Vi er glade for at kunne meddele, at vi efter måneders hårdt arbejde har opnået ISO 27001-certificering! Denne milepæl understreger vores engagement i datasikkerhed i topklasse. Kort sagt, dine følsomme oplysninger er i sikre hænder. Det var ikke let at opnå denne certificering - det krævede modstandskraft og fokus. Heldigvis var Andor vores ledende kraft gennem hele processen. I dette blogindlæg fortæller han, hvordan vi klarede rejsen.
Sikkerhed har altid været en topprioritet hos Easy LMS, og vi følger allerede GDPR-standarderne nøje. Så hvorfor besluttede vi at blive ISO 27001-certificeret? Hvilke ekstra fordele gav det i forhold til det, vi allerede gjorde?
"Absolut, vi havde allerede gjort store fremskridt med vores sikkerhedsforanstaltninger, men vi manglede et klart billede af, hvor grundige de egentlig var. Vi vidste, hvad der var på plads, men det var en udfordring at identificere hullerne. Det var her, ISO 27001 kom ind i billedet - den gav os en solid ramme, som gjorde det meget nemmere at finde sårbarheder og lukke dem effektivt. Det var en gamechanger for os. Det øgede ikke kun vores tillid til vores sikkerhed, men sikrede også, at hvis noget går galt, kan vi hurtigt begrænse skaden og komme tilbage. Denne tilgang har i høj grad reduceret stress for vores udviklere og givet vores kunder ro i sindet, fordi de ved, at deres data er sikre hos os."
I sidste ende blev det besluttet at gå efter en ISO 27001-certificering. Men hvordan griber man sådan et stort projekt an? Hvad var det første skridt?
"Helt ærligt, så var det ret udfordrende i starten. Jeg og min partner in crime - Job, vores tidligere CTO - havde ikke megen erfaring med at implementere en standard som denne og var ikke sikre på, hvordan det hele skulle gå op i en højere enhed. Vi startede med at købe en skabelonversion af et ledelsessystem for informationssikkerhed (ISMS) og kastede os bare ud i det. Det første logiske skridt var at vurdere, hvad vi havde brug for, og begynde at skabe alt det, der manglede. Efterhånden som vi arbejdede os igennem det, fandt vi helt naturligt ud af, hvad der fungerede bedst for os og vores virksomhed."
Hvordan fulgte du udviklingen i projektet? Hvad var din tilgang?
"Job og jeg havde ugentlige møder for at sikre, at vi hele tiden kom et skridt nærmere vores mål. Vi brugte en metode, der minder om Improvement Kata, som vi også bruger på andre områder. Det betød, at vi fokuserede på de mindste skridt, der kunne bringe os tættere på vores mål. Ofte handlede det om at dokumentere den aktuelle situation eller foretage små justeringer af processer for at se, om de fungerede for os."
Den største udfordring var at forstå præcis, hvad der blev forventet af os
.
Hvad var den mest udfordrende del af hele processen?
"Den største udfordring var at forstå præcis, hvad der blev forventet af os. Certificeringen er beregnet til både store banker og små virksomheder, så kravene kan variere meget. Med mange forskellige fortolkninger på nettet var det afgørende at finde ud af, hvad der specifikt var nødvendigt for vores situation, hvilket nogle gange var svært at adskille fra andres perspektiver."
Implementering af ISMS er afgørende for ISO 27001-certificering, og det betyder ofte, at man skal ændre medarbejdernes måde at arbejde på. Hvordan holdt du Easy LMS-teamet motiveret og med på disse ændringer, især når det kunne have føltes som en byrde?
"Absolut, det kan være svært at få alle med på sikkerhedsændringer. Hvis processen er for kompliceret eller irriterende, vil folk måske forsøge at omgå den. Fra starten fokuserede vi på at gøre tingene så enkle som muligt for vores team. Målet var, at processerne skulle forbedre sikkerheden uden at komme i vejen for deres arbejde. Vi forsøgte at gøre det næsten umuligt at gøre tingene forkert. Desuden ville vi undgå at give nogen skylden - hvis noget går galt, handler det ikke om at pege fingre, men om at forbedre processen."
Og så kom dagen for revisionen, foretaget af Brand Compliance, vores ISO-partner. Hvordan var det? Var du nervøs?
"Helt sikkert! Vi havde brugt måneder på at forberede os på dette øjeblik, og det føltes, som om alt kunne falde fra hinanden når som helst. Men jeg havde også tillid til det arbejde, vi havde gjort. Da auditøren ankom, forklarede de præcis, hvad vi kunne forvente, hvordan processen ville forløbe, og hvad de ville kigge efter. Det var virkelig med til at lette vores nerver under revisionen."
Vi var overlykkelige, da vi fik resultaterne
.
Jeg gætter på, at lettelsen var stor, da vi fik det positive resultat?
"Helt sikkert! Vi var overlykkelige, da vi fik resultaterne. Der var et par ting, der skulle justeres, men da vi havde lagt planer for at løse dem, fik vi vores ISO 27001-certifikat. Det var en kæmpe lettelse og meget bekræftende."
Nu hvor vi er certificeret, hvad er så det næste?
"Nu handler det om at bruge det system, vi har fået på plads. Det er faktisk meget nemmere at vedligeholde og bruge det end at sætte det op. Nøglen er at blive ved med at bruge systemet for at sikre løbende sikkerhed og kontinuerlige forbedringer. Efterhånden som Easy LMS udvikler sig, skal vi sørge for, at ændringerne forbliver sikre. Til sidst skal vi igennem en recertificering for at sikre, at alt stadig kører problemfrit, og det er også vigtigt for os at bestå den."
Vi er ISO 27001-certificeret. Vil du vide mere om, hvordan vi sikrer dine data? Tjek vores Privatlivspolitik!
