Cybersecurity als Priorität: Fluke Reliability erhält ISO 27001-Zertifizierung

Cybersicherheit ist eine Priorität für eMaint und das gesamte Unternehmen Fluke Reliability. Dank des Engagements des Fluke Information Security Office erhielt Fluke Reliability im Oktober 2021 die Zertifizierung nach ISO/IEC 27001:2013. Der effektive Umgang mit Informationssicherheitsrisiken ist von zentraler Bedeutung für den Erfolg von Fluke Reliability und seiner Kunden.

ISO 27001 ist eine der international anerkannten Normen für Informationssicherheit. Sie bietet einen Rahmen für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS), das die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten gewährleistet. Dazu gehören Daten wie Finanzinformationen, geistiges Eigentum, Mitarbeiterdaten und sogar Informationen, die von Dritten verwaltet werden. Ein wirksames ISMS schützt vor Cyberangriffen, Datenlecks, Hackerangriffen oder Diebstahl.

Matthew Hudon, Direktor für Informationssicherheit bei Fluke, erklärte, dass das Team des Büros für Informationssicherheit im Jahr 2020 mehrere Zertifizierungsoptionen geprüft hat, bevor es sich für ISO 27001 entschied. "Es hat eher mit dem Managementsystem zu tun als mit irgendwelchen spezifischen Kontrollen, die Sie eingerichtet haben könnten", sagte er. "Fluke ist bereits nach ISO 9001 für sein Hardware-Engineering zertifiziert, also passte es irgendwie zum Thema."

Einer der ersten Schritte im Zertifizierungsprozess war die Verwendung der NIST Special Publication 800-53, "um eine Checkliste der Dinge zu haben, die wir aus der Perspektive der Cloud-Sicherheit implementieren mussten", so Hudon weiter.

Ein weiterer früher Schritt in diesem Prozess war die Einführung eines Tools für Governance, Risiko und Compliance (GRC). "Mit einem GRC-Tool konnten wir alle unsere Fortschritte verfolgen, die spezifischen Kontrollen, die wir einhalten mussten, und den Nachweis erbringen, dass diese Kontrollen eingehalten wurden", so Josh Ciaramitaro, GRC-Verantwortlicher für Informationssicherheit bei Fluke. Zu diesem Zweck wurde das Management Information Security Forum (MISF) eingerichtet, das sich aus den Abteilungen und Führungskräften zusammensetzt, die an der Umsetzung der Cybersicherheitsinitiativen beteiligt waren. Das MISF traf sich regelmäßig, um gemeinsam an den Aufgaben zu arbeiten, die zur Erlangung der ISO-Zertifizierung erledigt werden mussten.

Die Erlangung des Zertifikats und die damit verbundene Arbeit spiegeln das Leitbild des Büros für Informationssicherheit wider:

Die Aufgabe des Fluke Information Security Office besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Kunden-, Mitarbeiter- und Unternehmensinformationen zu schützen, indem die Informationssicherheit im gesamten Unternehmen programmatisch und kulturell verankert wird.

Sobald die Zertifizierung erteilt ist, gilt sie für drei Jahre. Die Aufrechterhaltung der Zertifizierung in diesem Zeitraum erfordert regelmäßige Audits, um sicherzustellen, dass alle geeigneten Maßnahmen und Kontrollen weiterhin durchgeführt werden.

"Wenn Sie der Eigentümer eines Systems wie Salesforce sind, sollten Sie sicherstellen, dass der Systemadministrator mindestens vierteljährlich eine Überprüfung aller Personen vornimmt, die noch in dieser Umgebung aktiv sind", erklärt Ciaramitaro. "Wenn also ein Mitarbeiter gekündigt oder versetzt wird und keinen Zugriff mehr benötigt, wird rechtzeitig darauf reagiert. Solche Überprüfungen verringern das Risiko potenzieller Sicherheitsverletzungen.

Weitere Anforderungen betreffen Bereiche wie Schulung und Sensibilisierung, physische Sicherheit am Standort und Tests zur Produktsicherheit.

Durch die Zertifizierung von Fluke Reliability durch einen Dritten können Kunden und potenzielle Kunden zusätzliches Vertrauen in die Cybersicherheitsstandards und -praktiken von FRS haben. "Wir sagen ihnen nicht nur, dass wir etwas tun, sondern es ist eine unabhängige dritte Partei", sagte Hudon. "Die ISO ist ein weltweites Gremium, das diese Dinge sehr ernst nimmt, daher müssen die Prüfer zertifiziert sein. Es gibt nur eine Handvoll Unternehmen auf der Welt, die diese Zertifizierung erteilen können. Sie haben also die Gewissheit, dass ein unabhängiger Dritter, der sehr qualifiziert ist, gekommen ist und überprüft hat, dass das, was wir sagen, tatsächlich wahr ist. Sie können sich vorstellen, dass dies für die Sicherheitsabteilungen unserer Kunden eine große Erleichterung darstellt."

Die Zertifizierung deckt auch Prozesse im Zusammenhang mit der Wiederherstellung im Katastrophenfall ab. "Alles, von einem Cyber-Ereignis über eine physische Katastrophe bis hin zu einem Wirbelsturm", sagte Hudon. "Die Wiederherstellung im Katastrophenfall ist ein wichtiger Bestandteil der ISO-Norm und auch ein wichtiges Anliegen der Kunden, die sicherstellen wollen, dass wir über die entsprechenden Prozesse verfügen, damit ihre Dienstleistungen nicht beeinträchtigt werden, wenn etwas passiert.

"Unsere RPO und RTO, d. h. Recovery Point Objective und Recovery Time Objective, liegen bei 12 und 24 Stunden. Wir sagen also einem Kunden: 'Wenn etwas passiert, ein Ransomware-Ereignis, eine Katastrophe, dann können wir Ihre Dienste innerhalb von 24 Stunden wieder in Betrieb nehmen, und die Daten in der Wiederherstellungsumgebung sind mindestens 12 Stunden alt. Alle drei Monate müssen sie das also testen, um sicherzustellen, dass die Backups funktionieren, dass der Prozess funktioniert und dass dies im Falle einer Katastrophe auch tatsächlich eintreten kann."

Interessierte Kunden und Interessenten können das Statement of Applicability (SoA) über das FRS-Sicherheitsportal einsehen. Im SoA wird der Anwendungsbereich wie folgt definiert:

Das FRS Information Security Management System (ISMS) ist verantwortlich für die Verwaltung der internen und externen Sicherheitsanforderungen für alle Entwicklungs-, QA- und Produktionsumgebungen, die alle SaaS-Lösungen von Fluke Reliability Global unterstützen.