ISO 27001– wie Vertec sich täglich für Sicherheit engagiert
Die Sicherheit von (Kunden-)Daten ist gerade für IT-Firmen von zentraler Bedeutung. Bei Vertec legen wir sehr hohen Wert auf Informationssicherheit und nutzen dafür ein Informationssicherheits-Managementsystem nach ISO 27001, im Folgenden auch ISMS genannt. Doch welcher Nutzen entsteht für unsere Kunden und für uns selbst durch die Zertifizierung nach dem ISO 27001 System? Wie Vertec die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS handhabt, beschreibt dieser Artikel.
Was steckt hinter ISO 27001?
Die Norm ISO/IEC 27001 hat unter anderem zum Ziel, dass Organisationen Risiken der Informationssicherheit vorbeugen, indem sie geeignete Sicherheitsmassnahmen treffen. Ein Kernpunkt der Norm ist die Identifizierung aller betriebsinterner Werte (der sogenannten Assets). Dazu gehören bei Vertec so unterschiedliche Dinge wie beispielsweise unsere Cloud-Abo Infrastruktur, das eigene Personal oder der Source-Code unserer Software.
Die Bedeutung der Assets wird anhand von drei zentralen Kriterien beurteilt. Diese sind:
- Verfügbarkeit: Wie wichtig ist es, dass das Asset immer verfügbar ist?
- Vertraulichkeit: Wie wichtig ist es, dass kein Unbefugter auf das Asset zugreifen kann?
- Integrität: Wie wichtig ist es, dass das Asset nicht manipuliert werden kann?
Für alle Assets werden in einem zweiten Schritt die Risiken erhoben und bewertet. Wir machen das szenariobasiert: Typische Risiken sind beispielsweise nicht lesbare Backups oder die Infektion eines Rechners mit einem Verschlüsselungstrojaner.
Welche konkreten Massnahmen gehören zur Norm?
Um den grössten Risiken wirksam zu begegnen, beschliessen wir entsprechende Massnahmen. Nicht lesbare Backups wollen wir unbedingt verhindern, indem wir regelmässig Daten aus Backups zu Testzwecken wiederherstellen. Gegen Verschlüsselungstrojanern schützen wir uns unter anderem mit dem Einsatz von Antiviren-Software sowie der regelmässigen Softwareaktualisierung unserer Clients und Servern.
Diese Risiken sind sehr real: Es ist bereits vorgekommen, dass Kunden ihre Backups nicht nutzen konnten, weil sie entweder erst gar nicht gemacht wurden oder nicht lesbar waren. Auch haben sich einige Firmen aus unserem Umfeld Trojaner eingefangen mit dem Resultat, dass sämtliche auf Serverlaufwerken gespeicherten Daten verschlüsselt waren und aus Backups wiederhergestellt werden mussten.
Restrisiken bleiben auch nach dem Umsetzen von Massnahmen bestehen. Hin und wieder muss man kleine Risiken auch bewusst in Kauf nehmen, weil entsprechende Massnahmen viel zu teuer oder zu aufwändig wären. Einmal jährlich werden vorhandene Risiken neu bewertet und die Asset-Verantwortlichen müssen sich explizit dazu äussern, ob sie ihre Risiken so tragen wollen oder ob allenfalls weitere Massnahmen einzuplanen sind.
Natürlich gibt es laufend Veränderungen bei Assets und Risiken. Auch verlangt die Norm, dass man sein System ständig weiterentwickelt, überprüft und verbessert. Dazu ist es wichtig, dass alle Mitarbeitenden Vorfälle betreffend die Informationssicherheit melden. Weiter gibt es für alle Mitarbeitenden verbindliche Richtlinien, die unter anderem den Umgang mit Kundendaten und den Zugriff auf Kundensysteme regeln.
Einmal jährlich prüft ein externer Auditor, ob Vertec das Managementsystem den Vorgaben entsprechend umsetzt und alle Anforderungen zur Aufrechterhaltung des Zertifikats erfüllt.
Was nützt uns das als Firma?
Eine ISO/IEC 27001-Zertifizierung bietet nicht nur unseren Kunden Mehrwert, auch wir profitieren von vielen Vorteilen:
- Verbesserung der Sicherheit: Sie zeigt, dass wir unsere Risiken identifizieren und geeignete Sicherheitsmassnahmen implementiert haben. Die Zertifizierung garantiert auch die regelmässige Überprüfung und Anpassung der Risiken und Massnahmen.
- Vertrauensgewinn: Kunden sehen unser langjähriges Engagement in ISO 27001 als Qualitätsmerkmal und Sicherheitsnachweis, was Vertrauen schafft und oft eine Voraussetzung für Geschäftspartnerschaften ist.
- Rechtliche Compliance: Sie hilft bei der Einhaltung gesetzlicher und regulatorischer Anforderungen zum Schutz von Kundendaten.
Der Mehrwert für Sie als Vertec
Durch das international gültige ISO-27001-Zertifikat können wir unseren Kunden einen sorgsamen Umgang mit ihren Daten garantieren. Es ist kein Zufall, dass das entsprechende Asset «Kundendaten» bei uns zu den wichtigsten überhaupt gehört.
Lesen Sie dazu in unserer Regelung zur Auftragsdatenverarbeitung, wie wir die datenschutzrechtlichen Verpflichtungen gemäss DSGVO für EU-Kunden sowie DSG und VDSG für Schweizer Kunden erfüllen und personenbezogene Daten im Rahmen des Vertragsverhältnisses verarbeiten. Und auf unserer Webseite beschreiben wir zudem konkret unsere Haltung zum Thema «Datenschutz bei Vertec».
Ein weiteres signifikantes Asset ist für uns die Sicherheit der Vertec-Applikation selber. Wir lassen die Sicherheit regelmässig durch Penetration Tests überprüfen und haben eine Vielzahl von Massnahmen umgesetzt, um unser Produkt – auch im Hinblick auf das Cloud Abo – abzusichern. Beim Cloud Abo haben wie uns daher auch ganz bewusst für Subunternehmer entschieden, die ebenfalls ISO 27001 zertifiziert sind.
Sehr wertvoll war und ist unser ISMS auch beim Auf- und Ausbau der Cloud-Abo-Infrastruktur. Da die Daten unserer Kunden hier extern lagern und die Server einem externen Dienstleister gehören, gibt es eine Vielzahl von Risiken, Massnahmen und Fragen, die geklärt und umgesetzt werden müssen. Das ISMS hilft uns dabei, diese Fragen strukturiert und konsequent anzugehen. Was Vertec konkret für die Sicherheit beim Cloud Abo unternimmt, beschreiben wir in unserem Blogartikel «Sicherheit im Vertec Cloud Abo – ein Blick hinter die Kulissen».
Erfolgsfaktor Mitarbeiter-Bewusstsein
Auch die raffiniertesten technischen Security-Lösungen nützen nicht viel, wenn Themen rund um die Sicherheit im Bewusstsein der Mitarbeitenden nicht verankert sind und sie das ISMS nur als lästige Pflicht wahrnehmen.
Eine starke Sicherheitskultur ist entscheidend, um Kundendaten optimal zu schützen. Bei Vertec setzen wir daher nicht nur auf technische Massnahmen, sondern schulen unsere Mitarbeitenden regelmässig in vielen Aspekten der Informationssicherheit. Diese Schulungen machen die Mitarbeitenden mit den relevanten Bedrohungen und Sicherheitsstandards vertraut und verankern das Bewusstsein für Datensicherheit im Arbeitsalltag.
Wir besprechen monatlich aktuelle Entwicklungen und Sicherheitsrisiken und stärken dadurch die Aufmerksamkeit und Achtsamkeit unserer Mitarbeitenden im Umgang mit sensiblen Daten. Damit reduzieren wir potenzielle Sicherheitsrisiken und stellen sicher, dass Ihre Daten jederzeit gut geschützt sind.
Durch diese fortlaufenden Schulungen Massnahmen profitieren Sie als Kunde von einem Team, das hoch sensibilisiert und gut vorbereitet ist. Unsere Mitarbeitenden können so auf neue Bedrohungen schnell reagieren und die Informationssicherheit bei Vertec aktiv mitgestalten.