Zarządzanie cyberbezpieczeństwem

Opracowanie ram zarządzania cyberbezpieczeństwem

Krajowe oraz unijne regulacje prawne coraz częściej stanowią kluczowe zagadnienie, z którym musza się mierzyć przedsiębiorcy. Szczególnie dotyczy to podmiotów z sektorów gospodarki „wrażliwej”, czy też wchodzących w skład tzw. Infrastruktury krytycznej. Są to przedsiębiorstwa z branży finansowej, ubezpieczeniowej, bankowości, energetycznej, telekomunikacyjnej, czy zdrowia.

Szereg nowych obowiązków w zakresie identyfikowania, analizowania, szacowania, monitorowania, mitygowania i raportowania aspektów mających wpływ na ryzyko cyberbezpieczeństwa wymusza nowe, unikalne spojrzenie na organizację, jej środowisko wewnętrzne oraz otoczenie.

Doświadczenie wyniesione ze zrealizowanych przez nas projektów umożliwia nam z jednej strony na spojrzenie na każdą organizację z szerokiej perspektywy, z drugiej zaś strony na dostosowanie wymagań dla ram zarządzania do skali działania przedsiębiorstwa, przy zachowaniu skutecznego i efektywnego modelu działania.

Przygotowanie adekwatnej metodyki oceny ryzyka w zakresie cyberbezpieczeństwa

Nasze doświadczenie wyniesione z różnych sektorów gospodarki pozwala nam na dobranie adekwatnych narzędzi wspierających metodykę zarządzania ryzykiem cyberbezpieczeństwa. Wypracowana przez nas autorska metoda podejścia do procesu szacowania ryzyka (ERAMIS - Evidence-based Risk Assessment for ICT Services) zapewnia spójność i pełną zgodność z wymaganiami regulacyjnymi, a ponadto daje możliwość faktycznego wpływania na procesy zarządzania ryzykiem w organizacji.

Poziom złożoności i wzajemnej interakcji procesów biznesowych, technologii i otoczenia biznesowego stale rośnie, a naszym celem jest uchwycenie tych aspektów i uwzględnienie ich wzajemnej interferencji w procesie podejścia do ryzyka.  

Analiza luk pod kątem zgodności z wymaganiami UKSC (NIS2), EBA, SWIFT, DORA (w tym RTS i ITS)

Analiza luk pod kątem zgodności z wymaganiami UKSC (NIS2), EBA, SWIFT, DORA (w tym RTS i ITS). Przygotowanie organizacji do audytów zewnętrznych (certyfikacyjnych, bezpieczeństwa, nadzorczych).

W przypadku każdego projektu dobieramy dedykowany zespół ekspertów w taki sposób, aby ich doświadczenie i wiedza były adekwatne do potrzeb klienta. W każdym projekcie, w razie potrzeby, uczestniczą osoby posiadające doświadczenie w zarzadzaniu lub wdrażaniu poszczególnych wymagań regulacyjnych, a także osoby z wykształceniem prawnym.

Potwierdzeniem wiedzy i kompetencji naszych ekspertów są posiadane przez nich uprawnienia i desygnacje zawodowe, w tym m.in.: Lead Auditor / Implementer ISO 27001, czy ISO 22301, CISA (Certified Information Systems Auditor), CIA (Certified Internal Auditor), CRMA (Certification in Risk Management Assurance). Jeśli jesteś zainteresowany uzyskaniem rzetelnej informacji odnośnie do poziomu zgodności Twojej organizacji z wymogami regulacyjnymi / branżowymi, nie mogłeś trafić lepiej. 

Przeprowadzenie oceny ryzyka pod kątem cyberbezpieczeństwa, w tym oceny tego ryzyka w łańcuchu dostaw (Third Party Risk)

Ocena ryzyka w zarządzaniu cyberbezpieczeństwem skupia się na kilku aspektach. Z jednej strony wymaga rozpoznania otoczenia wewnętrznego i zewnętrznego. Z drugiej strony konieczne jest spojrzenie na katalog zagrożeń, a następnie podatności.

Skala niejednokrotnie wymusza konieczność ustalania odpowiednich priorytetów w zależności od prawdopodobieństwa wystąpienia i możliwego wpływu na organizację. W przypadku zagadnień z obszaru cyberbezpieczeństwa niejednokrotnie mała luka potrafi stworzyć potężny problem dla organizacji, a nawet (w szczególnie niekorzystnych warunkach) doprowadzić do jej upadłości.

Obecnie coraz większą wagę należy przykładać do ryzyka związanego z dostawcami (element “third party risk”). To ich infrastruktura (często słabiej zabezpieczona) staje się często głównym wektorem ataku na organizację. Analizę ryzyka pod kątem cyberbezpieczeństwa można zintegrować z szacowaniem ryzyka ICT (sprawdź naszą metodykę ERAMIS). 

Przeprowadzanie testów odporności cyfrowej

Nowe wymagania nadzorcze zdefiniowane w ramach DORA nakładają na podmioty finansowe szereg nowych / dodatkowych obowiązków. Jednym z nich jest konieczność cyklicznego prowadzenia (w sposób niezależny) testów odporności cyfrowej. Posiadane przez nas kompetencje umożliwiają nam zaoferowanie naszym Klientom usługi polegającej na prowadzeniu takich testów (jednorazowo lub w ramach umowy długoterminowej) w sposób zgodny z wymaganiami DORA.

Szkolenia i warsztaty z wybranych aspektów zarządzania cyberbezpieczeństwem

Szkolenia i warsztaty z wybranych aspektów zarządzania cyberbezpieczeństwem (także projektowane w odpowiedzi na indywidualne zapotrzebowanie). Oferujemy autorskie szkolenia z zakresu zarządzania ryzykiem, a w tym:

Szacowanie ryzyka ICT – metodyka ERAMIS (Evidence-based Risk Assessment Methodology for ICT Services);

Rozbieramy DORA na nuty – RTS Zarządzanie ryzykiem związanym z ICT;

Analiza wpływu – kryteria oceny wpływu, aspekty praktyczne dla wybranych kategorii wpływu,;

Zarządzanie ryzykiem strony trzeciej;

Kurs przygotowujący do egzaminu umożliwiającego uzyskanie Państwowego Certyfikatu Kwalifikacji Wolnorynkowej „Zarządzanie cyberbezpieczeństwem – specjalista” pn. Certyfikowany  Specjalista Cyberbezpieczeństwa CSCB.

Ponadto, przygotowujemy także szkolenia oraz warsztaty praktyczne z udziałem naszych ekspertów, z wybranych aspektów zarządzania ryzykiem cyberbezpieczeństwa, projektowane w odpowiedzi na indywidualne zapotrzebowanie. 

Metodyka oceny ryzyka ERAMIS

Metodyka oceny ryzyka ERAMIS (Evidence-based Risk Assessment Methodology for ICT Services – czyli Oparta na dowodach Metodyka Oceny Ryzyka dla Usług ICT).

W metodyce ERAMIS zastosowaliśmy innowacyjne podejście, które pozwala oprzeć całą ocenę ryzyka o FAKTY. Dzięki takiemu podejściu uwolnić się od ocen eksperckich, opartych często na subiektywnych przeczuciach i wrażeniach. Nawet w ustrukturyzowanych metodykach ocena krytyczności zasobów informatycznych w złożonych modelach wymaga zmierzenia się z dwoma podstawowymi problemami:

Proste algorytmy propagacji np. średnia, maksimum, w dużych środowiskach skutkują wyrównaniem oceny dla większości zasobów;

Standardowe metodyki nie uwzględniają szczególnej krytyczności pewnych elementów środowiska (np. sieć, DNS, storage, kontrolery domeny).

W ERAMIS unikamy tych słabości metodologicznych dzięki zastosowaniu:

Systemu wag dla atrybutów bezpieczeństwa informacji i usług z uwzględnieniem ich umiejscowienia w strukturze modelu środowiska teleinformatycznego oraz wymogów ochrony usług od niej zależnych;

Parametru „siły” relacji pomiędzy usługami, w którym reguły określania „siły” relacji bazują na FAKTACH (np. sposobie implementacji), a sama ”siła” relacji może być odmiennie określana dla różnych atrybutów;

Ocenie prawdopodobieństwa materializacji danego zagrożenia na podstawie zidentyfikowanych podatności oraz istniejących środków kontroli. Takie podejście ułatwia rzetelne upriorytetyzowanie zagrożeń względem ryzyka, a sama wartość ryzyka jest porównywalna w poszczególnych obszarach / warstwach (usługi, infrastruktura, zasoby ludzkie, itp.);

Ocenie zabezpieczeń we wszystkich kategoriach (techniczne, organizacyjne, prawne) pod kątem ich adekwatności i jakości (skuteczności);

Ocenie ryzyka opartej na ocenie potencjalnych skutków (poznaj naszą Impact App), wskaźnikach wymogów ochrony i wagi usługi (w modelu środowiska teleinformatycznego) oraz szansie wystąpienia zagrożenia szacowanej na podstawie danych dotyczących samego zagrożenia, istniejących podatności analizowanych w dwóch aspektach oraz oceny istniejących zabezpieczeń;

Propagacji ryzyka na poziom usług biznesowych lub procesów, zgodnie z zasadą ”najsłabszego ogniwa” – czyli propagacja maksymalnych wartości ryzyka dla danego zagrożenia

Napisz do nas, aby poznać szczegóły lub zapisz się na szkolenie z metodyki ERAMIS.

ZARZĄDZANIE

CYBERBEZPIECZEŃSTWEM

Zarządzanie cyberbezpieczeństwem

KONTAKT