. Ми будемо раді поспілкуватися з вами.