Komentarz partnera rankingu Giełdowa Spółka Roku
Jakub Walarus
partner cyber security compliance, EY Polska
Na tak postawione pytanie w dzisiejszych czasach odpowiada się częściej nie tyle „dlaczego” ale „jak”. Wszystkie podmioty podłączone do internetu podlegają przecież ryzyku cybernetycznemu, a zatem są narażone na zagrożenia utraty poufności, integralności czy też dostępności przetwarzanych informacji. W celu zrozumienia dokładnego stopnia narażenia podmiotu na ryzyko cybernetyczne stosuje się różnego rodzaju modele zarządzania ryzykiem, nierzadko zintegrowanie z systemem zarządzania ryzykiem operacyjnym. Zasadniczo jednak, przy określaniu punktu wyjścia do oceny stopnia narażania organizacji, bierze się pod uwagę między innymi: jakie kategorie informacji przetwarzane są w systemach i na ile są one kluczowe dla działania organizacji; na ile mogłaby ona potencjalnie kontynuować działalność w przypadku gdy środowisko IT lub poszczególne jego elementy zostałyby na pewien czas wyłączone; liczbę poddostawców; branżę w której działa organizacja; ewentualne wcześniejsze incydenty związane z cyberbezpieczeństwem czy też wysokość nakładów na obszar cyberbezpieczeństwa przekładającą się na poziom dojrzałości w tym obszarze oraz obowiązującą kulturę organizacyjną.
System zarządzania ryzykiem cyberbezpieczeństwa
Na system zarządzania ryzykiem cybernetycznym składają się strategie, polityki, procedury oraz odpowiednie zasoby i narzędzia informatyczne, które są wykorzystywane przez dedykowane zespoły odpowiedzialne za cyberbezpieczeństwo. Efektywny system zarządzania ryzykiem cyberbezpieczeństwa w dojrzałych organizacjach średniej oraz dużej wielkości jest zbudowany na podstawie modelu trzech linii obrony – 3 LoD (ang. 3 lines of defense), w którym funkcja zarządzania ryzykiem cyber jest oddzielona od funkcji kontroli oraz funkcji audytu. System ten może być także zintegrowany z systemem zarządzania ryzykiem operacyjnym.
O czym jeszcze pamiętać w ramach zapewnienia bezpieczeństwa?
Przedsiębiorstwa nie działają w próżni – w ich otoczeniu znajdują się dostawcy różnego rodzaju usług, którzy w takim czy innym stopniu mają dostęp do przetwarzanych w organizacji informacji, czy też bezpośrednio do systemów informatycznych. Odpowiedni proces zarządzenia ryzykiem dostawców jest zbudowany w oparciu o odpowiednią politykę zarządzania bezpieczeństwem w tym zakresie. Zawiera zdefiniowanie zasad klasyfikacji partnerów biznesowych względem powierzanych im danych czy też dostępu do infrastruktury, a także wspiera opracowanie procesu oceny ryzyka i monitorowania kontrahentów, zasad komunikacji w przypadku zidentyfikowania incydentów lub opracowanie exit planów dla dostawców.
Odporność organizacji to także zgodność z istniejącymi wymogami
Inwestując umiejętnie w cyberbezpieczeństwo, ograniczamy ryzyko wystąpienia cyberataków, incydentów bezpieczeństwa oraz wspieramy zapewnienie ciągłości funkcjonowania ważnych funkcji w firmie. Zapewniamy także zgodność z powszechnie obowiązującymi rozporządzeniami, takimi jak chociażby Rozporządzenie w sprawie operacyjnej odporności cyfrowej DORA (z ang. Digital Operational Resilience Act) dotyczące sektora finansowego UE, dla którego aktualnie znajdujemy się w okresie dostosowawczym.
© ℗
