W obszarze bezpiecze\u0144stwa informacyjnego organizacje dzia\u0142aj\u0105 dzi\u015b pod podw\u00f3jn\u0105 presj\u0105: regulacyjn\u0105 i wynikaj\u0105c\u0105 z realnych incydent\u00f3w. Z jednej strony rosn\u0105 wymagania id\u0105ce za NIS2, ustawy o Krajowym Systemie Cyberbezpiecze\u0144stwa (KSC), standard\u00f3w ISO i regulacji sektorowych. Z drugiej skala faktycznych zagro\u017ce\u0144 coraz cz\u0119\u015bciej wp\u0142ywa na ci\u0105g\u0142o\u015b\u0107 dzia\u0142ania. W takim otoczeniu zarz\u0105dzanie ryzykiem, cyberbezpiecze\u0144stwem i BCM nie mo\u017ce by\u0107 traktowane jako zadanie \u201ena audyt\u201d, lecz jako codzienna praca wymagaj\u0105ca sta\u0142o\u015bci i sp\u00f3jno\u015bci.<\/p>\n\n\n\n
Rosn\u0105ca liczba obowi\u0105zk\u00f3w wynikaj\u0105cych z regulacji takich jak NIS2, ustawa o KSC czy standardy ISO 27001<\/a> i ISO 22301 sprawia, \u017ce organizacje musz\u0105 coraz dok\u0142adniej dokumentowa\u0107 procesy, kontrolowa\u0107 ryzyka i wykazywa\u0107 zgodno\u015b\u0107 z coraz wi\u0119ksz\u0105 liczb\u0105 r\u00f3\u017cnego rodzaju regulacji. W wielu bran\u017cach te wymogi sta\u0142y si\u0119 nie tylko norm\u0105, ale realnym warunkiem prowadzenia dzia\u0142alno\u015bci i udzia\u0142u w przetargach.<\/p>\n\n\n\n Drug\u0105 osi\u0105 presji s\u0105 rzeczywiste zagro\u017cenia, kt\u00f3rych tempo i skala ro\u015bnie z roku na rok. Wed\u0142ug <\/a>ENISA<\/a> w okresie od lipca 2024 do czerwca 2025 w Unii Europejskiej odnotowano 4 875 incydent\u00f3w cyberbezpiecze\u0144stwa<\/p>\n\n\n\n Polska jest szczeg\u00f3lnie nara\u017cona: w pierwszej po\u0142owie 2025 roku zaj\u0119\u0142a 1. miejsce na \u015bwiecie<\/a> pod wzgl\u0119dem liczby wykrytych atak\u00f3w ransomware, odpowiadaj\u0105c za 6% globalnych detekcji. Praktycznie codziennie rozmawiamy z osobami, kt\u00f3re w swoich organizacjach odpowiadaj\u0105 za ryzyko, bezpiecze\u0144stwo informacji, zgodno\u015b\u0107 i ci\u0105g\u0142o\u015b\u0107 dzia\u0142ania. Z tych rozm\u00f3w dobrze wida\u0107, jak wygl\u0105da praca \u201eod \u015brodka\u201d i gdzie pojawiaj\u0105 si\u0119 realne bariery. Niezale\u017cnie od bran\u017cy powtarzaj\u0105 si\u0119 te same tematy.<\/p>\n\n\n\n Pierwszym z nich jest rozproszenie informacji. Ryzyko sta\u0142o si\u0119 obszarem, w kt\u00f3rym spotykaj\u0105 si\u0119 r\u00f3\u017cne perspektywy: audyt<\/a>, compliance<\/a>, cyberbezpiecze\u0144stwo, IT i operacje. Ka\u017cdy z tych zespo\u0142\u00f3w patrzy na te same zdarzenia inaczej, ale dane s\u0105 cz\u0119sto porozrzucane po arkuszach, formularzach i w lokalnych narz\u0119dziach. W praktyce w skrajnych przypadkach prowadzi to do kilku r\u00f3wnoleg\u0142ych wersji tego samego rejestru i braku jednego, wsp\u00f3lnego obrazu sytuacji.<\/p>\n\n\n\n Drugie wyzwanie to skala. W wielu organizacjach aktywnych ryzyk jest kilkadziesi\u0105t lub kilkaset cz\u0119sto podzielonych na r\u00f3\u017cne kategorie, a zespo\u0142y musz\u0105 je koordynowa\u0107 przy ograniczonych zasobach i w bardzo r\u00f3\u017cnej strukturze proces\u00f3w. Im wi\u0119ksza organizacja, tym wi\u0119kszy problem z utrzymaniem sp\u00f3jno\u015bci danych i sposobu pracy mi\u0119dzy dzia\u0142ami.<\/p>\n\n\n\n Kolejny obszar to raportowanie. R\u00f3\u017cni odbiorcy potrzebuj\u0105 innych informacji: operacje szczeg\u00f3\u0142\u00f3w, a zarz\u0105d podsumowania, co przy rozproszonych danych oznacza du\u017c\u0105 ilo\u015b\u0107 r\u0119cznej pracy i brak jednej narracji o stanie ryzyk i kontroli.<\/p>\n\n\n\n W rozmowach coraz cz\u0119\u015bciej pojawia si\u0119 te\u017c temat szans. Organizacje chc\u0105 \u015bledzi\u0107 nie tylko zagro\u017cenia, ale r\u00f3wnie\u017c inicjatywy, kt\u00f3re mog\u0105 przynie\u015b\u0107 warto\u015b\u0107. W praktyce oznacza to dodatkow\u0105 warstw\u0119 danych, kt\u00f3r\u0105 trzeba \u0142\u0105czy\u0107 z istniej\u0105cymi procesami.<\/p>\n\n\n\n Do tego dochodzi presja czasu – zespo\u0142y r\u00f3wnolegle przygotowuj\u0105 si\u0119 do NIS2<\/a>, zmian wynikaj\u0105cych z ustawy o KSC i aktualizacji standard\u00f3w ISO, a jednocze\u015bnie prowadz\u0105 bie\u017c\u0105c\u0105 dzia\u0142alno\u015b\u0107. W takim otoczeniu trudno znale\u017a\u0107 przestrze\u0144 na porz\u0105dkowanie proces\u00f3w czy przebudow\u0119 sposobu pracy.<\/p>\n\n\n\n W grupach kapita\u0142owych wyzwania s\u0105 jeszcze bardziej widoczne, bo ka\u017cda sp\u00f3\u0142ka dzia\u0142a troch\u0119 inaczej: maj\u0105 r\u00f3\u017cne procesy, r\u00f3\u017cne podej\u015bcia do ryzyka i r\u00f3\u017cny poziom dojrza\u0142o\u015bci. Bez wsp\u00f3lnego sposobu pracy trudno zbudowa\u0107 sp\u00f3jny obraz sytuacji dla ca\u0142ej grupy, w kt\u00f3rej cz\u0119sto dodatkowym wyzwaniem jest prowadzenie proces\u00f3w zwi\u0105zanych z BCM<\/a>. Zdarza si\u0119, \u017ce ryzyko utworzone w Sp\u00f3\u0142ce A danej grupy kapita\u0142owej, jest procesowane i monitorowane w sp\u00f3\u0142ce B. Tym r\u00f3wnie\u017c nale\u017cy zarz\u0105dzi\u0107 w odpowiedni spos\u00f3b i monitorowa\u0107, zw\u0142aszcza w sytuacji, w kt\u00f3rej zmieniaj\u0105 si\u0119 w\u0142a\u015bciciele danego ryzyka.<\/p>\n\n\n\n Rozmowy o wyzwaniach bardzo szybko przechodz\u0105 w rozmowy o tym, co i jak powinno dzia\u0142a\u0107 inaczej. Firmy nie oczekuj\u0105 \u201ewszystkiego naraz\u201d, tylko kilku element\u00f3w, kt\u00f3re pozwol\u0105 im sprawniej pracowa\u0107 i unikn\u0105\u0107 powtarzaj\u0105cych si\u0119 problem\u00f3w.<\/p>\n\n\n\n Pierwszym oczekiwaniem jest jedno miejsce pracy. Skoro dane o ryzykach, kontrolach, incydentach i dzia\u0142aniach s\u0105 dzi\u015b rozproszone, narz\u0119dzie GRC ma je porz\u0105dkowa\u0107 i \u0142\u0105czy\u0107. Chodzi o to, \u017ceby ka\u017cdy dzia\u0142 pracowa\u0142 na tych samych danych i informacjach (tzw. jedno \u017ar\u00f3d\u0142o prawdy), a nie na w\u0142asnej wersji rejestru.<\/p>\n\n\n\n Ryzyka r\u00f3\u017cni\u0105 si\u0119 kategoriami i stopniem szczeg\u00f3\u0142owo\u015bci, dlatego zespo\u0142y potrzebuj\u0105 takiego rejestru, kt\u00f3ry mo\u017cna elastycznie zaadaptowa\u0107<\/em> do ich stylu dzia\u0142ania \u2013 nie w sensie zupe\u0142nej dowolno\u015bci, ale jako rozs\u0105dn\u0105 elastyczno\u015b\u0107, kt\u00f3ra u\u0142atwia prac\u0119, nie komplikuje jej i jednocze\u015bnie dba o jako\u015b\u0107 danych.<\/p>\n\n\n\n O elastyczno\u015bci systemu AdaptiveGRC dowiesz si\u0119 wi\u0119cej z artyku\u0142u: Adaptive w GRC \u2013 s\u0142owo klucz, kt\u00f3re robi r\u00f3\u017cnic\u0119<\/a><\/p>\n\n\n\n Kolejne oczekiwanie dotyczy raportowania \u2013 organizacje wymagaj\u0105, \u017ceby raporty dla dzia\u0142\u00f3w operacyjnych oraz dla zarz\u0105du wynika\u0142y z tych samych danych, bez r\u0119cznego przenoszenia informacji. Wa\u017cny jest r\u00f3wnie\u017c mo\u017cliwo\u015b\u0107 zapewnia r\u00f3\u017cnych poziom\u00f3w dost\u0119pno\u015bci widok\u00f3w i danych, ale dost\u0119pnych z jednego systemu. To sprawia, \u017ce ka\u017cdy pracuje na tych samych, aktualnych informacjach.<\/p>\n\n\n\n Du\u017co m\u00f3wi si\u0119 r\u00f3wnie\u017c o ci\u0105g\u0142o\u015bci pracy nad ryzykiem. Firmy nie chc\u0105 systemu, kt\u00f3ry tworzy list\u0119 ryzyk tylko raz w roku. Potrzebuj\u0105 narz\u0119dzia, kt\u00f3re pozwala prowadzi\u0107 dzia\u0142ania, \u015bledzi\u0107 terminy, aktualizowa\u0107 statusy i ocenia\u0107 skuteczno\u015b\u0107 na bie\u017c\u0105co, czyli traktowa\u0107 ryzyko jako proces, a nie jednorazowy projekt.<\/p>\n\n\n\n W wielu przypadkach konieczne s\u0105 tak\u017ce integracje z innymi systemami.<\/a> Dane o incydentach, zasobach, procesach czy kontrolach cz\u0119sto \u017cyj\u0105 ju\u017c w innych, wdro\u017conych narz\u0119dziach, wi\u0119c system GRC musi m\u00f3c je pobiera\u0107 i aktualizowa\u0107. To ogranicza r\u0119czn\u0105 prac\u0119 i minimalizuje b\u0142\u0119dy wynikaj\u0105ce z przenoszenia danych.<\/p>\n\n\n\n W organizacjach dzia\u0142aj\u0105cych w strukturze holdingowej czy grupy kapita\u0142owej wa\u017cna jest te\u017c sp\u00f3jno\u015b\u0107 na poziomie ca\u0142ej grupy. System powinien pozwala\u0107 pracowa\u0107 lokalnie, zgodnie z realnym poziomem dojrza\u0142o\u015bci ka\u017cdej sp\u00f3\u0142ki, ale raportowa\u0107 wed\u0142ug wsp\u00f3lnego standardu i zapewnia\u0107 wgl\u0105d w dane w ramach ca\u0142ej grupy \u2013 oczywi\u015bcie w ramach posiadanych uprawnie\u0144.<\/p>\n\n\n\n Ostatnim, ale bardzo cz\u0119stym oczekiwaniem jest szybki start. Wi\u0119kszo\u015b\u0107 zespo\u0142\u00f3w i firm nie ma czasu na d\u0142ugie procesy wdro\u017cenia, dlatego narz\u0119dzie musi by\u0107 u\u017cyteczne praktycznie od pierwszego dnia, a dopiero p\u00f3\u017aniej rozwijane wraz z potrzebami organizacji.<\/p>\n\n\n\n Poza samym systemem klienci coraz cz\u0119\u015bciej poszukuj\u0105 partnera, a nie wy\u0142\u0105cznie dostawcy technologii – kogo\u015b, kto nie ogranicza si\u0119 do jednorazowego wdro\u017cenia, lecz rozumie specyfik\u0119 i realia codziennej pracy zespo\u0142\u00f3w zarz\u0105dzania ryzykiem, audytu czy zgodno\u015bci. Poza samymi funkcjonalno\u015bciami wa\u017cna jest r\u00f3wnie\u017c wiedza i do\u015bwiadczenie ekspert\u00f3w bran\u017cowych, kt\u00f3rzy potrafi\u0105 prze\u0142o\u017cy\u0107 wymagania regulacyjne i procesowe na praktyczne rozwi\u0105zania.<\/p>\n\n\n\n Nie bez znaczenia jest r\u00f3wnie\u017c odpowiedzialne podej\u015bcie do rozwoju platformy \u2013 planowane d\u0142ugofalowo, a jednocze\u015bnie na tyle elastyczne, by reagowa\u0107 na dynamiczne zmiany rynkowe i regulacyjne.<\/p>\n\n\n\n
Na naszym rodzimym podw\u00f3rku skala zagro\u017ce\u0144 jest ogromna: CERT Polska w 2024 roku otrzyma\u0142 ponad <\/a>600 000<\/a> zg\u0142osze\u0144 dotycz\u0105cych potencjalnych cyberzagro\u017ce\u0144, z czego 103 449 przypadk\u00f3w zosta\u0142o zaklasyfikowanych jako realne incydenty bezpiecze\u0144stwa obs\u0142ugiwane przez CSIRT NASK.<\/p>\n\n\n\nCo m\u00f3wi\u0105 firmy: praktyczne sygna\u0142y i wyzwania z codziennej pracy<\/h2>\n\n\n\n
Czego firmy realnie oczekuj\u0105 od system\u00f3w GRC<\/h2>\n\n\n\n
Samo narz\u0119dzie GRC to nie wszystko<\/h2>\n\n\n\n