CONVOTIS hat die ISO 27001 Zertifizierung erhalten. Nikola Dinic, Group CISO erzählt von den Herausforderungen und Vorteilen welche mit dem Zertifikat einhergehen.
Lieber Nikola, herzliche Gratulation zur erfolgreichen Re-Zertifizierung von CONVOTIS an den Standorten Wien und Hamburg. Du warst gemeinsam mit deinem Team maßgeblich an diesem Erfolg beteiligt. Welchen Stellenwert hat diese Zertifizierung?
Der Erhalt dieser Zertifizierung verdeutlicht die hohe Qualität der angewandten Sicherheitspraktiken und verbessert somit den Ruf des Unternehmens. Die Beziehung zu unseren Kunden wird verstärkt und wir erhalten einen bedeutsamen Wettbewerbsvorteil, wodurch sich neue Geschäftsmöglichkeiten eröffnen.
Für die ISO 27001 Zertifizierung werden regelmäßige Überprüfungen und interne Audits des ISMS benötigt, welche wiederholt von externen Prüfern kontrolliert werden. Unabhängige Experten bewerten die Funktionalität des ISMS sowie das Sicherheitsniveau in Bezug auf Informationen der Organisation und ihrer Kunden.
Wie profitiert ein internationaler Konzern wie CONVOTIS von einer ISO 27001 Zertifzierung?
Neben den bereits genannten Vorteilen werden die relevanten Sicherheitsmaßnahmen strukturierter und fokussierter. Besonders schnellwachsende Unternehmen, wie CONVOTIS, können mithilfe der Norm ISO 27001 ihre Produktivität steigern, da Verantwortlichkeiten für Informationsrisiken festgelegt werden. Nicht zuletzt bietet die Zertifizierung ein weltweit anerkanntes Indiz für die Effektivität der Sicherheit, was wiederholte Kundenaudits überflüssig macht und somit erhebliche Kostenersparnisse schafft.
Wie ist der Re-Zertifizierungsprozess bei CONVOTIS gelaufen? Was waren die größten Herausforderungen während der Reise?
Unsere größten Herausforderungen befanden sich vor allem im Bereich der Vereinheitlichung bzw. Harmonisierung der heterogenen IT-Infrastruktur und relevanter Informationssicherheitsprozesse, die diese unterstützen bzw. von diesen abhängig sind. Zudem legten wir einen starken Fokus auf das Risiko Management, um unsere Risikoidentifikation, -Kontextualisierung sowie Mitigierung zu verbessern.
Diesen Bereich stufte unser CONVOTIS Security Team als höchstkritisch ein, vor allem im Kontext einer innovativen Branche und den täglichen Bedrohungen des Unternehmens. Auch im Bereich des Asset Managements wurden große Bemühungen geleistet, welche es nicht zu unterschätzen gilt.
Welchen Tipp hast du für Kunden, die eine vergleichbare Zertifizierung vor sich haben?
Dies ist eine überaus komplexe Frage. Es gibt viele Faktoren die sich auf Scope, Prozessreifegrad sowie Prüfungsergebnisse auswirken und demnach im Blick behaltet werden müssen. Das Unternehmen muss verschiedenen Risiken trotzen.
Doch folgende Punkte möchte ich besonders hervorheben, da sie unternehmensunabhängig angewendet werden können:
- Zertifizieren Sie im richtigen Moment. Unabhängig davon, ob ihr Unternehmen kürzlich einen Datenschutzverstoß erlitten hat oder lediglich die Risiken abschätzt, ist die Verpflichtung zur ISO 27001 Zertifizierung stets der erste und wichtigste Schritt.
- Machen Sie Ihr Team so früh wie möglich mit dem Prozess vertraut. Informieren Sie über den Schutz von Kundendaten sowie die Verbesserung von Unternehmensgesundheit. Dadurch steigern Sie das Interesse Ihres Unternehmens an Datensicherheit und verdeutlichen Wert, Prozesse und Ziele der ISO Zertifizierung.
- Unterschätzen Sie nicht den Umfang des ISMS Ihrer Organisation. Indem Sie bestimmen was das ISMS Ihres Unternehmens enthalten und abdecken soll, strukturieren Sie zugleich Ihr System Der Geltungsbereich konzentriert sich auf Abhängigkeiten und Schnittstellen:
Abhängigkeiten liegen außerhalb der Organisation und beinhalten Dienstleistungen von Dritten, z.B. die Buchhaltung. Sind diese identifiziert und beseitigt, fokussieren Sie sich auf die Schnittstellen. Hierunter fallen alle Endpunkte innerhalb Ihres Netzwerks, z. B. der Router, sowie übergeordnete Schnittstellen wie Mitarbeiter und Prozesse.
Wie wirkt sich die Re-Zertifizierung auf das Security Portfolio von CONVOTIS aus?
Der Re-Zertifizierungsprozess hat uns die Wichtigkeit von Synergieeffekten im Bereich der Informationssicherheit verdeutlicht. Konkret handelt es sich um den Know-How Austausch zwischen unseren Entitäten, die gemeinsamen Projektmanagement-Aktivitäten bei unseren Kunden, sowie den vermehrten Einsatz einheitlicher Security Tools auf Gruppenebene.
Für die Periode 2023-2024 streben wir im Compliance-Bereich eine konzernweite, einheitliche ISO 27001 Zertifizierung über alle Entitäten und Standorte an.