Siamo entusiasti di annunciare che, dopo mesi di duro lavoro, abbiamo ottenuto la certificazione ISO 27001! Questo traguardo sottolinea il nostro impegno per una sicurezza dei dati di alto livello. In poche parole, le vostre informazioni sensibili sono in mani sicure. Ottenere questa certificazione non è stato facile: ha richiesto resilienza e concentrazione. Fortunatamente, Andor è stato la nostra guida durante tutto il processo. In questo post sul blog, condivide il modo in cui abbiamo affrontato con successo il viaggio.
La sicurezza è sempre stata una priorità assoluta per Easy LMS e seguiamo già da vicino gli standard GDPR. Perché abbiamo deciso di ottenere la certificazione ISO 27001? Quali benefici aggiuntivi ha portato a ciò che stavamo già facendo?
"Assolutamente sì, avevamo già fatto passi da gigante con le nostre misure di sicurezza, ma non avevamo un'idea chiara di quanto fossero realmente complete. Sapevamo cosa c'era, ma identificare le lacune era una sfida. È qui che è entrata in gioco la norma ISO 27001: ci ha fornito un quadro solido che ha reso molto più facile individuare le vulnerabilità e colmarle in modo efficace. Per noi è stata una svolta. Non solo ha aumentato la nostra fiducia nella sicurezza, ma ha anche assicurato che se qualcosa va storto, possiamo contenere rapidamente i danni e riprenderci. Questo approccio ha ridotto notevolmente lo stress dei nostri sviluppatori e ha dato ai nostri clienti la tranquillità di sapere che i loro dati sono al sicuro con noi".
Alla fine si è deciso di perseguire la certificazione ISO 27001. Ma come si affronta un progetto così imponente? Qual è stato il primo passo?
"Onestamente, all'inizio è stato piuttosto impegnativo. Io e il mio partner - Job, il nostro ex CTO - avevamo poca esperienza nell'implementazione di uno standard come questo e non eravamo sicuri di come si sarebbe svolto il tutto. Abbiamo iniziato acquistando una versione modello di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) e ci siamo buttati a capofitto. Il primo passo logico è stato quello di valutare ciò che ci serviva e iniziare a creare tutto ciò che mancava. Man mano che lavoravamo, abbiamo capito naturalmente cosa funzionava meglio per noi e per la nostra azienda".
Come avete seguito i progressi durante il progetto? Qual è stato il vostro approccio?
"Io e Job ci riunivamo settimanalmente per assicurarci di fare sempre un passo avanti verso il nostro obiettivo. Abbiamo usato un metodo simile al Kata del miglioramento, che applichiamo anche in altri settori. Questo significava concentrarsi sui passi più piccoli che potevano avvicinarci al nostro obiettivo. Spesso si trattava di documentare la situazione attuale o di apportare piccole modifiche ai processi per vedere se funzionavano".
La sfida più grande è stata capire esattamente cosa ci si aspettava da noi
.
Qual è stata la parte più impegnativa dell'intero processo?
"La sfida più grande è stata capire esattamente cosa ci si aspettava da noi. La certificazione è destinata sia alle grandi banche che alle piccole imprese, quindi i requisiti possono variare notevolmente. Con molte interpretazioni diverse online, è stato fondamentale individuare ciò che era specificamente necessario per la nostra situazione, che a volte era difficile da separare dalle prospettive degli altri."
L'implementazione dell'ISMS è fondamentale per la certificazione ISO 27001 e spesso significa cambiare il modo di lavorare dei dipendenti. Come ha fatto a mantenere il team di Easy LMS motivato e coinvolto in questi cambiamenti, soprattutto quando potevano sembrare un peso?
"Assolutamente sì, ma convincere tutti a partecipare alle modifiche alla sicurezza può essere complicato. Se il processo è troppo complicato o fastidioso, le persone potrebbero cercare di aggirarlo. Fin dall'inizio ci siamo concentrati sul rendere le cose il più semplici possibile per il nostro team. L'obiettivo era che i processi migliorassero la sicurezza senza intralciare il loro lavoro. Volevamo che fosse quasi impossibile sbagliare. Inoltre, volevamo evitare il gioco delle colpe: se qualcosa va storto, non si tratta di puntare il dito, ma di migliorare il processo".
E poi è arrivato il giorno della verifica, da parte di Brand Compliance, il nostro partner ISO. Com'è andata? Era nervoso?
"Decisamente! Avevamo trascorso mesi a prepararci per questo momento e sembrava che tutto potesse crollare da un momento all'altro. Ma avevo anche fiducia nel lavoro che avevamo fatto. Quando l'auditor è arrivato, ci ha spiegato esattamente cosa aspettarci, come avrebbe funzionato il processo e cosa avrebbe cercato. Questo ci ha davvero aiutato a distendere i nervi durante l'audit".
Siamo stati felicissimi quando abbiamo ottenuto i risultati
.
Immagino che il sollievo sia stato grande quando abbiamo ricevuto il risultato positivo?
"Assolutamente! Siamo stati felicissimi quando abbiamo ottenuto i risultati. C'erano alcune cose da mettere a punto, ma una volta che ci siamo organizzati per risolverle, abbiamo ricevuto il nostro certificato ISO 27001. È stato un enorme sollievo e una grande convalida".
Ora che siamo certificati, qual è il prossimo passo?
"Ora si tratta solo di utilizzare il sistema che abbiamo messo a punto. Mantenerlo e utilizzarlo è molto più facile che configurarlo. La chiave è continuare a usare il sistema per garantire la sicurezza e il miglioramento continuo. Con l'evoluzione di Easy LMS, dobbiamo assicurarci che le modifiche rimangano sicure. Alla fine, dovremo procedere a una ricertificazione per garantire che tutto funzioni ancora senza intoppi, ed è importante per noi superare anche questa fase".
Siamo certificati ISO 27001. Volete saperne di più su come manteniamo i vostri dati al sicuro? Consultate la nostra informativa sulla privacy!
