Skupina Dormakaba – bezpečnostní technologie

Pro skupinu Dormakaba, která je jedním ze tří největších dodavatelů bezpečných řešení pro přístup do budov a jiných prostor, bylo důležité demonstrovat svou interní bezpečnost informací okolnímu světu. Na základě podpory společnosti LRQA tato celosvětově působící společnost, která sídlí ve švýcarském Rümlangu, zvládla certifikaci svých hlavních digitálních divizí a ústřední oblasti IT dle normy ISO/IEC 27001:2013. Díky vysoké úrovni odborných znalostí vlastního ISMS týmu, přesnému výběru rozsahu a zavedené vzdálené infrastruktuře pak společnost Dormakaba postupovala dle plánu i během pandemie koronaviru. Výsledky po několika málo měsících: díky certifikaci dle normy ISO 27001 dokázal tento výrobce dále zlepšit své již tak dobré vztahy se zákazníky a získat zákazníky nové.

Kybernetické útoky i úniky dat patří mezi největší rizika podniků – a tento trend ještě zesílil během pandemie. „Pro nás jako poskytovatele chytrých a bezpečných řešení pro přístup byla důvěra našich zákazníků vždy naší nejvyšší prioritou. Proto je pro nás důležité, abychom dokázali demonstrovat vysokou úroveň vyspělosti v oblasti bezpečnosti informací,“ vysvětluje Andreas Robbert, manažer pro bezpečnost informací skupiny Dormakaba. "Naši zákazníci, ke kterým patří banky a pojišťovny, přikládají velký význam maximální kontrole svých digitálních informací.“

Celá řada velkých společností od svých dodavatelů požaduje certifikaci dle normy ISO 27001. Potenciální zákazníci aktivně vyžadují certifikaci systému řízení bezpečnosti informací (ISMS), a to dříve, než využijí produkty, které zahrnují zámky a dveřní techniku, ale také trezory pro citlivé podnikatelské jednotky. Pokud je určitý dodavatel certifikovaný, je snadnější i hodnocení, říká Robbert. Rozhodnutí z hlediska normy ISO 27001 tedy bylo jasné.

„Spolupráce se společností LRQA byla velmi profesionální,“ vzpomíná Robbert. „Certifikační společnost disponuje mezinárodní sítí, takže o nás bylo dobře postaráno v rámci našich závodů v Severní Americe i ve Švýcarsku. Navíc se tento poskytovatel služeb dokázal velmi dobře přizpůsobit našemu harmonogramu“.

Optimální příprava

Společnost Dormakaba se již v rané fázi rozhodla využít model zahrnující šest různých oblastí, který dokonale odpovídal struktuře společnosti. Součástí jsou tyto oblasti: řízení rizik (s důrazem na digitální obchodní procesy), řešení incidentů (procesy pro řešení incidentů v oblasti bezpečnosti informací), reporting (prokázání účinnosti a efektivity systému řízení), řídicí a kontrolní systém (včasná adaptace na neustále se měnící požadavky a oblasti hrozeb) a hodnocení (systémové hodnocení stavu systému řízení pro určení příležitostí ke zlepšení). Šestá oblast – poradenství a osvěta – věnuje pozornost lidskému faktoru, který hraje z hlediska kybernetických rizik důležitou roli. „Připravili jsme rozsáhlé programy odborné přípravy pro celou společnost. Jde o investici do zaměstnanců, která se do velké míry zaplatila sama,“ shrnuje Robbert.

Roky interních zkušeností s ISMS  

Dalším důležitým krokem v přípravě bylo definování rozsahu aplikace. „Fungovalo to opravdu dobře, protože jsme příslušné oblasti zvolili velmi šikovně,“ říká Robbert. Kromě důležitých oblastí vývoje digitálních produktů daný rozsah rovněž zahrnuje interní IT skupiny Dormakaba. „Implementace byla velmi složitá. Pokud bychom neměli dlouhodobé zkušenosti v oblasti ISMS, zcela jistě bychom museli využít služeb externích poradců,“ vzpomíná Robbert. Každý ze zaměstnanců oddělení ISMS společnosti Dormakaba má tři a více let zkušeností s normou ISO 27001, přičemž sám Andreas Robbert odpovídá za provoz systémů řízení bezpečnosti informací již od roku 2008. To společnosti umožnilo, aby si většinu opatření monitorovala interně a dosáhla mimořádně vysoké úrovně vyspělosti z hlediska počáteční certifikace.

Integrované systémy řízení snižují úsilí asi o čtvrtinu

Maticová certifikace umožnila skupině Dormakaba provést certifikaci celé skupiny divizí a společností současně. To, že je společnost členěna z hlediska segmentů, byla na jednu stranu velkou výhodou, ale na druhou stranu šlo o určitou výzvu. „Pomohlo nám to, že přibližně polovina našich digitálních subjektů již systémy řízení integrovala. Nemuseli jsme tedy objevovat dávno objevené, což celkové úsilí výrazně snížilo,“ uvádí Robbert. Užitečné bylo i to, že společnost Dormakaba již absolvovala certifikaci důležitých oblastí dle jiných norem ISO napříč celou skupinou.

Podle plánu díky dobré vzdálené infrastruktuře

Kvůli pandemii byly některé části auditu ISO 27001 realizovány na dálku. „Osobní kontakt hraje při auditu důležitou roli. Pokud bylo možné cestovat v rámci Německa, zástupci společnosti LRQA u nás byli,“ vzpomíná Robbert. „Pouze 50 až 70 % auditů lze obecně realizovat na dálku. V našem případě se jednalo o pobočky ve Švýcarsku a v Kanadě, pro které v dané době platila přísná omezení cestování.“

Protože celá řada interních jednání společnosti Dormakaba již roky probíhá na dálku, byl tento výrobce na danou situaci velmi dobře připraven. Převážná většina pracovních stanic již zahrnovala notebooky vybavené kamerami. Prohlídky místností lze absolvovat prostřednictvím kamer mobilních telefonů, které lze snadno integrovat do schůzek platformy Microsoft Teams. 

„Fungovalo to bez jakýchkoliv kompromisů v oblasti kvality. Pro společnosti, které prozatím nedisponují vyspělou video infrastrukturou, to bude představovat výzvu,“ říká Robbert. I přes pandemii COVID-19 dokázala společnost Dormakaba bez jakýchkoliv problémů dodržet svůj harmonogram.

Reakce stávajících i nových zákazníků na certifikaci byly ve všech případech pozitivní. „Od té doby jsme obdrželi spoustu poptávek a díky ISO 27001 máme také velmi dobré postavení ve výběrových řízeních,“ říká spokojeně Robbert. V běžném účetním období má společnost Dormakaba v plánu rozšířit stávající rozsah a realizovat procesy v dalších oblastech. A společnost LRQA bude při certifikaci opět součástí týmu.