PL EN
Toggl OÜ | High Tech

Wdrożenie najwyższych standardów cyberbezpieczeństwa (ISO 27001)

#ISO 27001 #Szkolenia #Testy

Wstęp

W dobie rosnących wymagań dotyczących ochrony danych, uzyskanie certyfikatu z zakresu bezpieczeństwa informacji jest jednym z kluczowych kroków dla przedsiębiorstw, które chcą budować zaufanie klientów i demonstrować zgodność z globalnymi standardami. ISO/IEC 27001:2022 to uniwersalna, międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji.

Pomyślne przejście audytu i zdobycie certyfikatu nie tylko potwierdza wysokie standardy ochrony informacji, ale także pomaga minimalizować ryzyka i nimi zarządzać, spełniając przy tym oczekiwania dużych, korporacyjnych klientów. W tym case study opisujemy jak Toggl, podmiot oferujący aplikacje w formule Software-as-a-Service, dzięki współpracy z dotlaw przeprowadził skuteczne wdrożenie i uzyskał certyfikat.

„Dzięki dotlaw udało nam się nie tylko z sukcesem przejść audyt, ale przede wszystkim podejść do niego z przekonaniem, że podczas wdrożenia zadbano o każdy szczegół”.

Alari Aho CEO, Toggl OÜ

Kluczowe rezultaty

  1. Pełna zgodność z normą ISO/IEC 27001:2022 oraz solidne fundamenty pod kolejną certyfikację – raport SOC 2 Type 2.
  2. Optymalizacja pracy zespołów SecOps oraz Legal & Compliance, prowadząca do efektywniejszego zarządzania bezpieczeństwem i redukcji manualnych czynności.
  3. Zmniejszenie ryzyk operacyjnych związanych z zarządzaniem bezpieczeństwem informacji.
  4. Wzrost zaufania klientów, przekładający się na wyższą retencję, większą liczbę zamkniętych kontraktów oraz szybsze negocjacje.
  5. Znaczny wzrost świadomości dotyczącej bezpieczeństwa informacji wewnątrz zespołu.

Profil klienta

Toggl to estońskie przedsiębiorstwo oferujące narzędzia w modelu SaaS, z których najbardziej znanym jest Toggl Track – popularna aplikacja do time trackingu. Zespół Toggl działa w 100% zdalnie, jest rozproszony po różnych krajach, i obsługuje tysiące klientów na całym świecie.

W branży SaaS, gdzie bezpieczeństwo danych i zgodność z globalnymi regulacjami mają kluczowe znaczenie, uzyskanie certyfikacji ISO 27001 było strategicznym krokiem umożliwiającym dalszy rozwój oraz pozyskanie klientów z sektora enterprise, branż regulowanych i firm stosujących wyśrubowane standardy weryfikacji dostawców pod kątem bezpieczeństwa informacji i ochrony danych osobowych.

Wyzwania

Przed rozpoczęciem wdrożenia Toggl mierzył się z kilkoma kluczowymi wyzwaniami:

  • Brak wystarczająco sformalizowanych procesów zarządzania ryzykiem i dostawcami, co utrudniało skuteczną kontrolę nad bezpieczeństwem danych.
  • Brak fizycznej infrastruktury IT i rozproszenie zespołu po całym świecie, wymagające dostosowania strategii bezpieczeństwa do specyfiki organizacji pracującej w pełni zdalnie.
  • Rosnące wymagania klientów korporacyjnych, oczekujących audytowalnych dowodów zgodności z globalnymi standardami bezpieczeństwa.
  • Krzewienie kultury bezpieczeństwa i ochrony danych w międzynarodowym zespole wymagało intensywnych szkoleń i prostych, jednoznacznych procedur.
  • Obawy zespołu przed nadmierną biurokracją – ISO 27001 jest kojarzone z rozbudowaną dokumentacją, która mogłaby zaburzyć elastyczność operacyjną.

Rozwiązanie

Dzięki współpracy z dotlaw udało się:

  • Przeprowadzić audyt wstępny, identyfikując kluczowe luki i obszary wymagające poprawy.
  • Stworzyć politykę bezpieczeństwa informacji oraz towarzyszące dokumenty, a także wdrożyć je w oparciu o istniejące narzędzia służące wymianie informacji (takie jak Notion), dzięki czemu wszystkie materiały są łatwo dostępne zarówno dla audytorów, jak i zespołów korzystających z nich na co dzień.
  • Uzyskać większą przejrzystość polityk bezpieczeństwa, dzięki którym pracownicy dokładnie rozumieją swoje obowiązki, a także przeszkolić zespoły w zakresie ich ról, co przełożyło się na zwiększenie świadomości.
  • Stworzyć centralny system zarządzania dostawcami, umożliwiający szybszą i bardziej efektywną weryfikację partnerów biznesowych.
  • Dostosować procesy związane z bezpieczeństwem do modelu w 100% zdalnej organizacji, co pozwoliło na skuteczne zarządzanie bezpieczeństwem informacji bez konieczności ponoszenia dodatkowych kosztów fizycznej infrastruktury.

Proces implementacji

Etap 1

Audyt wstępny, analiza produktów i identyfikacja luk.

Etap 2

Identyfikacja i ocena ryzyk, określenie kontekstu, identyfikacja aktywów i ocena podatności.

Etap 3

Opracowanie i wdrożenie polityk oraz procedur zgodnych z ISO 27001 przy współpracy z zespołami klienta.

Etap 4

Szkolenia oraz testy systemowe.

Etap 5

Wsparcie audytowe i uzyskanie certyfikatu.

Wartość dodana

  1. Nowe możliwości sprzedażowe – dotlaw otworzyło Toggl drzwi do współpracy z większymi klientami korporacyjnymi, a uzyskany certyfikat wyraźnie przyspieszył procesy negocjacyjne, akwizycję i weryfikację Toggl jako rzetelnego dostawcy.
  2. Zintegrowanie ISO 27001 – z istniejącymi procesami, co przyczyniło się do eliminacji zbędnych procedur i optymalizacji operacyjnej.
  3. Podniesienie świadomości w zakresie bezpieczeństwa informacji – czego efektem są nie tylko suche procedury, ale faktyczne zaangażowanie całego personelu.
  4. Otwarcie możliwości szybszego uzyskania kolejnych certyfikatów – takich jak SOC 2 Type 2 czy ISO 27701, dzięki solidnym fundamentom.

Rekomendacja klienta

“Eksperci z dotlaw pomogli nam nie tylko uzyskać certyfikację ISO 27001, ale przede wszystkim przejść przez cały proces w sposób zorganizowany i dopasowany do naszej firmy. Od pierwszego audytu wewnętrznego, przez planowanie wdrożenia i analizę naszych procesów, aż po szkolenia i audyt certyfikujący – byli z nami na każdym etapie, odpowiadając na nasze pytania i pomagając rozwiązać pojawiające się wyzwania. To dzięki ich wsparciu udało nam się zintegrować ISO 27001 z naszymi istniejącymi procesami i skutecznie przygotować się do uzyskania certyfikatu. Ich zaangażowanie, wiedza i profesjonalizm sprawiły, że podczas całego procesu czuliśmy się pewnie”.

Alari Aho CEO, Toggl OÜ

O dotlaw

Zespół ekspertów dotlaw to doświadczeni prawnicy specjalizujący się w ochronie danych osobowych, compliance oraz zarządzaniu bezpieczeństwem informacji. Posiadamy szeroką wiedzę w zakresie ISO 27001, ISO 22301, ISO 42001, SOC 2 oraz podobnych audytów regulacyjnych dla spółek technologicznych. Dzięki międzynarodowemu doświadczeniu skutecznie wspieramy zarówno dynamiczne startupy, jak i duże organizacje, pomagając im budować solidne fundamenty i przeciwdziałać powstawaniu długu prawnego i regulacyjnego.

Skontaktuj się z nami, aby dowiedzieć się, jak możemy Ci pomóc w osiągnięciu zgodności regulacyjnej z międzynarodowymi standardami czy aktami prawnymi!

Damian Klimas

Partner

Dorian Duda, LL.M.
Laura Słocka