Mapa priorytetów technologicznych, procesowych i organizacyjnych w cyberbezpieczeństwie

Cyberbezpieczeństwo nie jest obszarem, w którym można stosować uniwersalne, jednakowe dla wszystkich rozwiązania.

Kliknij, aby powiększyć.  
Kliknij, żeby pobrać mapę w PDF.

Zakres i poziom wdrożonych narzędzi powinny zawsze wynikać z realnych potrzeb, szacowania ryzyka oraz możliwości danej organizacji. Mając to na uwadze – we współpracy z ekspertem ICT i cyberbezpieczeństwa Tomaszem Matułą – opracowaliśmy mapę rozwiązań i praktyk w obszarze cyberbezpieczeństwa, której celem jest wsparcie organizacji w świadomej ocenie poziomu dojrzałości bezpieczeństwa oraz w planowaniu kolejnych etapów rozwoju. 

Mapa obejmuje trzy umowne poziomy zaawansowania – podstawowy, średniozaawansowany i zaawansowany – oraz dziewięć kluczowych obszarów ochrony. Nie stanowi ona zamkniętej listy wymagań, lecz narzędzie analityczne i planistyczne, ułatwiające identyfikację luk, ustalenie priorytetów oraz racjonalne podejście do inwestycji w bezpieczeństwo. 

W ramach cyklu publikacji przedstawimy rekomendacje technologii, procesów i praktyk na różnych poziomach dojrzałości, które, wdrożone w oparciu o szacowanie ryzyka zapewnią adekwatny poziom ochrony informacji i ciągłości działania organizacji. 

Dziewięć kluczowych obszarów bezpieczeństwa 

Mapa obejmuje dziewięć filarów cyberbezpieczeństwa: 

1. Ochrona endpointów i urządzeń 

2. Technologie sieciowe i infrastruktura  

3. Zarządzanie dostępem i tożsamością 

4. Zarządzanie podatnościami i poprawkami  

5. Bezpieczeństwo danych  

6. Kompetencje i świadomość pracowników  

7. Procesy i zarządzanie bezpieczeństwem  

8. Monitoring i reagowanie na incydenty  

9. Usługi zewnętrzne – SOC, forensic, audyty, wsparcie eksperckie. 

Szacowanie ryzyka – podstawa do podejmowania decyzji w obszarze cyberbezpieczeństwa 

Szacowanie ryzyka powinno zawsze stanowić fundament doboru rozwiązań w obszarze cyberbezpieczeństwa i ochrony informacji. 
Szacowanie ryzyka pozwala organizacjom działać w sposób świadomy i racjonalny, zapewniając optymalne wykorzystanie zasobów oraz zgodność z obowiązującymi regulacjami. Na proces szacowania ryzyka składa się identyfikacja cyber ryzyk, ich analiza a ostatecznie ich ocena i priorytetyzacja.  
 
Prawidłowo przeprowadzona analiza ryzyka umożliwia: 

• Identyfikację i ocenę zagrożeń oraz podatności występujących w środowisku IT i procesach biznesowych, co stanowi podstawę podejmowania świadomych decyzji dotyczących zabezpieczeń. 

• Priorytetyzację działań i alokację zasobów w obszarach niosących największe ryzyko dla poufności, integralności i dostępności danych. 

• Dostosowanie technologii, procesów i usług do realnego poziomu zagrożeń charakterystycznych dla danej organizacji, co pozwala uniknąć zbędnych kosztów i nieadekwatnych inwestycji. 

• Zapewnienie zgodności z regulacjami i standardami, takimi jak dyrektywa NIS2, RODO, UKSC czy DORA, które wymagają regularnej oceny ryzyka i wdrażania adekwatnych środków ochronnych. 

Przykład z praktyki: 
W 2021 roku American Heart of Poland padł ofiarą ataku ransomware, w wyniku, którego cyberprzestępcy uzyskali dostęp do danych osobowych ok. 21 tysięcy osób – pacjentów i pracowników. W 2024 roku, po przeprowadzeniu audytu, Urząd Ochrony Danych Osobowych nałożył na spółkę karę administracyjną w wysokości niemal 1,5 mln zł. 
Choć organizacja posiadała certyfikowany System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001:2013, organy nadzoru uznały, że nie przeprowadzono odpowiedniej analizy ryzyk i m.in. nie zaktualizowano krytycznych serwerów, co istotnie osłabiło poziom ochrony. 

Jak korzystać z mapy priorytetów priorytetów technologicznych, procesowych i organizacyjnych cybersecurity i ochrony informacji w organizacji? 

Mapy nie należy trakować jako checklisty. To narzędzie, które ma wspierać organizacje w analizie obecnego stanu zabezpieczeń, identyfikacji luk oraz świadomym planowaniu rozwoju. 

Aby w pełni wykorzystać jej potencjał: 

1. Przeprowadź szacowanie ryzyka dla Twojej organizacji  

2. Rozpocznij od oceny poziomu dojrzałości 
   Określ, które z rozwiązań z poziomu podstawowego, średniozaawansowanego lub zaawansowanego już funkcjonują w Twojej organizacji. Pamiętaj, że poziomy te mają charakter orientacyjny i mogą się przenikać w zależności od specyfiki działalności. 

3. Analizuj w ujęciu obszarów 
   Mapa obejmuje dziewięć filarów bezpieczeństwa – od ochrony endpointów, przez zarządzanie tożsamością, po monitoring i usługi zewnętrzne. Przyjrzyj się każdemu z nich osobno, aby zidentyfikować zarówno mocne strony, jak i obszary wymagające wzmocnienia. 

4. Priorytetyzuj inwestycje 
   Nie wszystkie elementy z mapy powinny zostać wdrożone w jednej organizacji. Kluczem jest zastosowanie technologii i praktyk wynikających z szacowania i priorytetyzacji cyber ryzyk, dostępnych zasobów oraz celów biznesowych. 

5. Traktuj mapę jako narzędzie do rozmowy 
   Może ona służyć jako punkt wyjścia do dyskusji z zarządem, działem IT czy partnerami technologicznymi. Ułatwia to uzasadnianie planowanych inwestycji i pokazuje ich powiązanie z realnymi zagrożeniami. 

6. Wracaj do niej regularnie 
   Cyber zagrożenia i technologie zmieniają się dynamicznie. Dlatego warto co pewien czas dokonywać ponownej analizy, aktualizując swoje priorytety oraz weryfikując skuteczność wdrożonych rozwiązań. 

Mapa ma charakter praktyczny – pozwala szybko określić, gdzie jesteśmy, czego nam brakuje i jakie działania mogą przynieść największą poprawę poziomu bezpieczeństwa. Jej wartość rośnie wtedy, gdy jest wykorzystywana systematycznie i w oparciu o rzetelną ocenę ryzyka. 

 Jak dogłębnie zbadać poziom dojrzałości cyberbezpieczeństwa w organizacji?  

Powyższa mapa jest wyłącznie materiałem pomocniczym. Osoby i organizacje pragnące systemowo zbadać poziom dojrzałości w swojej organizacji i stopień przygotowania do identyfikowania, reagowania i przeciwdziałania cyberzagrożeniom odsyłamy do frameworków i modeli takich jak NIST CSF, CIS Controls czy CMMC.  
 
W przypadku potrzeby pogłębionej analizy poziomu cyberbezpieczeństwa oraz oceny dojrzałości organizacji, warto skorzystać z doświadczenia ekspertów Trecom – zapraszamy do kontaktu poprzez formularz znajdujący się na dole strony.