Z radością informujemy, że po miesiącach ciężkiej pracy uzyskaliśmy certyfikat ISO 27001! Ten kamień milowy podkreśla nasze zaangażowanie w bezpieczeństwo danych na najwyższym poziomie. Mówiąc najprościej, Twoje poufne informacje są w bezpiecznych rękach. Zdobycie tego certyfikatu nie było łatwe - wymagało odporności i skupienia. Na szczęście Andor był naszym przewodnikiem podczas całego procesu. W tym wpisie na blogu dzieli się tym, jak z powodzeniem pokonaliśmy tę drogę.
Bezpieczeństwo zawsze było najwyższym priorytetem w Easy LMS i już teraz ściśle przestrzegamy standardów RODO. Dlaczego więc zdecydowaliśmy się uzyskać certyfikat ISO 27001? Jakie dodatkowe korzyści przyniosło to naszym dotychczasowym działaniom?
"Oczywiście, poczyniliśmy już duże postępy w zakresie naszych środków bezpieczeństwa, ale brakowało nam jasnego obrazu tego, jak naprawdę były one dokładne. Wiedzieliśmy, co jest na miejscu, ale identyfikacja luk była wyzwaniem. To właśnie tam pojawiła się norma ISO 27001 - zapewniła nam solidne ramy, które znacznie ułatwiły wskazanie słabych punktów i skuteczne ich wyeliminowanie. To był dla nas przełom. Nie tylko zwiększyło nasze zaufanie do bezpieczeństwa, ale także zapewniło, że jeśli coś pójdzie nie tak, możemy szybko powstrzymać szkody i wrócić do normalnego funkcjonowania. Takie podejście znacznie zmniejszyło stres naszych programistów i dało naszym klientom pewność, że ich dane są u nas bezpieczne".
Ostatecznie podjęto decyzję o uzyskaniu certyfikatu ISO 27001. Ale jak poradzić sobie z tak ogromnym projektem? Jaki był pierwszy krok?
"Szczerze mówiąc, na początku było to dość trudne. Ja i mój partner w zbrodni - Job, nasz były CTO - mieliśmy niewielkie doświadczenie we wdrażaniu takiego standardu i nie byliśmy pewni, jak to wszystko się połączy. Zaczęliśmy od zakupu szablonu Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) i po prostu rzuciliśmy się w wir pracy. Pierwszym logicznym krokiem była ocena tego, czego potrzebowaliśmy i rozpoczęcie tworzenia wszystkiego, czego brakowało. W miarę pracy w naturalny sposób zorientowaliśmy się, co jest najlepsze dla nas i naszej firmy".
W jaki sposób śledziłeś postępy podczas projektu? Jakie było twoje podejście?
"Job i ja odbywaliśmy cotygodniowe spotkania, aby upewnić się, że zawsze zbliżamy się o krok do naszego celu. Używaliśmy metody podobnej do Improvement Kata, którą stosujemy również w innych obszarach. Oznaczało to skupienie się na najmniejszych krokach, które mogłyby przybliżyć nas do celu. Często wiązało się to z dokumentowaniem bieżącej sytuacji lub wprowadzaniem drobnych poprawek do procesów, aby sprawdzić, czy działają dla nas".
Największym wyzwaniem było zrozumienie, czego dokładnie się od nas oczekuje
.
Co było największym wyzwaniem w całym procesie?
"Największym wyzwaniem było zrozumienie, czego dokładnie się od nas oczekuje. Certyfikacja jest przeznaczona zarówno dla dużych banków, jak i małych firm, więc wymagania mogą się znacznie różnić. Przy wielu różnych interpretacjach online kluczowe znaczenie miało wskazanie, co jest konkretnie potrzebne w naszej sytuacji, co czasami było trudne do oddzielenia od perspektyw innych osób".
Wdrożenie ISMS ma kluczowe znaczenie dla certyfikacji ISO 27001 i często oznacza zmianę sposobu pracy pracowników. W jaki sposób udało Ci się zmotywować zespół Easy LMS do wprowadzenia tych zmian, zwłaszcza gdy mogło się to wydawać ciężarem?
"Oczywiście, przekonanie wszystkich do zmian w zabezpieczeniach może być trudne. Jeśli proces jest zbyt skomplikowany lub irytujący, ludzie mogą próbować go ominąć. Od samego początku skupialiśmy się na tym, aby wszystko było jak najprostsze dla naszego zespołu. Celem było zwiększenie bezpieczeństwa procesów bez przeszkadzania im w pracy. Chcieliśmy sprawić, by nieprawidłowe działanie było prawie niemożliwe. Ponadto chcieliśmy uniknąć obwiniania - jeśli coś pójdzie nie tak, nie chodzi o wskazywanie palcami, ale o ulepszenie procesu".
A potem nadszedł dzień audytu przeprowadzonego przez Brand Compliance, naszego partnera ISO. Jak to było? Denerwowałeś się?
"Zdecydowanie! Spędziliśmy miesiące przygotowując się na ten moment i czułem, że wszystko może się rozsypać w każdej chwili. Ale miałem też zaufanie do wykonanej przez nas pracy. Kiedy przybył audytor, wyjaśnił dokładnie, czego się spodziewać, jak będzie przebiegał proces i czego będzie szukał. To naprawdę pomogło złagodzić nasze nerwy podczas audytu".
Byliśmy zachwyceni, gdy otrzymaliśmy wyniki
.
Myślę, że ulga była duża, gdy otrzymaliśmy pozytywny wynik?
"Absolutnie! Byliśmy zachwyceni, gdy otrzymaliśmy wyniki. Było kilka rzeczy do poprawienia, ale kiedy już je naprawiliśmy, otrzymaliśmy certyfikat ISO 27001. To była ogromna ulga i bardzo ważne potwierdzenie".
Teraz, gdy jesteśmy certyfikowani, co dalej?
"Teraz chodzi o korzystanie z systemu, który wdrożyliśmy. Utrzymanie i korzystanie z niego jest w rzeczywistości znacznie łatwiejsze niż jego konfiguracja. Kluczem jest dalsze korzystanie z systemu w celu zapewnienia ciągłego bezpieczeństwa i ciągłego doskonalenia. W miarę jak Easy LMS ewoluuje, musimy upewnić się, że zmiany te pozostaną bezpieczne. W końcu przejdziemy ponowną certyfikację, aby upewnić się, że wszystko nadal działa płynnie, i ważne jest, abyśmy również to przeszli".
Posiadamy certyfikat ISO 27001. Chcesz dowiedzieć się więcej o tym, jak dbamy o bezpieczeństwo Twoich danych? Sprawdź naszą politykę prywatności!.
