W świecie nowoczesnych usług prawnych i finansowych zaufanie jest najtwardszą walutą. Dla kancelarii obsługującej procesy masowe, zarządzanie wierzytelnościami bankowymi czy skomplikowane spory frankowe, ochrona informacji nie jest jedynie wymogiem prawnym – to fundament wiarygodności. W RK Legal uznaliśmy, że w dobie cyberzagrożeń deklaracje to za mało i postawiliśmy na dowody.
Koniec z mitem „szewca bez butów”
Często mówi się, że szewc bez butów chodzi. W sektorze usług prawnych ta maksyma bywa wyjątkowo ryzykowna. Jako kancelaria posiadająca wyspecjalizowany departament ochrony danych osobowych na co dzień wspieramy naszych klientów w budowaniu odporności cyfrowej. Przeprowadzamy audyty, wdrażamy procedury i pomagamy innym uzyskać certyfikację ISO.
Trudno jednak uczyć innych najlepszych praktyk rynkowych, nie stosując ich z taką samą rygorystycznością na własnym podwórku. W RK Legal podjęliśmy decyzję o poddaniu naszego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) niezależnej, surowej ocenie. Wynikiem tego procesu jest uzyskanie międzynarodowego certyfikatu ISO 27001.
Czym właściwie jest ISO 27001?
Dla wielu osób numery norm brzmią enigmatycznie. ISO/IEC 27001 to jedyna międzynarodowa norma, która określa rygorystyczne wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji. W przeciwieństwie do rozwiązań czysto technicznych, ISO 27001 podchodzi do ochrony holistycznie, opierając się na tzw. triadzie bezpieczeństwa:
- Poufność – dostęp do informacji mają wyłącznie osoby uprawnione.
- Integralność – dane są chronione przed nieuprawnioną zmianą lub usunięciem.
- Dostępność – systemy i dane są gotowe do użytku zawsze wtedy, gdy są potrzebne.
W praktyce kancelaryjnej oznacza to, że chronimy nie tylko dane osobowe w rozumieniu RODO, ale wszelkie informacje stanowiące tajemnicę przedsiębiorstwa, strategię procesową czy dane finansowe naszych klientów.
Przewaga technologiczna i operacyjna w praktyce
Certyfikat to powód do dumy dla zespołu, ale dla naszych partnerów biznesowych – banków, instytucji finansowych i ubezpieczeniowych – to przede wszystkim gwarancja spokoju. Co wdrożenie normy ISO 27001 oznacza w naszej codziennej pracy?
- Pełna kontrola nad środowiskiem IT: Przetwarzamy dane w zamkniętym, autorskim i ściśle monitorowanym środowisku. Nie polegamy na niesprawdzonych rozwiązaniach zewnętrznych, co eliminuje ryzyko „wycieku” informacji poza naszą strukturę.
- Własny zespół programistów: Posiadamy wewnętrzny software house tworzący dedykowane aplikacje do obsługi spraw. Dzięki temu kod źródłowy jest pod naszą wyłączną kontrolą, a narzędzia są idealnie dostosowane do specyfiki postępowań sądowych i egzekucyjnych.
- Szyfrowana wymiana informacji: Transfer danych między instytucjami finansowymi a kancelarią odbywa się wyłącznie za pośrednictwem zaawansowanych, szyfrowanych połączeń.
- Bezpieczeństwo fizyczne: W erze cyfrowej nie zapominamy o papierze. Dokumentacja aktowa i dowodowa jest chroniona rygorystycznymi procedurami dostępu fizycznego.
Analiza ryzyka jako proces ciągły
Jednym z fundamentów standardu ISO jest odejście od statycznego postrzegania bezpieczeństwa. Analiza ryzyka nie jest jednorazowym zadaniem, ale procesem cyklicznym. To jedno z najbardziej istotnych wymagań klientów, którzy powierzają nam bezpieczeństwo swoich danych.
Standard ISO wprowadza ramy postępowania z ryzykiem i jego ciągły monitoring. Wdrożenie stałych ram audytów pozwala nam na okresową weryfikację, czy nasze procedury działają, a jeśli zidentyfikujemy jakiekolwiek niedoskonałości – mamy gotowy, certyfikowany plan ich naprawy.
Zaufanie potwierdzone na lata
Wymienione standardy nie są wyłącznie naszymi wewnętrznymi deklaracjami. Zostały one skrupulatnie zweryfikowane przez niezależnych ekspertów, co potwierdzono wydaniem certyfikatu ISO 27001 na okres trzech lat.
Mamy jednak świadomość, że bezpieczeństwo to proces ciągły, a nie jednorazowy projekt. Z tego względu nasz system nieustannie „pracuje”. Regularnie poddajemy się cyklicznym audytom wewnętrznym oraz zewnętrznym, które weryfikują, czy nasze procedury nadążają za dynamicznie zmieniającym się krajobrazem zagrożeń i nowymi wymogami prawnymi.
Krzysztof Podolski
*****
Autor zajmuje stanowisko partnera oraz Chief Information Security Officer w kancelarii RK Legal. Odpowiada za rozwój praktyki ochrony danych i bezpieczeństwa informacji oraz zarządza zespołem doradzającym klientom w obszarach cyberbezpieczeństwa, sztucznej inteligencji i prawa nowych technologii.
Posiada ponad dwudziestoletnie doświadczenie zawodowe, zdobyte zarówno w sektorze prywatnym, jak i publicznym. Przez kilka lat pełnił funkcję administratora systemów teleinformatycznych w Kancelarii Prezydenta RP, gdzie współtworzył i wdrażał standardy bezpieczeństwa systemów IT i ochrony danych.
Specjalizuje się w audytach zgodności (m.in. RODO), analizie ryzyka, wdrażaniu systemów zarządzania bezpieczeństwem informacji oraz doradztwie w zakresie regulacji takich jak DORA, NIS2 czy AI Act. Jest audytorem wiodącym norm ISO/IEC 27001 oraz ISO/IEC 42001.
Wspiera organizacje w budowaniu bezpiecznych środowisk IT, identyfikacji ryzyk oraz wdrażaniu rozwiązań technologicznych zgodnych z wymaganiami prawnymi, łącząc kompetencje prawne i technologiczne w praktycznym doradztwie dla biznesu.
Materiał kancelarii Rączkowski, Kwieciński Adwokaci Spółka Partnerska
