datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Yritysten tietoturva: Tapaustutkimus Mubea-konsernista

André Saeckel

DQS Standard Expert for Information Security
jouluk. 06 , 2022
# Tietoturva organisaatiossa

Nykyään vankka tietoturva tuo yrityksille paljon enemmän etuja kuin pelkkä teknisen infrastruktuurin turvaaminen. Kokonaiset liiketoimintaprosessit riippuvat nyt merkittävästi siitä - olipa kyse sitten arkaluonteisten tietojen turvallisesta käsittelystä tai niiden lainmukaisesta käsittelystä. Siksi termi kattaa nykyään koko tietovirran suojaamisen. Autoteollisuuden toimittaja Mubea onnistui standardoimaan tietoturvan kymmenessä Euroopan maassa ISO 27001 -standardin mukaisella DQS-sertifioinnillaan ja sijoittui näin hyvin kilpailijoihin nähden. Mahdolliset tietotekniikkariskit ja luottamuksellisten tietojen käsittelyä tutkittiin ja sitä parannettiin ja kehitettiin jatkuvasti.

SISÄLTÖ

Kymmenen maan tietoturva tuo kilpailuetua

Globalisaatio asettaa monille yrityksille valtavia haasteita tietoturvan suhteen. Infrastruktuuri ja lainsäädännölliset määräykset eroavat joissakin tapauksissa valtavasti yksittäisissä maissa. Maailmanlaajuisesti toimivien yritysten on kuitenkin pakko paljastaa haavoittuvuudet kaikkialla ja ottaa käyttöön sopivia suojatoimenpiteitä. Tämä johtuu siitä, että liiketoimintaprosessien digitalisointi yli kansallisten rajojen edellyttää kaikilta osapuolilta vertailukelpoista tietoturvatasoa, joka on taattava koko arvoketjussa.

Myös autoteollisuudessa suojausta vaativien tietojen ja informaation turvallisuus on yhä tärkeämpää, kun kyse on kansainvälisestä yhteistyöstä eri toimipaikkojen, tytäryhtiöiden tai palveluntarjoajien välillä. Autoteollisuuden alihankkija Mubea kohtasi suuren esteen halutessaan nostaa tietoturvan tason samalle tasolle kymmenessä maassa, joissa on yhteensä 20 tytäryhtiötä.

Yritysten tietoturva - Etu, johon asiakkaat kiinnittävät huomiota

Vuosia sitten korin, alustan ja voimansiirron kevytrakenteisiin erikoistunut yritys alkoi kiinnittää huomiota tietoturvaan: "Asiakkaamme kiinnittivät aiheen yhä enemmän ostoehtoihinsa. Ja pysyäksemme hyvissä asemissa kilpailijoiden joukossa halusimme toimia nopeasti", raportoi Christiane Habbel, Head of IT - Information Security & Compliance yrityksessä. Mutta se ei ollut ainoa syy: "Pyrimme joka tapauksessa jatkuvasti parantamaan tietoturvan hallintajärjestelmäämme ja herkistämään työntekijöitämme aiheeseen. Niinpä päätimme vuonna 2017 teettää sertifioinnin tunnustetun ISO 27001 -standardin mukaisesti. Tämä auttaa meitä valtavasti tässä pyrkimyksessä", Habbel sanoo.

ISO 27001 - sertifiointi tuo etuja

ISO 27001 on yksityisten, julkisten tai voittoa tavoittelemattomien organisaatioiden tietoturvaa koskeva kansainvälinen standardi. Standardissa kuvataan vaatimukset dokumentoidun tietoturvallisuuden hallintajärjestelmän (ISMS) perustamiseksi, toteuttamiseksi, käyttämiseksi ja optimoimiseksi. Sertifiointi mukautetaan aina kunkin yrityksen olosuhteisiin ja siinä otetaan huomioon yksilölliset erityispiirteet.

Standardi käsittelee tietoturva-aiheen lisäksi erityisesti siihen liittyvien riskien analysointia ja käsittelyä. Yrityksille se tarjoaa siten järjestelmällisesti jäsennellyn lähestymistavan operatiivisen tiedon eheyden ja luottamuksellisuuden suojaamiseen. Samalla se varmistaa yrityksen prosesseihin osallistuvien IT-järjestelmien käytettävyyden. Maailmanlaajuisesti tunnustetun standardin mukaiset sertifikaatit ovat yleensä voimassa kolme vuotta. Jatkuvan parantamisen ja hallintajärjestelmän jatkuvan tehokkuuden varmistamiseksi tehdään kuitenkin vuosittain valvontatarkastus.

TISAX® - Arvioinnit autoteollisuudelle

On totta, että TISAX® (Trusted Information Security AssessmentExchange), autoteollisuuden määrittelemä tietoturvastandardi, on ollut olemassa vuodesta 2017 lähtien, ja se on näin ollen toinen sertifiointivaihtoehto, jota monet autonvalmistajat ja toimittajat vaativat nykyään liikekumppaneiltaan. TISAX® on kuitenkin alan eurooppalainen standardi, eikä se ole vielä vakiintunut maailmanlaajuisesti.

"Se ei mennyt meille tarpeeksi pitkälle", Habbel muistelee. Siksi Attendornissa sijaitseva yritys valitsi alun perin ISO 27001 -sertifioinnin antaakseen kilpailuetua tietoturvan alalla.

DQS:n kaksinkertainen sertifiointi

Tätä päätöstä silmällä pitäen Mubea lähti etsimään sopivaa kumppania ja päätyi pikaisesti DQS:ään.

habbel-christiane-quelle-mubea

Törmäsimme DQS:ään suhteellisen nopeasti tutkimuksemme aikana ja totesimme ensimmäisessä tapaamisessa, että sovimme hyvin yhteen.

Christiane Habbel IT-päällikkö - tietoturva ja vaatimustenmukaisuus Mubeassa

Tätä varten DQS:n tarkastajat tutkivat ensin tietoturvan hallintajärjestelmän (ISMS) toimivuuden paikan päällä. ISMS-sertifiointia varten Mubean oli lisäksi osoitettava tietoturvan perusarvojen onnistunut vuorovaikutus: Luottamuksellisuus, eheys ja saatavuus. Tässä yhteydessä lueteltiin ja optimoitiin mahdolliset tietoturvaa vaarantavat tietotekniset riskit tai prosessit. "Yhteistyö DQS:n kanssa oli hyvin käytännönläheistä ja asiakaslähtöistä. Hyötyimme suuresti tarkastajien syvällisestä toimialatuntemuksesta, sillä he tukivat meitä kaikissa asioissa", Habbel sanoo. "Tämä pätee sekä ISO 27001- että TISAX®-sertifiointiin."

Euroopan laajuinen yritysten tietoturva

DQS:n avulla Mubea ei kuitenkaan ole onnistunut optimoimaan arkaluonteisten tietojen ja informaation turvallisuutta ainoastaan pääkonttorissaan. DQS:n avulla yritys on myös nostanut 20 tytäryhtiötä kymmenellä paikkakunnalla Euroopassa uudelle tietoturvatasolle ja luonut yhteisen tietoturvastandardin.

Mubea voi nyt luotettavasti dokumentoida oman tietoturvansa asiakkaille ja yhteistyökumppaneille kahden sertifikaatin avulla. Tämä antaa autoteollisuuden alihankkijalle kilpailuetua markkinoilla, Habbel toteaa: " ISO 27001-standardin avulla emme ole ainoastaan tuoneet yritykseen korkeaa turvallisuusstandardia koko Eurooppaan. Suojaudumme myös ulkopuolelta tulevilta verkkohyökkäyksiltä ja olemme pystyneet herkistämään työntekijöitämme luottamuksellisen yritysomaisuutemme turvallisuudelle. Koska tietoturva on paljon muutakin kuin pelkkää tietoturvaa. Nyt emme kuitenkaan seiso paikoillamme. Johtamisjärjestelmämme keskeiset osat auditoidaan vuosittain, jotta voimme saavuttaa lisäparannuksia. Tietoturvamme jo ennestään erittäin hyvä taso kehittyy siis jatkuvasti."

Faktat, tiedot, luvut

Mubea Group of Companies on maailmanlaajuinen markkinajohtaja kehitettäessä ja tuotettaessa monimutkaisia autoteollisuuden komponentteja, jotka johtavat ajoneuvojen painon vähentämiseen ja edistävät ympäristönsuojelun parantamista vähentämälläCO2-päästöjä. Attendorni omistajavetoinen perheyritys keskittyy teknisiin innovaatioihin ja toiminnalliseen huippuosaamiseen. Sitä ohjaa kunnianhimoinen tavoite päästä kestävästi 100 parhaan maailmanlaajuisen autoteollisuuden toimittajan joukkoon.

Tuotevalikoimaan kuuluvat alustan komponentit, kuten akselijouset, vakaajat, kuitukomposiittijouset ja tarkkuusteräsputket, sekä moottorin komponentit, kuten venttiilijouset, automaattiset hihnan kiristysjärjestelmät ja jousipidikkeet, sekä voimansiirtokomponentit, kuten vetoakselit ja voimansiirtolevyn jouset. Tytäryhtiö Mubea Flamm kehittää ja valmistaa myös komponentteja ja kokoonpanoja ilmailu- ja avaruusteollisuudelle sekä kodinkoneteollisuudelle.

www.mubea.com/en

Kansainvälisen standardin mukainen tietoturvallisuuden hallintajärjestelmä

Kansainvälisesti tunnustettua ISO 27001 -standardia tietoturvallisuuden hallintajärjestelmistä (ISMS) sovelletaan maailmanlaajuisesti. Se tarjoaa kaikenkokoisille organisaatioille ja toimialoille puitteet tietoturvan suunnitteluun, toteuttamiseen ja valvontaan. Se sisältää muutakin kuin tietoturvanäkökohtia. Erityistä käytännön arvoa on standardin liitteessä A esitettyjen toimenpiteiden toteuttaminen.

Standardin vaatimukset ovat yleisesti sovellettavissa ja koskevat yksityisiä ja julkisia yrityksiä sekä voittoa tavoittelemattomia yhteisöjä. Tietosuojan ja henkilötietojen turvallisen ja eheän käsittelyn osalta ISO 27701 on hyödyllinen lisä standardiin.

Miten voit hyötyä ISMS-järjestelmästä

Ottamalla järjestelmällisesti käyttöön ISO 27001-standardin mukaisen prosessikeskeisen ISMS-järjestelmän (tietoturvallisuuden hallintajärjestelmä) yritykset saavat ratkaisevia etuja esimerkiksi seuraavista syistä:

  • Luottamuksellisten tietojen suojaaminen väärinkäytöltä, katoamiselta ja paljastumiselta kiinteänä osana yrityksen prosesseja.
  • Työntekijöiden herkistäminen: yrityksen sisäiset uhat havaitaan ja niitä vähennetään luotettavasti.
  • asiaankuuluvien vaatimustenmukaisuusvaatimusten noudattaminen, enemmän toimintaa ja oikeusvarmuutta.
  • Luottamuksen luominen asiakkaiden, liikekumppaneiden ja suuren yleisön keskuudessa.
  • Kilpailukyvyn parantuminen
  • Prosessi- ja IT-kustannusten optimointi

Standardi on saatavissaISOn verkkosivuilta :
ISO/IEC 27001:2013 - Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Vaatimukset .

DQS: Simply leveraging Quality.

DQS on erikoistunut johtamisjärjestelmien ja prosessien auditointeihin ja sertifiointeihin. Yli 35 vuoden kokemuksella ja 2 500 auditoijan asiantuntemuksella Frankfurt am Mainissa, Saksassa, pääkonttoriaan pitävä yritys on johdon pätevä kumppani. Auditoimme noin 200 tunnustetun standardin ja määräyksen tai yrityskohtaisten määrittelyjen mukaan - alueellisesti, kansallisesti ja kansainvälisesti.

Puolueettomuus ja objektiivisuus ovat meille olennaisia tekijöitä auditointeja ja sertifiointeja suorittaessamme. Tämä ei koske ainoastaan normatiivisia aloja vaan myös kaikkien auditointitoimien suorittamista.

Autamme sinua mielellämme, jos haluat sertifioida yrityksesi tai organisaatiosi tietoturvallisuuden hallintajärjestelmän (ISMS).

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

ISO 27001 -standardin mukainen sertifiointi

Näytämme, millaista vaivaa ja kustannuksia sinun on odotettavissa tietoturvan hallintajärjestelmän sertifioinnista. Saat tietoa maksutta ja sitoumuksetta.

Wir freuen uns auf das Gespräch mit Ihnen.
Kirjoittaja
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Onko kysyttävää?

Olemme täällä sinua varten.
Ota yhteyttä