Lezioni apprese dalla ISO 27001 - un caso di studio di ENTERBRAIN Software

CONTENUTO

• Un caso di studio ISO 27001 - ENTERBRAIN si affida alla certificazione
• Esperienze pratiche positive con la ISO 27001
• La sicurezza delle informazioni come base per il successo e la fiducia
• Intervista con Christian Körner
• Piani futuri e ISO 27001:2022
• Lezioni di ISO 27001 apprese da ENTERBRAIN - Conclusione

Un caso di studio ISO 27001 - ENTERBRAIN si affida alla certificazione

Con sede a Offenbach, in Germania, ENTERBRAIN Software GmbH è uno dei principali fornitori di software per la raccolta fondi in Europa. Le soluzioni software dell'organizzazione supportano le organizzazioni non profit nella gestione delle donazioni e dei soci. Tra le altre cose, queste soluzioni software vengono utilizzate per gestire i dati personali e i dettagli dei pagamenti. La protezione di queste informazioni riservate, così come la loro integrità e disponibilità, sono priorità assolute per il fornitore di software e per i suoi clienti, anche per quanto riguarda gli aspetti legali.

Il sistema di gestione della sicurezza delle informazioni, certificato in conformità alla norma ISO 27001 dal 2019, fornisce un quadro pratico completo. Garantisce la riservatezza, l'integrità e la disponibilità delle informazioni - i tre obiettivi di protezione della sicurezza delle informazioni. Il sistema di gestione stabilito definisce processi, ruoli e autorizzazioni vincolanti e riduce sistematicamente i rischi per la sicurezza delle informazioni, creando al contempo fiducia nei confronti di clienti e partner commerciali.

Esperienze pratiche positive con la ISO 27001

Grazie all'utilizzo attivo del sistema di gestione e alla relativa analisi e valutazione continua delle minacce, ENTERBRAIN è ben posizionata nel settore della sicurezza delle informazioni e della protezione dei dati. L'azienda dispone di una documentazione completa di tutti gli oggetti di protezione. Inoltre, per colmare le lacune in materia di sicurezza, vengono definite linee guida, istruzioni tecniche e regole organizzative applicabili.

L'approccio sistematico crea una buona trasparenza sulle minacce e sui processi necessari per colmare le lacune di sicurezza. Corsi di formazione regolari sensibilizzano tutti i dipendenti dell'azienda sull'enorme importanza della sicurezza delle informazioni.

In pratica, il sistema di gestione della sicurezza delle informazioni ha già dimostrato più volte la sua validità. Soprattutto grazie alla formazione regolare dei dipendenti. Nel 2020, ad esempio, è stata impedita la diffusione di una nuova versione del virus Emotet* nell'organizzazione.

* Emotet = famiglia di malware informatici (macro virus) che vengono inviati per e-mail.

Grazie al rilevamento tempestivo della minaccia da parte di un dipendente dell'assistenza, è stato possibile evitare il peggio. La nuova variante del virus non è stata rilevata da nessuna soluzione software antivirus disponibile sul mercato in quel momento.

Durante l'incidente, ENTERBRAIN ha ricevuto un'e-mail infetta da un cliente, che è stata inizialmente aperta dal dipendente, il quale ha segnalato immediatamente l'incidente. Di conseguenza, è stata attivata la squadra di emergenza e l'incidente è stato gestito in conformità con il manuale di sicurezza dell'azienda. Grazie alla reazione rapida e coscienziosa del dipendente, il computer colpito è stato isolato e si è evitato che il virus si diffondesse nella rete interna. È stata chiamata una società di informatica forense per indagare ulteriormente sulla variante del virus e sulla rete e fornire assistenza.

La sicurezza delle informazioni come base per il successo e la fiducia

Per il fornitore di software per la raccolta fondi e per i suoi clienti, la conformità alle normative è una parte essenziale dell'attività commerciale. Il rispetto della protezione dei dati e il comportamento conforme di tutti i dipendenti dell'azienda sono la base per una collaborazione di fiducia con clienti e partner. A causa di questi requisiti, l'azienda è certificata in conformità allo standard ISO 27001, riconosciuto a livello internazionale, per tutti i servizi offerti.

Sebbene la certificazione completa per tutti i servizi sia molto più complessa di quella per una singola unità aziendale, il livello più elevato di sicurezza delle informazioni ripaga l'azienda. Da un lato, ciò significa che la gestione della sicurezza delle informazioni, con tutti i suoi vantaggi, è in atto per tutte le unità aziendali e, dall'altro, ENTERBRAIN gode di un vantaggio competitivo rispetto agli altri attori del mercato che non dispongono della certificazione ISO 27001.

Inoltre, il tema della conformità sta assumendo un'importanza sempre maggiore, tanto che molte organizzazioni richiedono la collaborazione con un'azienda certificata ISO 27001.

La trasparenza acquisita fornisce all'azienda un eccellente punto di partenza per l'ottimizzazione dei processi, al fine di aumentare la soddisfazione dei clienti e l'efficienza all'interno dell'azienda. Anche i processi e le aree critiche per l'azienda sono chiaramente definiti e possono essere resi più sicuri grazie a una riduzione mirata dei rischi.

Intervista con Christian Körner

Responsabile delle operazioni di ENTERBRAIN Software GmbH

I vantaggi di un sistema di gestione della sicurezza delle informazioni sono una cosa. Tuttavia, per la sua certificazione e i relativi audit annuali di sorveglianza, le aziende dipendono dalla collaborazione con un organismo di certificazione accreditato. In questa intervista, Christian Körner racconta le sue esperienze con la norma ISO 27001.

DQS: Signor Körner, lei ha iniziato a occuparsi di sicurezza informatica con un sistema sviluppato appositamente per le PMI. Quando si è trattato di passare allo standard ISO 27001, è stato necessario un aggiornamento completo: questo approccio sarebbe ancora consigliabile oggi, alla luce della massiccia minaccia informatica a cui sono esposte soprattutto le PMI?

Christian Körner: ENTERBRAIN si è concentrata molto presto sulla sicurezza delle informazioni, assumendo così un ruolo pionieristico. Nel nostro settore, la sicurezza delle informazioni è il fondamento del successo e della fiducia. Nel corso dell'accelerazione della trasformazione digitale, l'argomento sta diventando sempre più importante.

Sulla base della nostra esperienza pratica e dell'aumento delle minacce informatiche, oggi consigliamo di iniziare direttamente con la certificazione ISO 27001. L'aspetto prezioso del processo di certificazione è la scoperta di eventuali rischi per la sicurezza che possono essere eliminati o almeno ridotti al minimo grazie alla trasparenza acquisita. Ciò contribuisce in modo significativo alla sicurezza delle informazioni in azienda.

DQS: Con la ISO 27001 avete gettato le basi per un sistema di gestione riconosciuto: ricorda ancora il primo audit di certificazione con DQS?

Christian Körner : Durante il nostro primo audit ISO 27001 nel 2019, tutti in azienda erano piuttosto tesi. Sebbene all'epoca avessimo già esperienza con le certificazioni del nostro primo sistema di gestione della sicurezza delle informazioni, la ISO 27001 era una classe a sé stante.

Con il senno di poi, dobbiamo sorridere un po' quando ripensiamo alla prima certificazione ISO 27001. Da un lato, all'epoca eravamo già molto preparati per lo standard ISO; dall'altro, potevamo solo trarre vantaggio dal processo di certificazione come azienda, poiché qualsiasi non conformità ci avrebbe mostrato in modo trasparente il potenziale di miglioramento.

Dopo tutto, il nostro obiettivo è garantire e aumentare la sicurezza delle informazioni. Pertanto, accogliamo sempre con favore le informazioni e le raccomandazioni per ottimizzare i nostri processi. Per tutte le organizzazioni che non sono ancora certificate, posso solo raccomandare questo punto. La certificazione ISO 27001 non dovrebbe basarsi sul desiderio di ottenere un certificato, ma sulla comprensione dell'enorme importanza della sicurezza delle informazioni nelle aziende di oggi.

DQS: Durante i successivi audit di sorveglianza, avete ricevuto dal nostro auditor qualche suggerimento utile e perseguibile in merito al potenziale di miglioramento?

Christian Körner: Per noi gli audit di sorveglianza sono una parte importante della certificazione e dell'ottimizzazione continua, in quanto lo scambio diretto con l'auditor fornisce informazioni preziose per l'attuazione pratica, il che rappresenta un grande arricchimento per noi. Allo stesso tempo, negli ultimi anni abbiamo beneficiato della conoscenza completa delle tecnologie informatiche e della comprensione del sistema da parte del nostro auditor. In lui abbiamo uno sparring partner esperto che ha una buona comprensione dei processi e che tiene conto delle dimensioni della nostra azienda.

DQS: Avete completato con successo la prima ricertificazione e presto passerete alla nuova versione, ovvero la ISO/IEC 27001:2022: siete già in contatto con DQS per questo?

Christian Körner: Sì, siamo già in contatto con DQS da diversi mesi e ci stiamo preparando per il passaggio. Stiamo anche coordinando una possibile estensione del "Sistema di gestione delle informazioni sulla privacy".

DQS: C'è qualcosa che DQS potrebbe migliorare in termini di collaborazione?

Christian Körner: Siamo molto soddisfatti della collaborazione. Questo è in gran parte dovuto all'auditor esperto, che con la sua valutazione ci supporta in modo significativo nel continuo miglioramento del nostro sistema.

DQS: Signor Körner, grazie per la piacevole conversazione e buona fortuna per il passaggio alla nuova ISO/IEC 27001:2022!

Piani futuri e ISO 27001:2022

La ISO 27001 è uno standard riconosciuto a livello internazionale per la sicurezza delle informazioni, pubblicato per la prima volta in inglese nel 2005. Lo standard è stato rivisto nel 2013 ed è stato uno dei primi grandi standard di sistema di gestione ISO a essere convertito nell'allora nuova High Level Structure, che ora ne facilita l'integrazione nei sistemi di gestione ISO esistenti. Nel 2022 è stata effettuata un'ulteriore revisione, che si è concentrata sull'adattamento dello standard allo stato più recente delle tecnologie informatiche.

ENTERBRAIN non si aspetta sorprese per il passaggio alla nuova ISO 27001:2022, anzi: l'azienda accoglie con favore la revisione, in quanto saranno rafforzate in particolare le aree della protezione dei dati e della sicurezza informatica.

Attualmente l'azienda sta analizzando le nuove misure e i nuovi requisiti e li sta confrontando con i processi e le circostanze specifiche dell'azienda. Verrà quindi effettuata una valutazione dei risultati intermedi per determinare la necessità di implementazione, in particolare per quanto riguarda i 93 controlli dell'Allegato A, alcuni dei quali sono nuovi.

Lezioni di ISO 27001 apprese da ENTERBRAIN - Conclusione

L'implementazione di un sistema di gestione della sicurezza delle informazioni in conformità alla norma ISO 27001 si è rivelata un passo decisivo per il rafforzamento della strategia di sicurezza aziendale di ENTERBRAIN. L'esperienza acquisita con la certificazione ISO 27001 sottolinea l'importanza di un approccio olistico che comprende non solo misure tecniche ma anche organizzative.

La certificazione ISO 27001 non solo ha migliorato l'infrastruttura di sicurezza, ma ha anche aumentato in modo significativo la fiducia dei clienti e dei partner. I dipendenti sono stati resi più consapevoli dell'importanza della sicurezza delle informazioni, il che ha portato a una cultura della sicurezza in tutta l'azienda. Sebbene l'implementazione abbia comportato delle sfide, gli effetti positivi sono stati nettamente superiori a quelli negativi.

La conclusione dell'esperienza con la ISO 27001 è chiara: la certificazione è più di un semplice certificato, è un processo continuo che rende l'azienda più resistente alle minacce e offre un chiaro vantaggio competitivo.

Competenza e fiducia

La visione olistica e neutrale dei nostri auditor esperti su persone, processi, sistemi e risultati mostra l'efficacia del vostro sistema di gestione della sicurezza delle informazioni e il modo in cui viene implementato e controllato. Per noi è importante che la certificazione in conformità allo standard ISO non venga percepita come un test, ma come un arricchimento del vostro sistema di gestione.

I nostri audit vi forniscono chiarezza. I nostri clienti la vedono come un'opportunità. Per loro, il feedback di un auditor indipendente sul potenziale di miglioramento e sui possibili rischi ha lo stesso valore di un certificato DQS come prova della loro capacità qualitativa. Per garantire che ciò rimanga tale, prestiamo una rigorosa attenzione all'integrità e all'obiettività: per saperne di più, consultate la nostra filosofia di audit.

Nell'audit chiediamo specificamente "perché", perché vogliamo capire le ragioni per cui avete scelto un particolare modo di implementazione. Ci concentriamo sul potenziale di miglioramento e incoraggiamo un cambiamento di prospettiva. In questo modo, riconoscete le opzioni di azione con cui potete migliorare continuamente il vostro sistema di gestione. Prendeteci in parola.

Nota bene: i nostri articoli sono scritti esclusivamente dai nostri esperti di standard per i sistemi di gestione e da auditor di lunga data. Se avete domande da porre all'autore, contattateci. Saremo lieti di parlare con voi.