Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

Krajowy System Cyberbezpieczeństwa

Wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa stawia przed podmiotami realizującymi usługi kluczowe i usługi cyfrowe ogromne wyzwanie. Jest to pierwszy w Polsce akt prawny, który niezwykle kompleksowo i z nastawieniem na skuteczność, traktuje obszar bezpieczeństwa. Bezpieczeństwa w szerokim zakresie.

Bezpieczeństwo Usług Kluczowych/Cyfrowych to „osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienia obsługi incydentów” (cytat za Art. 3 Ustawy).

Musimy więc mieć świadomość wszystkich obszarów niezbędnych do zapewnienia bezpieczeństwa.

Na pewno możemy powiedzieć czym cyberbezpieczeństwo nie jest:

  • nie jest wdrożeniem systemu SIEM,
  • nie jest ustanowieniem SOC/CSIRT,
  • nie jest wdrażaniem zaawansowanych narzędzi monitorowania bezpieczeństwa,
  • nie jest ustaleniem wektorów ataków i procedur reakcji,
  • nie jest żadnym pojedynczym działaniem, o których dotychczas mowa była w literaturze dotyczącej wdrożenia dyrektywy NIS.

Niestety bardzo często wdrożenie dyrektywy NIS (a co za tym idzie Cyberustawy) rozumiane jest jako skuteczne wdrożenie firmowych Security Operations Center (SOC).

Jest to jeden z wątków skutecznego zapewnienia cyberbezpieczeństwa. Na pewno w naszym kraju nowy, podobnie jak fakt, iż instytucje i firmy, często konkurujące ze sobą, dzielą się z podmiotami godnymi zaufania informacjami na temat groźnych incydentów.

Samo przekonanie wszystkich zainteresowanych do pokazywania słabości zajmie z pewnością dużo czasu. Stąd wydaje się nam upraszczanie tematyki zawartej w ustawie o cyberbezpieczeństwie.

Tymczasem już pierwszy akapit rozdziału 3 Cyberustawy określa obowiązki operatorów usług kluczowych w następujący sposób: “Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej” [Art. 8 ustawy]. Dalej jest mowa o tym, co się przez to rozumie.

Wymagane jest: wdrożenie zasad zarządzania ryzykiem, wdrażanie odpowiednich i proporcjonalnych do ryzyka zabezpieczeń, zarządzanie incydentami, stosowanie bezpiecznych środków łączności, bezpieczne zarządzanie systemami, monitorowanie informacji o zagrożeniach i podatnościach.

Bezpieczeństwo przemysłu
Największe błędy w cyberbezpieczeństwie

Z każdym rokiem zwiększa się skala i stopień skomplikowania cyberataków. Potwierdzają to dane z badania Barometr cyberbezpieczeństwa przeprowadzonego przez KPMG. W 2017 roku 82% przedsiębiorstw działających w Polsce odnotowało przynajmniej jeden incydent bezpieczeństwa. Według Cisco 45% cyberataków w naszym kraju spowodowało straty wynoszące ponad 100 000 USD. Co ciekawe, większość firm optymistycznie oceniło dojrzałość stosowanych zabezpieczeń, co może wynikać z niedoszacowania ryzyka.
Do najczęstszych błędów, które narażają biznes na cyberataki należą: zbyt duża liczba systemów ds. cyberbezpieczeństwa, zbyt mała liczba specjalistów ds. cyberbezpieczeństwa i zbyt duża swoboda pracowników, nieprzestrzeganie zasad oraz praktyk korporacyjnych dotyczących cyberbezpieczeństwa, brak kopii zapasowych oraz polityki przywracania systemów po awarii, brak dostępu do archiwalnych danych dotyczących bezpieczeństwa cybernetycznego.

Jak się chronić przed cyberprzestępczością?

Według specjalistów ds. ochrony danych, wystąpienie aktów cyberterroryzmu ściśle wiążą się z błędami pracowników, niewdrożeniem adekwatnych zabezpieczeń i stosowaniem technologii, w tym chmurowych bez większej refleksji w zakresie bezpieczeństwa.  Wobec tego warto wypracować procedury oraz zastanowić się co robić w momencie cyberataku na firmę, przetwarzane dane, sieć oraz strategie ochrony danych i struktury organizacyjne. W sytuacji kryzysowej liczy się szybka reakcja, zatem wskazane jest zaprojektowanie i wprowadzenie systemów wczesnego ostrzegania, uwzględniając aktywność wszystkich pracowników oraz działów. Cyberbezpieczeństwo to proces wielopoziomowy i warto mieć na uwadze odpowiednie zarządzanie ryzykiem oraz uświadamianie w jednakowy sposób wszystkich członków organizacji.

 

Szukasz dodatkowych informacji?
Odwiedź stronę arrow
Korzyści
  • Spełnienie wymagań prawnych narzucanych przez dyrektywę NIS i ustawę o Krajowym Systemie Cyberbezpieczeństwa
  • Opracowanie dokumentacji normatywnej i operacyjnej w zakresie cyberbezpieczeństwa
  • Identyfikacja słabości w zakresie bezpieczeństwa (utraty dostępności, poufności, integralności) w odniesieniu do posiadanej infrastruktury
  • Identyfikację kluczowych elementów i systemów teleinformatycznych/automatyki, które należy w szczególności chronić z punktu widzenia wymagań prawnych
  • Jasno zdefiniowane role i odpowiedzialności za bezpieczeństwo systemów mających wpływ na świadczenie usług kluczowych.
Szykasz wsparcia w KSC?
Skontaktuj się z nami arrow
Spełnione wymagania prawne

Z wymaganiami prawnymi się nie dyskutuje. Należy je spełnić. Projekt wdrożenia wymagań ustawy o krajowym systemie cyberbezpieczeństwa doskonale zaadresował role, odpowiedzialności i procesy bezpieczeństwa w Spółce. Opracowana dokumentacja, procesy oceny ryzyka, audytów i monitorowania systemów IT/OT dopełniły zadania.

Więcej arrow
Monitorowanie infrastruktury IT/OT

Największym wyzwaniem z ustawą o krajowym systemie cyberbezpieczeństwa było wdrożenie narzędzi, które skutecznie mogłyby monitorować bezpieczeństwo zarówno infrastruktury IT, jak i OT.

Więcej arrow
Samoregulacyjne bezpieczeństwo

Każdy potrzebuje odpowiedniej motywacji do pracy. W spełnieniu wymagań prawnych w codziennej pracy jest to chyba najważniejsze, i nie zawsze wystarczy widmo enigmatycznych kar. Wdrożenie odpowiedniej struktury ról i odpowiedzialności pozwoliło na utworzenie samoregulującego się systemu zarządzania, który z pomocą inteligentnych członków zespołu potrafi rozwiązać największe problemy.

Więcej arrow
Proces wdrożenia usługi
1
Audyt zerowy
2
Strategia i koncepcja
3
Przeprowadzenie analizy ryzyka
4
Opracowanie dokumentacji Systemu Bezpieczeństwa
Masz pytania dotyczące tej usługi?
Napisz do nas arrow

Powiązane artykuły na blogu

03 maj
#Bezpieczeństwo
#IT
#Testy
Należyta staranność – KSC

Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?

Czytaj dalej arrow
05 maj
#Bezpieczeństwo
#IT
#Testy
Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

Częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych

Czytaj dalej arrow
04 maj
#Bezpieczeństwo
#IT
#Testy
Realizacja praw podmiotu danych – ile to trwa ?

Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?

Czytaj dalej arrow
Zobacz więcej artykułów arrow
Materiały dodatkowe
Plik