Grupa technologii bezpieczeństwa Dormakaba

Dla Grupy Dormakaba, jednego z trzech wiodących dostawców technologii bezpiecznego dostępu do budynków i przestrzeni, istotna jest możliwość udowodnienia wewnętrznego bezpieczeństwa informacji światu zewnętrznemu. Przy wsparciu ze strony LRQA ta aktywna na rynku globalnym firma z siedzibą w Rümlang (Szwajcaria) uzyskała certyfikację dla głównych działów cyfrowych i centralnego działu IT na zgodność z normą ISO/IEC 27001:2013. Dzięki wysokiemu poziomowi wiedzy specjalistycznej wśród członków zespołu ISMS, precyzyjnemu doborowi zakresu i solidnej infrastrukturze zdalnej, praca w Dormakaba przebiegała zgodnie z harmonogramem również w trakcie kryzysu związanego z koronawirusem. Wnioski po kilku miesiącach: Dzięki certyfikacji ISO 27001 producent był w stanie jeszcze bardziej wzmocnić i tak już dobre stosunki z klientami oraz pozyskać nowych klientów.

Cyberataki i wycieki danych należą do największych zagrożeń dla firm – to trend, który nasilił się podczas pandemii. „Dla nas jako dostawców rozwiązań z zakresu inteligentnego i bezpiecznego dostępu zaufanie klientów było zawsze na pierwszym miejscu. Dlatego uznajemy, że ważnym czynnikiem jest możliwość udowodnienia wysokiego poziomu dojrzałości w dziedzinie bezpieczeństwa informacji” – wyjaśnia Andreas Robbert, kierownik ds. bezpieczeństwa informacji w Grupie Dormakaba. „Nasi klienci, w tym banki i firmy ubezpieczeniowe, przykładają dużą wagę do jak największej kontroli swoich informacji cyfrowych.

Wielu dużych klientów wymaga certyfikacji ISO 27001 od swoich dostawców. Potencjalni klienci wymagają certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) przed użyciem takich produktów, jak zamki i systemy drzwiowe oraz sejfy we wrażliwych jednostkach organizacyjnych. Oceny stają się znacznie prostsze, kiedy dostawca posiada certyfikację” – mówi Robbert. Dlatego też decyzja o certyfikacji na zgodność z normą ISO 27001 była oczywista.

„Współpraca z LRQA była bardzo profesjonalna” – wspomina Robbert. „Agencja certyfikacyjna dysponuje międzynarodową siecią, więc mogła o nas zadbać w lokalizacjach na terenie Ameryki Północnej i Szwajcarii. Ponadto usługodawca wykazał się dużą elastycznością przy naszym harmonogramie”.

Optymalne przygotowanie

Na wczesnym etapie firma Dormakaba zdecydowała się na zastosowanie sześciofilarowego modelu, który idealnie pasował do jej struktury. Ten obejmuje Zarządzanie ryzykiem (skupienie się na cyfrowych procesach biznesowych), Zarządzanie incydentami (procesy postępowania w razie incydentów bezpieczeństwa), Raportowanie (wykazanie skuteczności i efektywności systemu zarządzania), Nadzór (terminowe dostosowywanie się do zmiennych wymogów i krajobrazów zagrożeń) i Ocenę (statusu systemu zarządzania w celu identyfikacji możliwości doskonalenia). W ramach szóstego filaru, Doradztwo i świadomość, skupiono się na czynniku ludzkim, który odgrywa ważną rolę w cyberzagrożeniu. „Stworzyliśmy rozbudowane programy szkoleniowe dla całej firmy. To inwestycja w pracowników, która zwróciła się w dużym stopniu” – podsumowuje Robbert.

Lata zakładowego doświadczenia w zakresie ISMS

Kolejnym ważnym krokiem w przygotowaniu było ustalenie zakresu zastosowania. „Takie podejście sprawdziło się bardzo dobrze ze względu na staranny dobór obszarów” – mówi Robbert. Oprócz istotnych obszarów rozwoju produktów cyfrowych zakres obejmuje wewnętrzny dział IT Grupy Dormakaba. „Wdrożenie było bardzo złożone. Gdyby nie nasze wieloletnie doświadczenie z ISMS, z pewnością musielibyśmy zatrudnić zewnętrznych konsultantów” – wspomina Robbert. Każdy pracownik działu systemu ISMS w firmie Dormakaba może pochwalić się przynajmniej trzyletnim doświadczeniem w zdobywaniu wiedzy na temat certyfikacji ISO 27001, a sam Andreas Robbert odpowiada za obsługę systemów zarządzania bezpieczeństwem informacji od 2008 roku. To umożliwiło firmie samodzielne monitorowanie większości środków i osiągnięcie wyjątkowo wysokiego poziomu dojrzałości na potrzeby certyfikacji wstępnej.

Zintegrowane systemy zarządzania redukują wysiłek o około jedną czwartą

Dzięki możliwości certyfikacji matrycowej firma Dormakaba mogła równocześnie certyfikować całą grupę działów i spółek. Segmentacja firmy z jednej strony dawała sporą przewagę, ale z drugiej stanowiła wyzwanie. „Pomogło nam to, że około połowa z naszych podmiotów cyfrowych wdrożyła już zintegrowane systemy zarządzania. W ten sposób nie musieliśmy wyważać otwartych drzwi, przez co mogliśmy znacznie zredukować nasze wysiłki” – relacjonuje Robbert. Przydatne było też to, że firma Dormakaba uzyskała już.

Na dobrej drodze dzięki dobrej infrastrukturze zdalnej

Ze względu na pandemię część audytu ISO 27001 została przeprowadzona zdalnie. „Osobisty kontakt odgrywa ważną rolę w audycie. Firma LRQA była z nami obecna, o ile możliwe było podróżowanie po Niemczech” – wspomina Robbert. „Zaledwie 50 do 70% audytów jest dopuszczalnych zdalnie. W naszym przypadku certyfikacja zdalna dotyczyła filii w Szwajcarii i Kanadzie, które akurat podlegały obostrzeniom związanym z podróżowaniem.

Ponieważ Dormakaba od wielu lat organizuje wiele spotkań wewnętrznych w trybie zdalnym, producent był dobrze przygotowany na tę sytuację. Zdecydowana większość stanowisk roboczych była już wyposażona w notebooki z kamerkami. Obchody pomieszczeń mogą odbywać się przy użyciu kamerek w smartfonach, które łatwo zsynchronizować z Microsoft Teams. „Rozwiązanie było skuteczne bez utraty jakości. To będzie wyzwanie dla firm, które nie mają jeszcze rozwiniętej infrastruktury transmisji wideo” – mówi Robbert. Pomimo pandemii COVID-19 firma Dormakaba bezproblemowo trzymała się swojego harmonogramu.

Odpowiedź nowych i istniejących klientów na certyfikację jest zawsze pozytywna. „Od czasu certyfikacji ISO 27001 otrzymaliśmy wiele wniosków i zajmujemy bardzo dobrą pozycję w przetargach” – chwali się Robbert. W bieżącym roku obrotowym Dormakaba planuje poszerzyć istniejący zakres i wdrożyć kolejne zakresy; LRQA znów dołączy do procesu certyfikacji.