Datensicherheit als zentraler Erfolgsfaktor

Im Sinne eines ganzheitlichen Risikomanagements hat sich die OBT AG nach ISO 27001 zertifizieren lassen. Die Kunden profitieren nun von noch mehr Informationssicherheit und nachvollziehbaren Prozessen. Mit diesem Schritt sichert sich OBT einen nachhaltigen Unternehmenserfolg und ist gut gerüstet, um zukünftigen Marktanforderungen gerecht zu werden.

Das Thema Informations- oder Datensicherheit steht in den vier OBT Fachbereichen Treuhand, Steuer- und Rechtsberatung, Wirtschaftsprüfung und Informatik-Gesamtlösungen an erster Stelle. Auch seitens der Kunden ist das Sicherheitsbedürfnis laufend gestiegen. Für sie ist es zentral, dass mit ihren Informationen vorsichtig umgegangen wird und die elektronischen Informationen bei OBT in sicheren Händen sind. Aus diesem Grund hat die Geschäftsleitung im Herbst 2013 entschieden, das Projekt ISO 27001 ins Leben zu rufen.

Was bedeutet ISO 27001?
ISO 27001 ist eine internationale Norm, nach der ein Informationssicherheits-Managementsystem (ISMS) zertifiziert werden kann. Das ISMS umfasst alle Vorgaben, Prozesse und Kontrollen, die nötig sind, um die Informationssicherheit zu managen und sicherzustellen. Diese hat zum Ziel,

  • Informationen in gedruckter Form (Papier)
  • elektronische Informationen
  • mündliche Informationen

bezüglich

  • Vertraulichkeit
    (Informationen dürfen nur berechtigten Personen zugänglich sein)
  • Integrität
    (Informationen dürfen nicht unbefugt verändert werden)
  • Verfügbarkeit
    (Informationen müssen verfügbar sein)

zu schützen.

Von Anfang an war klar: Aufgrund ihrer verschiedenen Tätigkeiten in sehr sensitiven Bereichen (u.a. im Bereich Wirtschaftsprüfung Eidg. Revisionsaufsichtsbehörde [RAB]) stehen die Informationssicherheit der eigenen Informationen (Daten) und insbesondere der Kundendaten – und nicht die Zertifizierung – und nicht für OBT im Vordergrund.

Sowohl die qualitativ einwandfreie Arbeit und eine stringente Prozessorientierung als auch die IT-Fachkompetenz sind wichtige Erfolgsfaktoren, die die Kunden auch spüren sollen. Durch die Zertifizierung konnten die Ansprüche von OBT im Bereich Informationssicherheit durch externe Auditoren geprüft und bestätigt werden.

ISMS Scope
Zu Beginn des Projekts wurde der ISMS Scope (Geltungsbereich) definiert. Der Geltungsbereich wurde bewusst auf das gesamte Unternehmen OBT ausgedehnt. Dadurch sind nun die Informationen aller vier Fachbereiche inklusive internetbasierter Treuhand-Dienstleistungen (AbaWeb, Abacus-Hosting-Lösungen, Rechenzentrums-Lösungen OBT Swiss Cloud) Bestandteil des ISMS Scopes.

Der CISO als neue Funktion
Die äusserst wichtige Funktion eines Corporate Information Security Officers (CISO) wurde neu geschaffen. Dieser unterstützt die Geschäftsleitung in den Belangen der Informationssicherheit. Seine Tätigkeit soll dazu führen, dass Problemstellungen in diesem Themengebiet innerhalb der OBT AG rechtlich korrekt und weisungskonform abgehandelt werden.

Der CISO, welcher direkt dem CEO unterstellt ist, nimmt folgende Hauptaufgaben wahr:

  • Ansprechpartner für alle Mitarbeitenden bei Fragen rund um die Informationssicherheit
  • Beratung und Unterstützung von GL, Fachbereichsleitungen und Linienvorgesetzten im Bereich Informations- und IT-Sicherheit
  • Verantwortung für Aufbau, Betrieb und Weiterentwicklung des Informationssicherheits- Managementsystems (ISMS) sowie dessen Vorgaben und Prozesse
  • Begutachtung der sicherheitsrelevanten Projekte und Mitarbeit zur Sicherstellung, dass die Informationssicherheitsaspekte berücksichtigt und die Vorgaben des ISMS eingehalten werden
  • Verantwortung für die periodische Sensibilisierung aller Mitarbeitenden und Informationsverteilung im Bereich Informationssicherheit

Definierte Sicherheitsprozesse
Das aktive Managen der Informationssicherheit benötigt definierte Sicherheitsprozesse, die eingehalten und auch geprüft werden. Zu diesen gehören:

  • Risikomanagement
    Ein Risikomanagement wird geführt, um Sicherheitsrisiken zu identifizieren, zu bewerten (Risikoanalyse) und zu behandeln.
  • Inventarisierung und Klassifizierung
    Vermögenswerte werden inventarisiert und dem Schutzbedarf entsprechend beurteilt – also klassifiziert – was die Grundlage für die Anwendung angemessener Schutzmassnahmen bildet.
  • Security Exception Management
    Abweichungen von Sicherheitsvorgaben sind beim CISO begründet zu beantragen. Sie werden auf der Grundlage einer Risikoabschätzung beurteilt und gemäss definiertem Prozess freigegeben.
  • Security Incident Management
    Sicherheitsvorfälle werden zentral gemeldet, erfasst und ausgewertet, mit dem Ziel, entsprechende Massnahmen zu definieren, um das erneute Auftreten zu verhindern.

Das ändert sich mit der Zertifizierung:

  • Vereinheitlichung der Sensibilität für Informationssicherheit («gleiche Flughöhe für alle»)
  • Klar definierte Vorgaben bezüglich Informationssicherheit
  • IT-Betrieb (OBT Swiss Cloud und OBT intern) wird viel transparenter, die Prozesse sind dokumentiert und somit nachvollziehbar
  • Interne und externe Überprüfung durch CISO und externe Auditoren

Folgende Beispiele veranschaulichen die Konsequenzen für unseren IT-Betrieb:

  • Schulung der Mitarbeitenden
    Alle Mitarbeitenden werden sowohl beim Eintritt als auch laufend sensibilisiert und geschult. Für diese Schulung setzen wir ein eLearning-Tool ein.
  • Change Management
    Konfigurationsänderungen an produktiven Umgebungen müssen im Rahmen eines Genehmigungsprozesses abgewickelt werden.
  • Benutzermanagement
    Vergabe, Änderung und Entzug von Zugriffsberechtigungen müssen dokumentiert und nachvollziehbar sein.
  • Security Incident Management
    Sicherheitsvorfälle müssen gemeldet und umgehend behandelt werden. Sie werden genutzt, um daraus zu lernen und die Informationssicherheit zu verbessern.

Fazit
Die Orientierung unserer Aktivitäten und Prozesse im Bereich Informationssicherheit an den Vorgaben von ISO 27001 ist von hohem Nutzen und schafft einen wichtigen Mehrwert für OBT. Sie bildet die Basis für die Erfüllung der hohen Anforderungen an die Informationssicherheit.

Dank dem Projekt ISO 27001 haben wir einen grossen Fortschritt für die Sicherheit unserer Informationen und Systeme sowohl für unsere Kunden als auch für unser Unternehmen erreicht.

Das Projekt der ISO-27001-Zertifizierung ist zwar abgeschlossen, die Aufrechterhaltung und die kontinuierliche Verbesserung der Informationssicherheit sind jedoch ein stetiger Prozess, den wir konsequent angehen werden – das garantiert auch die Zertifizierung nach ISO 27001:2013.