Beveiligingstechnologiegroep dormakaba

Voor de Dormakaba Group, een van de top drie aanbieders van beveiligde toegang tot gebouwen en ruimtes, was het belangrijk om de interne informatiebeveiliging ook aan de buitenwereld te kunnen demonstreren. Met de steun van LRQA heeft het wereldwijd actieve bedrijf met hoofdkantoor in Rümlang, Zwitserland, de belangrijkste digitale divisies en de centrale IT laten certificeren met ISO/IEC 27001:2013-certificaat. Dankzij het hoge niveau van expertise in het eigen ISMS-team, de nauwkeurige selectie van de scope en de reeds lang bestaande remote-infrastructuur, bleef Dormakaba ook tijdens de Corona-pandemie op schema. De conclusie na slechts enkele maanden: Dankzij de ISO 27001-certificering kon de fabrikant zijn toch al goede klantrelaties verder versterken en nieuwe klanten werven.

Cyberattacks en datalekken behoren tot de grootste risico's voor bedrijven - een trend die zich tijdens Corona heeft versterkt. "Voor ons als aanbieder van slimme en veilige toegangsoplossingen is het vertrouwen van onze klanten altijd al onze topprioriteit geweest. Daarom beschouwen we het als een belangrijke factor om een hoog niveau van volwassenheid in informatiebeveiliging aan te kunnen tonen", legt Andreas Robbert, Information Security Manager van de Dormakaba Group, uit. "Onze klanten, waaronder banken en verzekeringsmaatschappijen, hechten veel belang aan een zo groot mogelijke controle over hun digitale informatie.

Veel grote klanten maken de ISO 27001-certificering tot een vereiste voor hun leveranciers. Potentiële klanten vragen actief om certificering van het Information Security Management System (ISMS) voordat ze producten zoals sloten en deursystemen, maar ook kluizen, gebruiken voor hun gevoelige bedrijfsonderdelen. Beoordelingen zijn ook veel eenvoudiger als een leverancier gecertificeerd is, zegt Robbert. De beslissing voor ISO 27001 lag dan ook voor de hand.

"De samenwerking met LRQA was zeer professioneel," herinnert Robbert zich. "Het certificeringsbedrijf heeft een internationaal netwerk, dus we werden ook goed verzorgd op onze locaties in Noord-Amerika en Zwitserland. Bovendien was de dienstverlener zeer flexibel met onze tijdsplanning."

Optimaal voorbereid

Dormakaba besloot al vroeg om een zespijlermodel te hanteren dat bij uitstek past bij de structuur van het bedrijf. Dit omvat Risicomanagement (gericht op digitale bedrijfsprocessen), Incident Management (processen voor het afhandelen van informatiebeveiligingsincidenten), Reporting (het aantonen van de effectiviteit en efficiëntie van het managementsysteem), Governance (het tijdig aanpassen aan voortdurend veranderende eisen en dreigingslandschappen) en Assessment (systeemevaluatie van de status van het managementsysteem om verbetermogelijkheden te identificeren). De zesde pijler, Consulting en Awareness, besteedt aandacht aan de menselijke factor, die een belangrijke rol speelt bij het cyberrisico. "We hebben uitgebreide trainingsprogramma's opgezet voor het hele bedrijf. Het is een investering in werknemers die zich ruimschoots heeft terugbetaald", vat Robbert samen.

Jarenlange ISMS-ervaring in eigen huis

Een andere belangrijke stap in de voorbereiding was scoping, d.w.z. het definiëren van het toepassingsgebied. "Dit werkte heel goed omdat we de gebieden heel netjes hebben uitgekozen", zegt Robbert. Naast belangrijke digitale productontwikkelingsgebieden omvat de scope ook de interne IT van de Dormakaba Group. "De uitvoering was zeer complex. Als we de jarenlange ISMS-ervaring niet in huis hadden gehad, hadden we zeker externe consultants moeten inhuren", herinnert Robbert zich. Elk van de medewerkers van de ISMS-afdeling van Dormakaba heeft minstens drie jaar ISO 27001-expertise en Andreas Robbert is sinds 2008 zelf verantwoordelijk voor de werking van de informatiebeveiligingsbeheersystemen. Hierdoor kon het bedrijf het merendeel van de maatregelen zelf controleren en een uitzonderlijk hoog niveau van volwassenheid voor een eerste certificering bereiken.

Geïntegreerde managementsystemen verminderen de inspanning met ongeveer een kwart.

Dankzij de mogelijkheid van matrix certificering kon Dormakaba een hele groep van divisies en bedrijven tegelijkertijd laten certificeren. Het feit dat de onderneming in segmenten is gestructureerd was enerzijds een groot voordeel, maar anderzijds ook een uitdaging. "Wat ons hielp was dat ongeveer de helft van onze digitale entiteiten al geïntegreerde managementsystemen hadden. Op deze manier hoefden we het wiel niet opnieuw uit te vinden en werd de inspanning aanzienlijk verminderd," rapporteert Robbert. Het was ook nuttig dat Dormakaba al belangrijke gebieden had laten certificeren volgens andere ISO-normen in de hele groep.

Op schema dankzij een goede remote-infrastructuur 

Vanwege de pandemie werden delen van de ISO 27001-audit op afstand uitgevoerd. "Persoonlijk contact speelt een belangrijke rol in de audit. Voor zover reizen binnen Duitsland mogelijk was, was LRQA dan ook bij ons aanwezig", herinnert Robbert zich. "Maar 50 tot 70 procent van de audits mogen over het algemeen op afstand plaatsvinden. In ons geval ging het om de vestigingen in Zwitserland en Canada, die destijds aan reisbeperkingen onderhevig waren.

Omdat Dormakaba jarenlang veel van zijn interne vergaderingen op afstand heeft gehouden, was de fabrikant zeer goed voorbereid op de situatie. Het overgrote deel van de werkplekken was al uitgerust met notebooks die voorzien waren van camera's. Walk-throughs van kamers kunnen worden gedaan met behulp van mobiele telefoon camera's die gemakkelijk kunnen worden geïntegreerd in Microsoft Teams vergaderingen. "Dit werkte zonder enig kwaliteitsverlies. Dat wordt het een uitdaging bedrijven die nog geen volwassen video-infrastructuur hebben", zegt Robbert. Ondanks COVID-19 kon Dormakaba zich dus zonder problemen aan zijn schema houden.

De reactie van nieuwe en bestaande klanten op de certificering is steeds positief geweest. "We hebben sindsdien al heel wat aanvragen ontvangen en we hebben ook een zeer goede positie in de aanbestedingsprocessen dankzij ISO 27001", vertelt Robbert graag. Voor het lopende boekjaar is Dormakaba van plan om de bestaande scope uit te breiden en verdere scopes te implementeren, en LRQA zal weer aan boord zijn voor de certificering.