Cyberbezpieczeństwo nie jest obszarem, w którym można stosować uniwersalne, jednakowe dla wszystkich rozwiązania.
Zakres i poziom wdrożonych narzędzi powinny zawsze wynikać z realnych potrzeb, szacowania ryzyka oraz możliwości danej organizacji. Mając to na uwadze – we współpracy z ekspertem ICT i cyberbezpieczeństwa Tomaszem Matułą – opracowaliśmy mapę rozwiązań i praktyk w obszarze cyberbezpieczeństwa, której celem jest wsparcie organizacji w świadomej ocenie poziomu dojrzałości bezpieczeństwa oraz w planowaniu kolejnych etapów rozwoju.
Mapa obejmuje trzy umowne poziomy zaawansowania – podstawowy, średniozaawansowany i zaawansowany – oraz dziewięć kluczowych obszarów ochrony. Nie stanowi ona zamkniętej listy wymagań, ale narzędzie analityczne i planistyczne, ułatwiające identyfikację luk, ustalenie priorytetów oraz racjonalne podejście do inwestycji w bezpieczeństwo.
W ramach cyklu publikacji przedstawimy rekomendacje technologii, procesów i praktyk na różnych poziomach dojrzałości, które, wdrożone w oparciu o szacowanie ryzyka zapewnią adekwatny poziom ochrony informacji i ciągłości działania organizacji.
Dziewięć kluczowych obszarów bezpieczeństwa
Mapa obejmuje dziewięć filarów cyberbezpieczeństwa:
- Ochrona endpointów i urządzeń
- Technologie sieciowe i infrastruktura
- Zarządzanie dostępem i tożsamością
- Zarządzanie podatnościami i poprawkami
- Bezpieczeństwo danych
- Kompetencje i świadomość pracowników
- Procesy i zarządzanie bezpieczeństwem
- Monitoring i reagowanie na incydenty
- Usługi zewnętrzne – SOC, forensic, audyty, wsparcie eksperckie.
Szacowanie ryzyka – podstawa do podejmowania decyzji w obszarze cyberbezpieczeństwa
Szacowanie ryzyka powinno zawsze stanowić fundament doboru rozwiązań w obszarze cyberbezpieczeństwa i ochrony informacji.
Szacowanie ryzyka pozwala organizacjom działać w sposób świadomy i racjonalny, zapewniając optymalne wykorzystanie zasobów oraz zgodność z obowiązującymi regulacjami. Na proces szacowania ryzyka składa się identyfikacja cyber ryzyk, ich analiza a ostatecznie ich ocena i priorytetyzacja.
Prawidłowo przeprowadzona analiza ryzyka umożliwia:
- Identyfikację i ocenę zagrożeń oraz podatności występujących w środowisku IT i procesach biznesowych, co stanowi podstawę podejmowania świadomych decyzji dotyczących zabezpieczeń.
- Priorytetyzację działań i alokację zasobów w obszarach niosących największe ryzyko dla poufności, integralności i dostępności danych.
- Dostosowanie technologii, procesów i usług do realnego poziomu zagrożeń charakterystycznych dla danej organizacji, co pozwala uniknąć zbędnych kosztów i nieadekwatnych inwestycji.
- Zapewnienie zgodności z regulacjami i standardami, takimi jak dyrektywa NIS2, RODO, UKSC czy DORA, które wymagają regularnej oceny ryzyka i wdrażania adekwatnych środków ochronnych.
Przykład z praktyki:
W 2021 roku American Heart of Poland padł ofiarą ataku ransomware, w wyniku, którego cyberprzestępcy uzyskali dostęp do danych osobowych ok. 21 tysięcy osób – pacjentów i pracowników. W 2024 roku, po przeprowadzeniu audytu, Urząd Ochrony Danych Osobowych nałożył na spółkę karę administracyjną w wysokości niemal 1,5 mln zł.
Choć organizacja posiadała certyfikowany System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001:2013, organy nadzoru uznały, iż nie przeprowadzono odpowiedniej analizy ryzyk i m.in. nie zaktualizowano krytycznych serwerów, co istotnie osłabiło poziom ochrony.
Jak korzystać z mapy priorytetów priorytetów technologicznych, procesowych i organizacyjnych cybersecurity i ochrony informacji w organizacji?
Mapy nie należy trakować jako checklisty. To narzędzie, które ma wspierać organizacje w analizie obecnego stanu zabezpieczeń, identyfikacji luk oraz świadomym planowaniu rozwoju.
Aby w pełni wykorzystać jej potencjał:
- Przeprowadź szacowanie ryzyka dla Twojej organizacji
- Rozpocznij od oceny poziomu dojrzałości
Określ, które z rozwiązań z poziomu podstawowego, średniozaawansowanego lub zaawansowanego już funkcjonują w Twojej organizacji. Pamiętaj, iż poziomy te mają charakter orientacyjny i mogą się przenikać w zależności od specyfiki działalności.
- Analizuj w ujęciu obszarów
Mapa obejmuje dziewięć filarów bezpieczeństwa – od ochrony endpointów, przez zarządzanie tożsamością, po monitoring i usługi zewnętrzne. Przyjrzyj się każdemu z nich osobno, aby zidentyfikować zarówno mocne strony, jak i obszary wymagające wzmocnienia.
- Priorytetyzuj inwestycje
Nie wszystkie elementy z mapy powinny zostać wdrożone w jednej organizacji. Kluczem jest zastosowanie technologii i praktyk wynikających z szacowania i priorytetyzacji cyber ryzyk, dostępnych zasobów oraz celów biznesowych.
- Traktuj mapę jako narzędzie do rozmowy
Może ona służyć jako punkt wyjścia do dyskusji z zarządem, działem IT czy partnerami technologicznymi. Ułatwia to uzasadnianie planowanych inwestycji i pokazuje ich powiązanie z realnymi zagrożeniami.
- Wracaj do niej regularnie
Cyber zagrożenia i technologie zmieniają się dynamicznie. Dlatego warto co pewien czas dokonywać ponownej analizy, aktualizując swoje priorytety oraz weryfikując skuteczność wdrożonych rozwiązań.
Mapa ma charakter praktyczny – pozwala gwałtownie określić, gdzie jesteśmy, czego nam brakuje i jakie działania mogą przynieść największą poprawę poziomu bezpieczeństwa. Jej wartość rośnie wtedy, gdy jest wykorzystywana systematycznie i w oparciu o rzetelną ocenę ryzyka.
Jak dogłębnie zbadać poziom dojrzałości cyberbezpieczeństwa w organizacji?
Powyższa mapa jest wyłącznie materiałem pomocniczym. Osoby i organizacje pragnące systemowo zbadać poziom dojrzałości w swojej organizacji i stopień przygotowania do identyfikowania, reagowania i przeciwdziałania cyberzagrożeniom odsyłamy do frameworków i modeli takich jak NIST CSF, CIS Controls czy CMMC.
W przypadku potrzeby pogłębionej analizy poziomu cyberbezpieczeństwa oraz oceny dojrzałości organizacji, warto skorzystać z doświadczenia ekspertów Trecom – zapraszamy do kontaktu poprzez formularz znajdujący się na dole strony.
