Wie Nyaya bei der ISO 27001-Zertifizierung 100 Stunden einsparen konnte

Die Experten von DataGuard haben dem Start-up-Unternehmen geholfen, Wissenslücken zu schließen und die Zertifizierung nach ISO 27001 zu beschleunigen. So lief es ab.

Start-ups und KMU verfügen oft nicht über das nötige Know-how, um alle geschäftlichen Herausforderungen zu meistern. Kein Wunder - sie sind oft zu sehr damit beschäftigt, neue Märkte zu erschließen, um Kunden zu kämpfen und sich in Aktivitäten zu engagieren, die noch nicht richtig durchdacht wurden. Dies beschreibt das Englische Sprichwort „trying to build a plane when it’s already in the air”. Es herrscht Hochleistungsbetrieb.

Aber was passiert, wenn sich ein Unternehmen auf die weniger aufregenden (aber ebenso wichtigen) Aufgaben konzentrieren muss? Was tun, wenn Kunden plötzlich nach Informationssicherheit und Datenschutz-Compliance fragen? Wo findet man die nötige Expertise, wenn alle anderen schon ausgelastet sind?

Fragen, die sich Nyaya - ein Unternehmen, das Kunden dabei hilft, nachhaltige Überzeugungen mit finanziellen Entscheidungen in Einklang zu bringen - im Jahr 2023 stellen musste.

Externe Experten füllen interne Wissenslücken.

In diesem Fall stellte Nyayas COO Hubert Beaulat die Fragen. Warum? Weil potenzielle Kunden immer wieder betonten: Wir müssen ISO 27001 einhalten, sonst verlieren wir unser Geschäft. Doch wie viele kleine Unternehmen hatte Nyaya weder die personellen Ressourcen noch das Know-how, um den ISO-Zertifizierungsprozess zu bewältigen. Deshalb lag die Verantwortung bei Hubert.

„Informationssicherheit ist nicht der spannendste Teil meiner Arbeit, aber im Moment unverzichtbar, da wir im Team nicht über die nötige Erfahrung verfügen“, gibt Hubert zu. „Deshalb war es sehr wichtig, dass DataGuard mir mit Rat und Tat zur Seite stand und uns bei allen verfahrenstechnischen Herausforderungen unterstützte.“

Durch den Einsatz von DataGuard konnte Nyaya die Einrichtungs- und Dokumentationszeit des ISMS um 66% reduzieren.

Das kann viel Arbeit bedeuten. Ein Beispiel dafür ist der Zertifizierungsprozess von Nyaya, der den Aufbau eines Information Security Management Systems (ISMS) beinhaltet. Dies erfordert eine umfangreiche Dokumentation - eine große Herausforderung für einen vielbeschäftigten COO.

Die kommerzielle Zukunft von Nyaya zu sichern und eine schnelle Compliance zu gewährleisten.

„Wir hätten alles von Grund auf lernen müssen“, sagt Hubert. „Und bei der Vielzahl der erforderlichen Verfahren war es für mich unmöglich, alles zu lernen. Auf das Wissen und die Erfahrung von DataGuard zurückgreifen zu können, war ein absoluter Game-Changer.“

Nyaya schätzt, dass die Dokumentation von 50 Verfahren für das ISMS-Projekt normalerweise 3 Stunden pro Verfahren in Anspruch genommen hätte. Durch die Verwendung vorhandener Vorlagen auf der DataGuard-Plattform konnte die Zeit jedoch drastisch verkürzt werden. Die Dokumente mussten weniger bearbeitet oder überarbeitet werden - und nur eine Handvoll Dokumente musste überhaupt angepasst werden.

Das Ergebnis? Eine Reduzierung des Zeitaufwands auf 50 Stunden - eine Einsparung von 66%.

Kunden erwarten die höchsten Compliance-Standards

Es gibt viele Gründe, sich nach ISO 27001 zertifizieren zu lassen. Einer der Hauptgründe für Hubert und sein Team war jedoch, potenziellen Kunden zu zeigen, dass sich Nyaya den höchsten Standards für Datenschutz und Informationssicherheit verpflichtet fühlt.

„Wir entwickeln innovative Software für Banken und Finanzinstitute“, erklärt Hubert. „Das ist eine Branche, in der die Kunden besonders darauf achten, dass ihre Daten umfassend geschützt sind. Die Zertifizierung nach ISO 27001 war daher ein wichtiger Schritt, um dem Markt zu zeigen, dass wir Daten auf die effizienteste und sicherste Art und Weise verwalten.“

Vom ersten Tag an ein Bewusstsein für Compliance schaffen

Doch es ging nicht nur darum, einmalig für neue Geschäfte zu sorgen. Schon in dieser frühen Phase der Unternehmensentwicklung wollte Hubert mit seinem Team auf kontinuierliche Verbesserung setzen.

„Die Zertifizierung nach ISO 27001 war ein wichtiger Schritt, um dem Markt zu zeigen, dass wir Daten auf die effizienteste und sicherste Art und Weise verwalten“.

„Unser Unternehmen wurde mit dem Ziel gegründet, von Anfang an gute Praktiken zu etablieren, um sofort mit großen Institutionen zusammenarbeiten zu können“, erklärt Hubert. „Das ist mir besonders wichtig, weil es dazu beiträgt, eine bestimmte Denkweise zu verankern. Es geht darum, dass das gesamte Team versteht, worauf es ankommt, und dass es das Gelernte in die Praxis umsetzen kann.“

Eine effektive Methode, um dieses Ziel zu erreichen, ist der Einsatz der DataGuard Academy. „Wir haben begonnen, die DataGuard Academy zu nutzen, um sicherzustellen, dass wir wichtige obligatorische Sicherheitsschulungen im Team haben und dass die Plattform einwandfrei funktioniert. Wir haben bereits drei Pflichtschulungsmodule ausgewählt und bisher läuft alles sehr gut.“

Die DataGuard-Plattform ist aber nicht nur ein Wissensspeicher. Die Administratoren können auf Auswertungen zugreifen, um zu sehen, wie viele Nutzer die Schulungsmodule absolviert haben, und um die Abschlussquoten auszuwerten. „Ich verwende DataGuard, um sicherzustellen, dass sich alle an die Regeln halten“, sagt Hubert. „Es ist wichtig, dass wir sehen können, ob die Leute die vorgeschriebenen Schulungen innerhalb des vorgegebenen Zeitrahmens absolviert haben. Die DataGuard-Plattform gibt uns diese Möglichkeit.“

„Wir haben bereits drei Pflichtschulungsmodule der DataGuard Academy ausgewählt. Bis jetzt läuft alles sehr gut.“

Warum weiterhin mit DataGuard zusammenarbeiten?

„Die Beziehung, die wir zu unserem DataGuard-Experten Yazid aufgebaut haben, bedeutet mir sehr viel“, sagt Hubert. „Ich weiß, dass er da ist, wenn ich ihn brauche, und dass er mir immer mit Rat und Tat zur Seite steht. Und wir haben noch viel Arbeit vor uns!“

Für das ambitionierte Start-up-Unternehmen ist das erst der Anfang. Während die ISO 27001-Zertifizierung ein entscheidender erster Schritt war, hat Nyaya ehrgeizige Pläne für seine weitere Compliance-Reise. Zu den ersten Aufgaben gehören die vollständige Migration auf die DataGuard-Plattform und die Planung des Übergangs zur ISO 27001:2022.

Wir freuen uns auf die zukünftige Zusammenarbeit mit Hubert und seinem Team.