Vi är glada över att kunna meddela att vi efter månader av hårt arbete har uppnått ISO 27001-certifiering! Denna milstolpe understryker vårt engagemang för datasäkerhet i toppklass. Enkelt uttryckt är din känsliga information i trygga händer. Att uppnå denna certifiering var inte lätt - det krävde uthållighet och fokus. Tack och lov var Andor vår vägledande kraft under hela processen. I det här blogginlägget delar han med sig av hur vi framgångsrikt navigerade på resan.
Säkerhet har alltid varit högsta prioritet på Easy LMS, och vi följer redan GDPR-standarderna noga. Så varför bestämde vi oss för att bli ISO 27001-certifierade? Vilka extra fördelar gav det oss i förhållande till det vi redan gjorde?
"Absolut, vi hade redan gjort stora framsteg med våra säkerhetsåtgärder, men vi saknade en tydlig bild av hur grundliga de egentligen var. Vi visste vad som fanns på plats, men att identifiera luckorna var en utmaning. Det var där ISO 27001 kom in i bilden - det gav oss ett gediget ramverk som gjorde det mycket enklare att hitta sårbarheter och åtgärda dem på ett effektivt sätt. Det här var en gamechanger för oss. Det ökade inte bara vårt förtroende för vår säkerhet utan säkerställde också att om något går fel kan vi snabbt begränsa skadan och komma tillbaka. Det här tillvägagångssättet har minskat stressen för våra utvecklare och gett våra kunder sinnesfrid genom att deras data är säkra hos oss."
I slutändan fattades beslutet att gå vidare med ISO 27001-certifiering. Men hur tar man sig an ett så stort projekt? Vad var det första steget?
"Ärligt talat var det ganska utmanande i början. Jag och min medbrottsling - Job, vår tidigare CTO - hade liten erfarenhet av att implementera en standard som denna och var inte säkra på hur allt skulle gå till. Vi började med att köpa en mallversion av ett ledningssystem för informationssäkerhet (ISMS) och sedan var det bara att kasta sig ut i det. Det första logiska steget var att bedöma vad vi behövde och börja skapa det som saknades. Allt eftersom vi arbetade med det kom vi naturligt fram till vad som fungerade bäst för oss och vårt företag."
Hur följde ni upp framstegen under projektets gång? Vad var din strategi?
"Job och jag hade veckomöten för att se till att vi alltid tog ett steg närmare vårt mål. Vi använde en metod som liknar Improvement Kata, som vi tillämpar även inom andra områden. Det innebar att vi fokuserade på de minsta stegen som kunde föra oss närmare vårt mål. Ofta handlade det om att dokumentera den aktuella situationen eller att göra små justeringar i processerna för att se om de fungerade för oss."
Den största utmaningen var att förstå exakt vad som förväntades av oss
Vad var det mest utmanande med hela processen?
"Den största utmaningen var att förstå exakt vad som förväntades av oss. Certifieringen är avsedd för både stora banker och små företag, så kraven kan variera stort. Med många olika tolkningar på nätet var det viktigt att precisera vad som specifikt behövdes för vår situation, vilket ibland var svårt att skilja från andras perspektiv."
Att implementera ISMS är avgörande för ISO 27001-certifiering, och det innebär ofta att man måste ändra hur de anställda arbetar. Hur lyckades du hålla Easy LMS-teamet motiverat och med på dessa förändringar, särskilt när det kunde ha känts som en börda?
"Absolut, det kan vara svårt att få alla med på säkerhetsförändringar. Om processen är för komplicerad eller irriterande kan folk försöka kringgå den. Redan från början fokuserade vi på att göra saker så enkla som möjligt för vårt team. Målet var att processerna skulle förbättra säkerheten utan att vara i vägen för deras arbete. Vi strävade efter att göra det nästan omöjligt att göra saker fel. Dessutom ville vi undvika skuldbeläggning - om något går fel handlar det inte om att peka finger, utan om att förbättra processen."
Och så kom dagen för revisionen, utförd av Brand Compliance, vår ISO-partner. Hur var det? Var du nervös?
"Definitivt! Vi hade ägnat månader åt att förbereda oss för det här ögonblicket och det kändes som om allt kunde rasa samman när som helst. Men jag hade också förtroende för det arbete vi hade gjort. När revisorn anlände förklarade de exakt vad vi kunde förvänta oss, hur processen skulle gå till och vad de skulle leta efter. Detta bidrog verkligen till att lugna ner oss under revisionen."
Vi blev överlyckliga när vi fick resultaten
Jag antar att lättnaden var stor när vi fick det positiva resultatet?
"Absolut! Vi blev överlyckliga när vi fick resultaten. Det fanns en del saker att justera, men när vi väl hade planerat att åtgärda dem fick vi vårt ISO 27001-certifikat. Det var en enorm lättnad och mycket bekräftande."
Nu när vi är certifierade, vad händer härnäst?
"Nu handlar det om att använda det system som vi har infört. Det är faktiskt mycket enklare att underhålla och använda det än att installera det. Nyckeln är att fortsätta använda systemet för att säkerställa kontinuerlig säkerhet och ständiga förbättringar. När Easy LMS utvecklas måste vi se till att dessa förändringar förblir säkra. Så småningom kommer vi att genomgå en omcertifiering för att säkerställa att allt fortfarande fungerar smidigt, och det är viktigt för oss att klara det också."
Vi är certifierade enligt ISO 27001. Vill du veta mer om hur vi håller dina data säkra? Kolla in vår integritetspolicy!
