אנו שמחים לבשר כי לאחר חודשים של עבודה מאומצת, השגנו את הסמכת ISO 27001! אבן דרך זו מדגישה את מחויבותנו לאבטחת מידע ברמה הגבוהה ביותר. במילים פשוטות, המידע הרגיש שלכם נמצא בידיים בטוחות. השגת הסמכה זו לא הייתה קלה – היא דרשה עמידות והתמדה. למרבה המזל, אנדור היה הכוח המניע שלנו לאורך כל התהליך. בפוסט זה בבלוג, הוא משתף כיצד הצלחנו לעבור את המסע בהצלחה.
אבטחה תמיד הייתה בראש סדר העדיפויות של Easy LMS, ואנו כבר פועלים בהתאם לתקני GDPR. אז מדוע החלטנו להשיג את הסמכת ISO 27001? אילו יתרונות נוספים היא הביאה למה שכבר עשינו?
"בהחלט, כבר עשינו צעדים גדולים בתחום אבטחת המידע, אבל לא היה לנו תמונה ברורה עד כמה הם באמת יסודיים. ידענו מה קיים, אבל היה לנו קשה לזהות את החוסרים. כאן נכנס לתמונה תקן ISO 27001 – הוא סיפק לנו מסגרת איתנה שהקלה עלינו מאוד לאתר נקודות תורפה ולתקן אותן ביעילות. זה היה שינוי משמעותי עבורנו. זה לא רק חיזק את האמון שלנו באבטחה שלנו, אלא גם הבטיח שאם משהו ישתבש, נוכל להכיל את הנזק במהירות ולהתאושש. גישה זו הפחיתה משמעותית את הלחץ על המפתחים שלנו ונתנה ללקוחותינו את השקט הנפשי שהנתונים שלהם בטוחים אצלנו".
בסופו של דבר, הוחלט להמשיך בתהליך ההסמכה לתקן ISO 27001. אך כיצד מתמודדים עם פרויקט כה נרחב? מה היה הצעד הראשון?
"בכנות, בהתחלה זה היה די מאתגר. לי ולשותפי לפשע – ג'וב, המנכ"ל הטכנולוגי לשעבר שלנו – לא היה ניסיון רב ביישום תקן כזה ולא היינו בטוחים איך הכל יסתדר. התחלנו ברכישת גרסת תבנית של מערכת ניהול אבטחת מידע (ISMS) ופשוט צללנו לעבודה. הצעד ההגיוני הראשון היה להעריך את הצרכים שלנו ולהתחיל ליצור את כל מה שחסר. במהלך העבודה, הבנו באופן טבעי מה הכי מתאים לנו ולחברה שלנו".
כיצד עקבת אחר ההתקדמות במהלך הפרויקט? מה הייתה הגישה שלך?
"ג'וב ואני קיימנו פגישות שבועיות כדי לוודא שאנחנו מתקדמים צעד אחר צעד לעבר המטרה. השתמשנו בשיטה דומה ל-Improvement Kata, אותה אנו מיישמים גם בתחומים אחרים. משמעות הדבר הייתה התמקדות בצעדים הקטנים ביותר שיכולים לקרב אותנו אל היעד. לעתים קרובות, זה כלל תיעוד של המצב הקיים או ביצוע שינויים קטנים בתהליכים כדי לבדוק אם הם עובדים עבורנו."
האתגר הגדול ביותר היה להבין בדיוק מה מצופה מאיתנו.
מה היה החלק המאתגר ביותר בתהליך כולו?
"האתגר הגדול ביותר היה להבין בדיוק מה מצופה מאיתנו. ההסמכה מיועדת הן לבנקים גדולים והן לעסקים קטנים, ולכן הדרישות יכולות להשתנות במידה רבה. עם פרשנויות רבות ושונות ברשת, היה קריטי לזהות מה נדרש ספציפית למצב שלנו, מה שלעתים היה קשה להפריד מנקודות המבט של אחרים."
יישום מערכת ניהול אבטחת מידע (ISMS) הוא חיוני לקבלת הסמכת ISO 27001, ולעתים קרובות כרוך בשינוי אופן העבודה של העובדים. איך שמרתם על המוטיבציה של צוות Easy LMS ועל שיתוף הפעולה שלו עם השינויים, במיוחד כאשר הם עלולים היו להיתפס כנטל?
"בהחלט, לשכנע את כולם לקבל את שינויי האבטחה יכול להיות מאתגר. אם התהליך מסובך או מעצבן מדי, אנשים עלולים לנסות לעקוף אותו. מההתחלה, התמקדנו בלהפוך את הדברים לפשוטים ככל האפשר עבור הצוות שלנו. המטרה הייתה שהתהליכים ישפרו את האבטחה מבלי להפריע לעבודה. רצינו להפוך את הטעויות לכמעט בלתי אפשריות. בנוסף, רצינו להימנע מהטלת אשמה – אם משהו משתבש, לא צריך להאשים אף אחד, אלא לשפר את התהליך".
ואז הגיע יום הביקורת, על ידי Brand Compliance, השותף שלנו לתקן ISO. איך היה? הייתם לחוצים?
"בהחלט! השקענו חודשים בהכנות לקראת הרגע הזה, והיה לנו תחושה שהכל עלול להתפרק בכל רגע. אבל גם האמנתי בעבודה שעשינו. כשהגיע המבקר, הוא הסביר לנו בדיוק למה לצפות, איך יתנהל התהליך ומה הוא יבדוק. זה מאוד עזר לנו להירגע במהלך הביקורת."
שמחנו מאוד כשקיבלנו את התוצאות
אני מניח שההקלה הייתה גדולה כשקיבלנו את התוצאה החיובית?
"בהחלט! שמחנו מאוד כשקיבלנו את התוצאות. היו כמה דברים שצריך היה לשפר, אבל ברגע שתכננו לתקן אותם, קיבלנו את תעודת ISO 27001. זו הייתה הקלה גדולה ואישור משמעותי."
עכשיו, לאחר שקיבלנו את ההסמכה, מה הצעד הבא?
"עכשיו הכל עניין של שימוש במערכת שהקמנו. התחזוקה והשימוש בה קלים בהרבה מההקמה. המפתח הוא להמשיך להשתמש במערכת כדי להבטיח אבטחה מתמשכת ושיפור מתמיד. ככל ש-Easy LMS מתפתחת, עלינו לוודא שהשינויים נשארים מאובטחים. בסופו של דבר, נעבור תהליך הסמכה מחדש כדי לוודא שהכל עדיין פועל כראוי, וחשוב לנו לעבור אותו בהצלחה."
אנו בעלי הסמכת ISO 27001. רוצה לדעת יותר על איך אנו שומרים על אבטחת הנתונים שלך? קרא את מדיניות הפרטיות שלנו!
