Sektor i rola
Działasz w obszarze objętym regulacją lub pełnisz funkcję istotną dla jego działania.
Usługa
Audyt cyberbezpieczeństwa
Audyt to niezależna, uporządkowana ocena tego, na ile Twoja organizacja spełnia wymagania, które jej dotyczą, od obowiązków regulacyjnych po dobrowolne normy i standardy. Sprawdzamy stan faktyczny, wskazujemy luki i pokazujemy, co zrobić, aby je zamknąć. Działamy doradczo i niezależnie od dostawców. Nasi audytorzy posiadają certyfikaty wymagane do przeprowadzenia audytu KSC, znajdujące się we właściwym wykazie, a konkretne certyfikaty poszczególnych osób przedstawiamy na życzenie.
Czy KSC Ciebie dotyczy?
Wokół KSC narosło przekonanie, że małe organizacje są poza zasięgiem nowych obowiązków. To mit. Wielkość firmy nie jest automatycznym zwolnieniem.
Organ właściwy do spraw cyberbezpieczeństwa może w drodze decyzji uznać podmiot za kluczowy lub ważny niezależnie od jego wielkości, jeśli jego rola lub świadczone usługi mają istotne znaczenie. Oznacza to, że nawet niewielka organizacja może zostać objęta obowiązkami KSC bezpośrednio.
Obowiązki mogą też dosięgnąć Cię przez łańcuch dostaw. Podmiot kluczowy lub ważny, który jest Twoim klientem, ma obowiązek zarządzania bezpieczeństwem swoich dostawców, więc wymagania bezpieczeństwa spłyną na Ciebie poprzez umowy i procesy zakupowe, nawet jeśli sam nie figurujesz w żadnym wykazie.
Jeśli nie masz pewności, czy podlegasz, lepiej to sprawdzić, niż dać się zaskoczyć. Audyt przygotowawczy odpowiada na to pytanie, zanim odpowie na nie za Ciebie regulator lub klient.
Decyzja organu
Organ właściwy może uznać Twój podmiot za kluczowy lub ważny niezależnie od wielkości firmy, jeśli Twoja rola ma istotne znaczenie.
Łańcuch dostaw
Wymagania mogą spłynąć na Ciebie od klienta będącego podmiotem kluczowym lub ważnym, nawet jeśli sam nie podlegasz wprost.
Rodzaje audytów, które przeprowadzamy
Audyty regulacyjne
Audyt ustawowy
Ocena zgodności z wymaganiami ustawy o KSC i dyrektywy NIS2, dla podmiotów, które im podlegają. Przeprowadzają go audytorzy posiadający certyfikaty wymagane przepisami.
Audyt przygotowawczy
Sprawdzenie zgodności z wymaganiami NIS2 i KSC, nawet jeśli formalnie im nie podlegasz lub nie masz co do tego pewności. Pozwala poznać własną sytuację i przygotować się, zanim obowiązek stanie się problemem.
Audyty dobrowolne, względem norm i standardów
Audyt zgodności z normami ISO 27001 i ISO 22301
Ocena, na ile Twój system zarządzania odpowiada wymaganiom uznanych norm międzynarodowych, w obszarze bezpieczeństwa informacji (ISO 27001) oraz ciągłości działania (ISO 22301). To audyt oceniający i wskazujący luki, nie audyt certyfikujący.
Audyt zgodności ze standardem
Ocena względem wybranego standardu bezpieczeństwa, dopasowanego do Twojej organizacji i sektora. Standard dobieramy do tego, czego realnie potrzebujesz lub czego wymaga od Ciebie klient czy rynek, na którym działasz.
W przypadku audytu względem norm ISO przygotowujemy organizację do certyfikacji, ale jej nie przeprowadzamy. Certyfikat może wydać wyłącznie akredytowana jednostka certyfikująca, którą nie jesteśmy.
Przy audycie zgodności ze standardem pracujemy między innymi na uznanych ramach i normach, dobieranych do kontekstu organizacji. Stosujemy ShieldNet, nasz autorski framework cyberbezpieczeństwa dla organizacji o ograniczonych zasobach, a także CIS Controls oraz NIST, czyli powszechnie stosowane zestawy zabezpieczeń i dobrych praktyk, które każda organizacja może przyjąć dobrowolnie. Dla środowisk przemysłowych, automatyki oraz wyrobów medycznych sięgamy po IEC 62443, międzynarodowy standard bezpieczeństwa tego typu systemów.
Osobnym przypadkiem jest HIPAA, amerykańskie wymagania dotyczące ochrony danych zdrowotnych. W Europie bywa stosowana dobrowolnie jako uznany wzorzec, podobnie jak NIST, zwłaszcza przez organizacje ochrony zdrowia z ekspozycją na rynek amerykański, na przykład w obszarze badań, R&D, laboratoriów czy medtech. Jeśli Twoja organizacja stosuje HIPAA wobec danych podlegających jurysdykcji USA, oceniamy zgodność z jej wymaganiami i zestawiamy je z obowiązkami wynikającymi z NIS2, pokazując, gdzie się pokrywają, a gdzie pozostają luki do uzupełnienia.
Ochrona zdrowia to zresztą nie tylko szpitale i przychodnie, lecz także laboratoria, jednostki badawcze i R&D, producenci wyrobów i technologii medycznych oraz dostawcy usług dla sektora. Każdy z tych podmiotów działa w innym otoczeniu regulacyjnym i wymaga innego doboru standardów, co uwzględniamy przy ustalaniu zakresu audytu.
Jak pracujemy
Audyt prowadzimy w sposób uporządkowany i przewidywalny, tak aby jak najmniej obciążać Twój zespół. Proces przebiega w czterech etapach:
Krok 1: Zakres i kontekst
Ustalamy, które wymagania Cię dotyczą i co dokładnie oceniamy.
Krok 2: Zbieranie informacji
Przegląd dokumentacji, rozmowy z osobami odpowiedzialnymi i weryfikacja stanu faktycznego.
Krok 3: Ocena i analiza luk
Odnosimy stan rzeczywisty do wymagań i identyfikujemy rozbieżności.
Krok 4: Raport i rekomendacje
Przekazujemy wnioski i rekomendacje oraz omawiamy je z Tobą, aby ustalenia były jasne i wykonalne.
Co otrzymujesz
Efektem audytu są konkretne dokumenty i ustalenia, z którymi możesz dalej pracować. Nie zostawiamy Cię z samą listą braków, pokazujemy drogę do ich zamknięcia.
Raport z audytu
Opis stanu zgodności i ustaleń, z konkretnymi wnioskami.
Analiza luk
Wskazanie rozbieżności względem wymagań, którymi trzeba się zająć.
Roadmapa
Priorytety i kolejność działań, dopasowane do Twojej skali i zasobów.
Powiązane usługi
Audyt to punkt wyjścia. Po nim naturalnie przychodzi podniesienie kompetencji zespołu oraz zapewnienie stałego nadzoru nad bezpieczeństwem.