Διδάγματα από το ISO 27001 - μια μελέτη περίπτωσης του λογισμικού ENTERBRAIN

ΠΕΡΙΕΧΌΜΕΝΟ

• Μια μελέτη περίπτωσης ISO 27001 - Η ENTERBRAIN βασίζεται στην πιστοποίηση
• Θετικές πρακτικές εμπειρίες με το ISO 27001
• Η ασφάλεια των πληροφοριών ως θεμέλιο της επιτυχίας και της εμπιστοσύνης
• Συνέντευξη με τον Christian Körner
• Μελλοντικά σχέδια και ISO 27001:2022
• Διδάγματα ISO 27001 στο ENTERBRAIN - Συμπέρασμα

Μια μελέτη περίπτωσης ISO 27001 - Η ENTERBRAIN βασίζεται στην πιστοποίηση

Με έδρα το Offenbach της Γερμανίας, η ENTERBRAIN Software GmbH είναι ένας από τους κορυφαίους παρόχους λογισμικού συγκέντρωσης κεφαλαίων στην Ευρώπη. Οι λύσεις λογισμικού του οργανισμού υποστηρίζουν μη κερδοσκοπικούς οργανισμούς στη διαχείριση των δωρεών και των μελών τους.Μεταξύ άλλων, αυτές οι λύσεις λογισμικού χρησιμοποιούνται για τη διαχείριση προσωπικών δεδομένων και στοιχείων πληρωμής. Η προστασία αυτών των εμπιστευτικών πληροφοριών, καθώς και η ακεραιότητα και η διαθεσιμότητά τους αποτελούν κορυφαίες προτεραιότητες για τον πάροχο λογισμικού και τους πελάτες του - επίσης όσον αφορά τις νομικές πτυχές.

Το σύστημα διαχείρισης ασφάλειας πληροφοριών, το οποίο έχει πιστοποιηθεί σύμφωνα με το πρότυπο ISO 27001 από το 2019, παρέχει ένα ολοκληρωμένο πρακτικό πλαίσιο για αυτό. Διασφαλίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών - τους τρεις στόχους προστασίας της ασφάλειας των πληροφοριών. Το καθιερωμένο σύστημα διαχείρισης καθορίζει δεσμευτικές διαδικασίες, ρόλους και εξουσιοδοτήσεις και μειώνει συστηματικά τους κινδύνους ασφάλειας των πληροφοριών, ενώ ταυτόχρονα δημιουργεί εμπιστοσύνη με τους πελάτες και τους επιχειρηματικούς εταίρους.

Θετικές πρακτικές εμπειρίες με το ISO 27001

Χάρη στην ενεργό χρήση του συστήματος διαχείρισης και τη σχετική συνεχή ανάλυση και αξιολόγηση των απειλών, η ENTERBRAIN βρίσκεται σε πολύ καλή θέση στον τομέα της ασφάλειας πληροφοριών και της προστασίας δεδομένων. Υπάρχει πλήρης τεκμηρίωση όλων των αντικειμένων προστασίας στην εταιρεία. Επιπλέον, καθορίζονται οι ισχύουσες οδηγίες, οι τεχνικές οδηγίες και οι οργανωτικοί κανόνες για την κάλυψη των κενών ασφαλείας.

Η συστηματική προσέγγιση δημιουργεί καλή διαφάνεια σχετικά με τις απειλές και τις διαδικασίες που απαιτούνται για την κάλυψη των κενών ασφαλείας. Τα τακτικά εκπαιδευτικά σεμινάρια ευαισθητοποίησης ευαισθητοποιούν όλους τους εργαζόμενους στην εταιρεία για την τεράστια σημασία της ασφάλειας των πληροφοριών.

Στην πράξη, το σύστημα διαχείρισης για την ασφάλεια των πληροφοριών έχει ήδη αποδείξει την αξία του πολλές φορές. Ειδικά χάρη στην τακτική εκπαίδευση των εργαζομένων. Το 2020, για παράδειγμα, η εξάπλωση μιας νέας έκδοσης του ιού Emotet* αποτράπηκε στον οργανισμό.

* Emotet = οικογένεια κακόβουλου λογισμικού υπολογιστή (ιοί μακροεντολών) που αποστέλλονται μέσω ηλεκτρονικού ταχυδρομείου

Χάρη στον έγκαιρο εντοπισμό της απειλής από έναν υπάλληλο υπηρεσίας, τα χειρότερα αποφεύχθηκαν. Η νέα παραλλαγή του ιού δεν εντοπίστηκε από καμία λύση λογισμικού σαρωτή ιών που ήταν διαθέσιμη στην αγορά εκείνη την εποχή.

Κατά τη διάρκεια του περιστατικού, η ENTERBRAIN έλαβε ένα μολυσμένο email από έναν πελάτη, το οποίο άνοιξε αρχικά από τον υπάλληλο, ο οποίος ανέφερε αμέσως το περιστατικό. Ως αποτέλεσμα, η ομάδα έκτακτης ανάγκης ενεργοποιήθηκε και το περιστατικό αντιμετωπίστηκε σύμφωνα με το εγχειρίδιο έκτακτης ανάγκης ασφαλείας της εταιρείας. Χάρη στη γρήγορη και ευσυνείδητη αντίδραση του υπαλλήλου, ο προσβεβλημένος υπολογιστής απομονώθηκε και ο ιός εμποδίστηκε να εξαπλωθεί στο εσωτερικό δίκτυο. Μια εταιρεία εγκληματολογίας πληροφορικής κλήθηκε να διερευνήσει επιπλέον την παραλλαγή του ιού και το δίκτυο και να παράσχει υποστήριξη.

Η ασφάλεια των πληροφοριών ως θεμέλιο της επιτυχίας και της εμπιστοσύνης

Για τον πάροχο λογισμικού συγκέντρωσης χρημάτων και τους πελάτες του, η συμμόρφωση με τους κανονισμούς αποτελεί ουσιαστικό μέρος της επιχειρηματικής δραστηριότητας. Η συμμόρφωση με την προστασία των δεδομένων και η συμμορφούμενη συμπεριφορά όλων των εργαζομένων της εταιρείας αποτελούν τη βάση για την εμπιστοσύνη στη συνεργασία με τους πελάτες και τους συνεργάτες. Λόγω αυτών των απαιτήσεων, η εταιρεία είναι πιστοποιημένη σύμφωνα με το διεθνώς αναγνωρισμένο πρότυπο ISO 27001 για όλες τις προσφερόμενες υπηρεσίες.

Αν και η πλήρης πιστοποίηση για όλες τις υπηρεσίες είναι σημαντικά πιο περίπλοκη από την πιστοποίηση για μία μόνο επιχειρηματική μονάδα, το υψηλότερο επίπεδο ασφάλειας πληροφοριών αποδίδει για την εταιρεία. Αυτό σημαίνει αφενός ότι η διαχείριση της ασφάλειας των πληροφοριών με όλα τα οφέλη της εφαρμόζεται για όλες τις επιχειρηματικές μονάδες, και αφετέρου η ENTERBRAIN απολαμβάνει ανταγωνιστικό πλεονέκτημα έναντι άλλων παικτών της αγοράς που δεν διαθέτουν πιστοποίηση ISO 27001.

Επιπλέον, το θέμα της συμμόρφωσης κερδίζει γενικά τη σημασία του, έτσι ώστε πολλοί οργανισμοί να έχουν επίσης απαιτήσεις για συνεργασία με μια εταιρεία πιστοποιημένη κατά ISO 27001.

Η διαφάνεια που αποκτήθηκε παρέχει στην εταιρεία ένα εξαιρετικό σημείο εκκίνησης για τη βελτιστοποίηση της διαδικασίας για την αύξηση της ικανοποίησης των πελατών και της αποτελεσματικότητας εντός της εταιρείας. Οι κρίσιμες επιχειρηματικές διαδικασίες και περιοχές είναι επίσης σαφώς καθορισμένες και μπορούν να γίνουν πιο ασφαλείς μέσω στοχευμένης ελαχιστοποίησης του κινδύνου.

Συνέντευξη με τον Christian Körner
Επικεφαλής Λειτουργιών στην εταιρεία ENTERBRAIN Software GmbH

Τα οφέλη ενός συστήματος διαχείρισης ασφάλειας πληροφοριών είναι ένα πράγμα. Ωστόσο, για την πιστοποίησή τους και τους σχετικούς ετήσιους ελέγχους εποπτείας, οι εταιρείες εξαρτώνται από τη συνεργασία με διαπιστευμένο οργανισμό πιστοποίησης. Σε αυτή τη συνέντευξη, ο Christian Körner μιλά για τις εμπειρίες του με το ISO 27001.

DQS: Κύριε Körner, ξεκινήσατε στον τομέα της ασφάλειας των πληροφοριών με ένα σύστημα που αναπτύχθηκε ειδικά για τις ΜΜΕ. Όσον αφορά τη μετάβαση στο πρότυπο ISO 27001, απαιτήθηκε μια ολοκληρωμένη αναβάθμιση - θα εξακολουθούσε να συνιστάται αυτή η προσέγγιση σήμερα ενόψει της μαζικής απειλής στον κυβερνοχώρο στην οποία εκτίθενται ιδίως οι ΜΜΕ;

Christian Körner: Η ENTERBRAIN έδωσε ιδιαίτερη έμφαση στην ασφάλεια των πληροφοριών σε πολύ πρώιμο στάδιο και έτσι ανέλαβε πρωτοποριακό ρόλο. Στον κλάδο μας, η ασφάλεια των πληροφοριών είναι το θεμέλιο της επιτυχίας και της εμπιστοσύνης. Κατά τη διάρκεια του επιταχυνόμενου ψηφιακού μετασχηματισμού, το θέμα γίνεται όλο και πιο σημαντικό.

Με βάση την πρακτική μας εμπειρία και τις αυξημένες απειλές στον κυβερνοχώρο, συνιστούμε τώρα να ξεκινήσετε απευθείας με την πιστοποίηση ISO 27001. Το πολύτιμο πράγμα για τη διαδικασία πιστοποίησης είναι η ανακάλυψη τυχόν κινδύνων ασφαλείας που μπορούν να κλείσουν ή τουλάχιστον να ελαχιστοποιηθούν χάρη στη διαφάνεια που αποκτήθηκε. Αυτό συμβάλλει σημαντικά στην ασφάλεια των πληροφοριών στην εταιρεία.

DQS: Με το ISO 27001, έχετε θέσει τα θεμέλια για ένα αναγνωρισμένο σύστημα διαχείρισης - μπορείτε ακόμα να θυμηθείτε τον πρώτο έλεγχο πιστοποίησης με την DQS;

Christian Körner : Κατά τη διάρκεια του πρώτου μας ελέγχου ISO 27001 το 2019, όλοι στην εταιρεία ήταν αρκετά τεταμένοι. Παρόλο που είχαμε ήδη εμπειρία από τις πιστοποιήσεις του πρώτου μας συστήματος διαχείρισης ασφάλειας πληροφοριών εκείνη την εποχή, το ISO 27001 ήταν σε μια κατηγορία από μόνο του.

Εκ των υστέρων, πρέπει να χαμογελάσουμε λίγο όταν σκεφτόμαστε την πρώτη πιστοποίηση ISO 27001. Αφενός, ήμασταν ήδη πολύ καλά προετοιμασμένοι για το πρότυπο ISO τότε· Από την άλλη πλευρά, θα μπορούσαμε μόνο να επωφεληθούμε από τη διαδικασία πιστοποίησης ως εταιρεία, καθώς οποιαδήποτε μη συμμόρφωση θα μας έδειχνε με διαφάνεια δυνατότητες βελτίωσης.

Εξάλλου, στόχος μας είναι να διασφαλίσουμε και να αυξήσουμε την ασφάλεια των πληροφοριών. Ως εκ τούτου, χαιρετίζουμε πάντα πληροφορίες και συστάσεις για τη βελτιστοποίηση των διαδικασιών μας. Για κάθε οργανισμό που δεν έχει ακόμη πιστοποιηθεί, μπορώ μόνο να συστήσω αυτό το σημείο. Η πιστοποίηση ISO 27001 δεν πρέπει να βασίζεται στην επιθυμία για πιστοποιητικό, αλλά στην κατανόηση της τεράστιας σημασίας της ασφάλειας των πληροφοριών στις εταιρείες σήμερα.

DQS: Κατά τη διάρκεια των ελέγχων εποπτείας που ακολούθησαν, λάβατε χρήσιμες και εφαρμόσιμες συμβουλές από τον ελεγκτή μας σχετικά με τις δυνατότητες βελτίωσης;

Christian Körner:Για εμάς, οι έλεγχοι επιτήρησης αποτελούν σημαντικό μέρος της πιστοποίησης και της συνεχούς βελτιστοποίησης, καθώς η άμεση ανταλλαγή με τον ελεγκτή παρέχει πολύτιμες πληροφορίες για εφαρμογή στην πράξη, γεγονός που αποτελεί μεγάλο εμπλουτισμό για εμάς. Ταυτόχρονα, έχουμε επωφεληθεί από την ολοκληρωμένη γνώση και κατανόηση του συστήματος από τον ελεγκτή μας τα τελευταία χρόνια.Σε αυτόν, έχουμε έναν έμπειρο συνεργάτη που έχει καλή κατανόηση των διαδικασιών και ο οποίος έχει κατά νου το μέγεθος της εταιρείας μας.

DQS: Έχετε πλέον ολοκληρώσει με επιτυχία την πρώτη σας επαναπιστοποίηση και σύντομα θα μεταβείτε στη νέα έκδοση, δηλαδή το ISO/IEC 27001:2022 - είστε ήδη σε επαφή με την DQS σχετικά με αυτό;

Christian Körner: Ναι, είμαστε ήδη σε επαφή με την DQS εδώ και αρκετούς μήνες και προετοιμαζόμαστε για τη μετάβαση. Είμαστε επίσης στη διαδικασία συντονισμού μιας πιθανής επέκτασης του "Συστήματος Διαχείρισης Πληροφοριών Απορρήτου".

DQS:Υπάρχει κάτι που θα μπορούσε να βελτιώσει η DQS όσον αφορά τη συνεργασία;

Christian Körner: Είμαστε πολύ ικανοποιημένοι από τη συνεργασία. Αυτό οφείλεται σε μεγάλο βαθμό στον έμπειρο ελεγκτή, ο οποίος μας υποστηρίζει σημαντικά στη συνεχή βελτίωση του συστήματός μας με την αξιολόγησή του.

DQS: Κύριε Körner, σας ευχαριστώ για την ωραία συζήτηση και καλή τύχη με τη μετάβαση στο νέο ISO/IEC 27001:2022!

Μελλοντικά σχέδια και ISO 27001:2022

Το ISO 27001 είναι ένα διεθνώς αναγνωρισμένο πρότυπο για την ασφάλεια των πληροφοριών που δημοσιεύθηκε για πρώτη φορά στα αγγλικά το 2005. Το πρότυπο αναθεωρήθηκε το 2013 και ήταν ένα από τα πρώτα σημαντικά πρότυπα συστήματος διαχείρισης ISO που μετατράπηκε στην τότε νέα δομή υψηλού επιπέδου, η οποία τώρα καθιστά πολύ πιο εύκολη την ενσωμάτωση στα υπάρχοντα συστήματα διαχείρισης ISO. Το 2022 πραγματοποιήθηκε περαιτέρω αναθεώρηση, η οποία επικεντρώθηκε στην προσαρμογή του προτύπου στην τελευταία κατάσταση της τεχνολογίας των πληροφοριών.

Η ENTERBRAIN δεν αναμένει εκπλήξεις για τη μετάβαση στο νέο ISO 27001:2022, αντιθέτως: η εταιρεία χαιρετίζει την αναθεώρηση, καθώς θα ενισχυθούν ιδιαίτερα οι τομείς της προστασίας δεδομένων και ειδικότερα της κυβερνοασφάλειας.

Η εταιρεία αναλύει επί του παρόντος τα νέα μέτρα και απαιτήσεις και τα συγκρίνει με τις διαδικασίες και τις περιστάσεις της εταιρείας. Στη συνέχεια, θα πραγματοποιηθεί αξιολόγηση των ενδιάμεσων αποτελεσμάτων για να προσδιοριστεί η ανάγκη εφαρμογής - ιδίως όσον αφορά τους 93 ελέγχους του παραρτήματος Α, ορισμένοι από τους οποίους είναι νέοι.

Διδάγματα ISO 27001 στο ENTERBRAIN - Συμπέρασμα

Η εφαρμογή ενός συστήματος διαχείρισης ασφάλειας πληροφοριών σύμφωνα με το πρότυπο ISO 27001 έχει αποδειχθεί ότι αποτελεί ένα αποφασιστικό βήμα για την ενίσχυση της στρατηγικής ασφάλειας της εταιρείας στην ENTERBRAIN. Η εμπειρία που αποκτήθηκε με την πιστοποίηση ISO 27001 υπογραμμίζει τη σημασία μιας ολιστικής προσέγγισης που περιλαμβάνει όχι μόνο τεχνικά αλλά και οργανωτικά μέτρα.

Η πιστοποίηση ISO 27001 όχι μόνο βελτίωσε την υποδομή ασφαλείας, αλλά αύξησε σημαντικά την εμπιστοσύνη των πελατών και των συνεργατών της. Οι εργαζόμενοι συνειδητοποίησαν περισσότερο τη σημασία της ασφάλειας των πληροφοριών, γεγονός που οδήγησε σε μια κουλτούρα ασφάλειας σε ολόκληρη την εταιρεία. Αν και η εφαρμογή συνδέθηκε με προκλήσεις, τα θετικά αποτελέσματα υπερτερούν σαφώς των αρνητικών.

Το συμπέρασμα από την εμπειρία με το ISO 27001 είναι σαφές: η πιστοποίηση είναι κάτι περισσότερο από ένα απλό πιστοποιητικό - είναι μια συνεχής διαδικασία που καθιστά την εταιρεία πιο ανθεκτική στις απειλές και προσφέρει ένα σαφές ανταγωνιστικό πλεονέκτημα.

Τεχνογνωσία και εμπιστοσύνη

Η ολιστική, ουδέτερη άποψη των έμπειρων ελεγκτών μας σχετικά με τους ανθρώπους, τις διαδικασίες, τα συστήματα και τα αποτελέσματα δείχνει πόσο αποτελεσματικό είναι το σύστημα διαχείρισης ασφάλειας πληροφοριών και πώς εφαρμόζεται και ελέγχεται. Είναι σημαντικό για εμάς να αντιλαμβάνεστε την πιστοποίηση σύμφωνα με το πρότυπο ISO όχι ως δοκιμή, αλλά ως εμπλουτισμό για το σύστημα διαχείρισής σας.

Οι έλεγχοι μας σας παρέχουν σαφήνεια. Οι πελάτες μας το βλέπουν αυτό ως ευκαιρία. Για αυτούς, η ανατροφοδότηση του ανεξάρτητου ελεγκτή σχετικά με τις δυνατότητες βελτίωσης και τους πιθανούς κινδύνους είναι εξίσου πολύτιμη με ένα πιστοποιητικό DQS ως απόδειξη της ικανότητας ποιότητάς τους. Για να διασφαλίσουμε ότι αυτό θα εξακολουθήσει να ισχύει, δίνουμε ιδιαίτερη προσοχή στην ακεραιότητα και την αντικειμενικότητα - μπορείτε να διαβάσετε περισσότερα σχετικά με αυτό στη φιλοσοφία ελέγχου μας.

Στο πλαίσιο του ελέγχου, ρωτάμε συγκεκριμένα «γιατί», διότι θέλουμε να κατανοήσουμε τους λόγους για τους οποίους επιλέξατε έναν συγκεκριμένο τρόπο υλοποίησης. Εστιάζουμε στις δυνατότητες βελτίωσης και ενθαρρύνουμε την αλλαγή προοπτικής. Με αυτόν τον τρόπο, αναγνωρίζετε επιλογές δράσης με τις οποίες μπορείτε να βελτιώνετε συνεχώς το σύστημα διαχείρισής σας. Πάρτε μας στα λόγια μας.

Παρακαλώ σημειώστε: Τα άρθρα μας γράφονται αποκλειστικά από τους ειδικούς μας στα πρότυπα για συστήματα διαχείρισης και μακροχρόνιους ελεγκτές. Εάν έχετε οποιεσδήποτε ερωτήσεις για τον συγγραφέα, επικοινωνήστε μαζί μας. Ανυπομονούμε να σας μιλήσουμε.