EN | PL | ES | IT | RO

Szkolenia

Radzenie sobie z niepewnością, niejednoznacznością i ryzykiem w środowisku cybernetycznym
Sposób myślenia o zarządzaniu ryzykiem cybernetycznym dla MMŚP

Wprowadzenie i uwagi ogólneRozwiń  

Zawartość tego modułu szkoleniowego stanowi nieoficjalną kontynuację programu EntreComp w zakresie gotowości do podejmowania ryzyka cybernetycznego.

W poprzednim module odnieśliśmy się do kilku ram, które pomagają lepiej przygotować się do oceny i oszacowania ryzyk i zagrożeń cybernetycznych w środowisku IT.

W tym module przedstawimy Ci koncepcyjne mapy ułatwiające poruszanie się w obszarze bezpieczeństwa cybernetycznego, gotowości oraz odporności cybernetycznej z perspektywy zapewnienia jakości i zarządzania ryzykiem.

 

Obecnie, gdy zagrożenie cybernetyczne dotyka firmy i organizacje coraz bardziej, bezpieczeństwo cybernetyczne staje się głównym przedmiotem zainteresowania nie tylko specjalistów IT, ale także specjalistów i ekspertów działających w dziedzinie zarządzania ryzykiem. Organizacje w coraz większym stopniu polegają na narzędziach cyfrowych w celu planowania, zarządzania i rozwijania swojej działalności, a wszelkie zakłócenia w stworzonym w ten sposob "cyfrowym łańcuchu wartości" przekładają się na poważne konsekwencje, na które nierzadko organizacje nie są przygotowane
Być może słyszałeś/-aś popularne, ale błędne przekonanie na temat cyberbezpieczeństwa, wedle którego zabezpieczanie systemów informatycznych przed cyberzagrożeniami wymaga skomplikowanych i wysoce wyrafinowanych procedur informatycznych. 
Choć z pewnością prawdą jest, że specjaliści od cyberbezpieczeństwa dysponują zaawansowaną wiedzą inżynierską i know-how, określony sposób myślenia jest 
w zasięgu każdego...

 

Kluczowe wnioski z raportu IBM z 2021 roku wskazują, że cyberodporność to kilka prostych działań:

• inwestowanie w prewencję (tj. identyfikację i ocenę ryzyka)

• moduł bezpieczeństwa Zero-Trust (zastanów się, kto ma dostęp do Twoich danych)

• testy warunków skrajnych (pomiar i ocena wewnętrznych strategii odporności)
 
• zarządzanie tożsamością i dostępem w celu zarządzania pracownikami zdalnymi (jeszcze
ważniejsze niż w erze inteligentnej pracy)
 
• programy zgodności: pielęgnowanie cyberkultury na poziomie międzyfunkcjonalnym
 
• zmniejszanie złożoności (wyrafinowana prostota)
 
• zmniejszanie luki w umiejętnościach
  

 

W rzeczywistości, dowody z wyżej wymienionego raportu wskazują, że główne czynniki zakłócające są związane z działalnością ludzką, a nie z niewydolnością technologiczną:

Siatki bezpieczeństwa

 Dystratory

Testy Red Team

 Grupa zadaniowa ds. zarządzania ryzykiem Braki w zgodności
Platforma AI Zapobieganie utracie danych Migracja w chmurze
 
Zaangażowanie zarządu Szerokie szyfrowanie Narażenie IoT / OT
Doświadczony CISO Utworzenie zespołu PR

Zgubione lub skradzione urządzenia
Procedury ograniczania ryzyka Cyberbezpieczeństwo

Pracownicy zdalni
DevSecOps Zarządzane usługi bezpieczeństwa

Niedobór umiejętności w zakresie bezpieczeństwa
Wymiana informacji o zagrożeniach

Badanie podatności na zagrożenia

 Złożone procesy wewnętrzne
Szkolenie pracowników Ochrona przed kradzieżą tożsamości Naruszenie przepisów przez osoby trzecie
 
Analityka bezpieczeństwa  
 

 

Źródło: IBM, 2021 r.

 
Zarządzanie ryzykiemRozwiń  

Dowody zebrane przez partnerów Cyber MMŚP wskazują, że brak niezawodnego systemu zarządzania (cyber)ryzykiem jest jedną z najczęstszych przyczyn narażenia na ryzyko cybernetyczne.

Wynik ten świadczy, że  o cyberbezpieczeństwa nie jest uznawane za jeden z najważniejszych problemów w zakresie odporności i konkurencyjności przedsiębiorstw.

 Zarządzanie ryzykiem cybernetycznym powinno opierać się na tych samych paradygmatach i koncentrować się na tych samych działaniach (tj. monitorowaniu i ocenie), co każda inna podstawowa funkcja. To z kolei będzie dowodzić przewagi konkurencyjnej, jaką dysponuje dana firma, w obliczu potrzeby adaptaci i rekacji  na nowe, wciąż rozwijające się zagrożenia mające swoje źródło w zmianach rynkowych lub społecznych.

ISO 31000

Międzynarodowa Organizacja Normalizacyjna uznaje zarządzanie ryzykiem za proces obejmujący systematyczne stosowanie polityk, procedur i praktyk w zakresie działań komunikacyjnych i konsultacyjnych, ustalania kontekstu oraz oceny, leczenia, monitorowania, przeglądu, rejestrowania i raportowania ryzyka.

Ponieważ wszystkie funkcje biznesowe pozostają związane z wydajnością  oraz efektywnością systemów i sieci IT regulujących przepływ ich zadań, zarządzanie ryzykiem cybernetycznym staje się integralną częścią strategicznego podejmowania decyzji i planowania długoterminowego.

Zarządzanie ryzykiem cybernetycznym jest procesem cyklicznym i obejmuje bieżące mechanizmy ukierunkowane na osiąganie coraz wyższych standardów.

    Kontrola > Ocena > Dopracowanie

 

ISO 31000, wizualna reprezentacja
Ograniczanie ryzyka cybernetycznegoRozwiń  

Zgodnie z normą ISO 31000, modele zarządzania cyberryzykiem wewnętrznym powinny odzwierciedlać wartości, cele i zasoby organizacji oraz być zgodne z polityką i deklaracjami dotyczącymi zobowiązań organizacji oraz poglądami interesariuszy.

Gdy organizacja ustali zakres, kontekst i kryteria modelu zarządzania, zaleca się przystąpienie do właściwej oceny.Ocena kończy się trzyetapowym procesem:
Przepływ oceny ryzykaRozwiń  
Siatka oceny ryzykaRozwiń  

 

NASA, Goddard Space Flight Center, Goddard Technical Standard GSFC-STD-0002, Risk Management Reporting
Zapewnienie jakości w zakresie cyberhigieny

Wprowadzenie do Zapewnienia JakościRozwiń  

Specjaliści i eksperci w dziedzinie zarządzania przedsiębiorstwem z pewnością słyszeli o Lean Manufacturing, Total Quality Management (TQM), Just In Time (JIT) itp.

Powyższe terminy odnoszą się do najlepiej rozpowszechnionych ram audytowych w procesie zarządzania jakością. Wdraża się je w przemyśle. 

Wszystkie 3 modele mają jedną wspólną cechę: wywodzą się z Japonii, a na świecie stały się zyskały popularność jako punkty odniesienia dla procedur audytu i zapewniania jakości.
Wprowadzenie do zapewnienia jakości - model KAIZENARozwiń  

To, co jest mniej znane na temat TQM i JIT, to "filozofia" biznesu, z której się wyłoniły: Kaizen (改善), dosłownie tłumaczona jako 改 = zmiana,善 = dobry.

Kultura Kaizen zakłada stałe i ciągłe ustanawianie wyższych standardów wydajności.

Około lat 80. stała się ona dominującym paradygmatem biznesowym w przemyśle japońskim, ze szczególnym uwzględnieniem Toyoty (tj. Toyota Production System, Toyotism).

Pomimo wszystkiego, co może się wydawać, kultura Kaizen nie jest jednak w pełni japońskim produktem.
Wprowadzenie do zapewnienia jakości - model DEMINGA Rozwiń  

 

 

Model Kaizen wywodzi się z międzynarodowego programu współpracy przemysłowej pomiędzy USA a Japonią, rozpoczętego pod koniec II wojny światowej.

Dokładniej rzecz ujmując, początki obecnego modelu Kaizen zostały zainspirowane pracą amerykaskiego statystyka, W. Edwardsa Deminga (1990-1993).

W. Edwards Deming jest twórcą jednej z pierwszych ram referencyjnych dla zapewnienia jakości i audytu. Jest to tzw. model Deminga.

  

 

Model Deminga

Źródło: Deming, W.E., 1950. Elementarne zasady statystycznej kontroli jakości, JUSE.

 

Model Deminga doczekał się na przestrzeni lat różnych adaptacji propagowanych przez innych autorów. Kaizen jest oczywiście jedną z nich.

Do dziś oryginalny model Deminga stanowi inspirację dla normy ISO 9001 w zakresie zasad zarządzania jakością. 

Spośród wszystkich readaptacji modelu Deminga chcielibyśmy Ci zaproponować tę przedstawioną w perspektywie ewolucyjnej. Znajdziesz ją na następnym slajdzie.
 

Zaawansowany model Deminga

Model Deminga — uwagi

Największą zaletą modelu Deminga, która pozwoliła mu przejść próbę czasu, jest to, że:

• jest łatwy do zrozumienia
• może być stosowany przez każdą organizację — niezależnie od branży
• można go zastosować do każdego procesu i funkcji biznesowej — w tym do cyberbezpieczeństwa
 

Z normy ISO 31000 wynika, że kompleksowy model zarządzania ryzykiem uwzględnia przekrojowy i ciągły proces monitorowania i oceny.

Cykl DEMING obejmuje oba te priorytety, ponieważ pozwala użytkownikom na:

1. Opracowanie strategii najbardziej odpowiednich rozwiązań w zakresie bezpieczeństwa cybernetycznego z uwzględnieniem mapowanych ryzyk i warunków organizacyjnych
2. Wdrożenie wyżej wymienionych
3. Ocenę i zatwierdzenie ich adekwatności
4. Odpowiednią reakcję
Ocena kształtująca vs. ocena podsumowującaRozwiń  

Możesz podzielić procesu ewaluacji (tj. fazy sprawdzania) na dwie odrębne części, w zależności od rzeczywistego czasu na przeprowadzenie oceny:

 

Ocena kształtująca

Ocena podsumowująca
Ocena procesów krok po kroku i ocena działań dzień po dniu.

Po zakończeniu każdego większego zadania spójrz wstecz na to, co zostało zrobione i spróbuj porównać to z przewidywanymi standardami/ oczekiwaniami.

 
PodsumowanieRozwiń  

• Przekształcenie zarządzania ryzykiem z funkcji horyzontalnej w kluczowe zasoby wewnętrzne zapewnia sukces konkurencyjny
 
• Zarządzanie ryzykiem to sposób myślenia, a nie podejście operacyjne
 
• Świadomość → gotowość → odporność
 
• Ograniczanie ryzyka i środki zaradcze: identyfikacja, analiza i ocena
 
• Ocena ryzyka: prawdopodobieństwo vs. wpływ
 
• Zapewnienie jakości: stałe i ciągłe doskonalenie


Słowa kluczowe

Zapewnienie jakości, cykl Deminga, identyfikacja ryzyka, ocena ryzyka, monitorowanie, ocena, zarządzanie

Cele szkolenia:

Celem tego modułu jest wsparcie uczestników w pogłębianiu świadomości na temat strategicznej roli zarządzania ryzykiem (cybernetycznym) w mikro- i małych przedsiębiorstwach działających w ramach połączonego ekosystemu cyfrowego.

Opis szkolenia :

Zawartość tego modułu ma na celu pomoc w zdobyciu nowej wiedzy z zakresu zarządzania ryzykiem w perspektywie biznesowej, która obejmuje wszystkie zadania i działania, odpowiadając na nową pilną potrzebę ochrony firm przed zagrożeniami cybernetycznymi.

Poznasz godne zaufania, solidne i wiarygodne ramy zarządzania, które znajdą zastosowanie we wszystkich obszarach biznesowych.


Materiały powiązane

SPOŁECZNOŚĆ

team img
team img
team img



team img
team img
team img
Projekt ten został zrealizowany przy wsparciu finansowym Komisji Europejskiej. Niniejsza strona internetowa i jej zawartość odzwierciedlają jedynie poglądy autorów, a Komisja nie ponosi odpowiedzialności za jakiekolwiek wykorzystanie zawartych w niej informacji.
Opis prawny – Licencja Creative Commons:
Materiały opublikowane na stronie projektu CyberMSME są otwartymi zasobami edukacyjnymi i mogą być swobodnie – bez konieczności uzyskania zgody ich twórców - pobierane, wykorzystywane, ponownie wykorzystywane, kopiowane, adaptowane i udostępniane przez użytkowników, z zachowaniem informacji o źródle ich pochodzenia.