Cyber risk – wsparcie zarządzania firmą czy zapewnienie zgodności – przemyślenia po SEMAFOR

W trakcie konferencji SEMAFOR miałem możliwość poprowadzić prezentację pod nazwą „Cyber risk – wsparcie zarządzania firmą czy zapewnienie zgodności”. Odbyłem także wiele ciekawych rozmów, najciekawsze wnioski zbieram poniżej. Metody jakościowe dość dobrze udowadniają realizację analizy ryzyka, niemniej wyniki nie dają prostej odpowiedzi przy podejmowaniu decyzji. Zalecanym podejściem jest stosowanie metod ilościowych szacowania ryzyka. Stosowanie zarządzania […]

Details

Polityka zarządzania hasłami i dostępami, różne podejścia i ryzyka – roundtable ATS 2018

W trakcie konferencji Advanced Threat Summit 2018 miałem okazję prowadzić roundtable na temat Polityka zarządzania hasłami i dostępami, różne podejścia i ryzyka. Na dyskusję zaplanowane były następujące zagadnienia: Czy warto mieć restrykcyjną politykę haseł oraz politykę dostępów? Jak w praktyce szacować ryzyka związane z polityką haseł i polityką dostępów? Jakie można zastosować wskaźniki ryzyka (KRI) […]

Details

Szacowanie ryzyka okresu ważności hasła

Wreszcie okres ważności hasła (potocznie odbierany jako częstotliwość zmiany hasła) nie zależy od przepisów. Dla niewtajemniczonych – kiedyś była taka Ustawa o ochronie danych osobowych, która wobec hasła praktycznie nakazywała „… zmiana następuje nie rzadziej niż co 30 dni”. Obecnie okres ważności hasła może być wyznaczany indywidualnie przez każdą firmę/organizację, bazując na analizie ryzyka. Co […]

Details

Poziomy szczegółowości analizy ryzyka IT

Szacowanie ryzyka IT stawia przed nami wyzwanie poziomu szczegółowości analizy. Wysokopoziomowa analiza daje szansę na szybsze i mniej kosztowne przejście przez proces szacowania ryzyka IT, ale jest obarczone potencjalną możliwością pominięcia wielu ryzyk. Co więcej, analiza wysokopoziomowa nie daje mechanizmów na przyjrzenie się szczegółom ryzyka. Z drugiej strony, patrząc na ryzyko IT w sposób szczegółowy […]

Details

Ryzyko w krajowym system cyberbezpieczeństwa

Krajowy system cyberbezpieczeństwa staje się bytem uregulowanym prawnie. Tym sposobem cyberbezpieczeństwo definiowane jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” uzyskuje osadzenie w ustawie nazywanej skrótowo ustawa o KSC. Regulacja jako implementacja dyrektywy NIS, ma wymiar nie tylko krajowy ale i […]

Details

Podstawowy model procesu zarządzania ryzykiem IT

Zarządzanie ryzykiem IT przynosi najlepsze efekty organizacji gdy funkcjonuje jako proces, a nie jako pojedyncze działanie. Proces zarządzania ryzykiem IT ma być procesem ciągłym, w ramach którego możemy wyróżnić etapy (działania). Podstawowy model procesu zarządzania ryzykiem IT pokazuje poszczególne działania procesu i pozwala na zobrazowanie całościowe przedstawienie zakresu. Dowolny proces ciągły najlepiej obrazuje się w […]

Details

Metodyka PIA w języku polskim

Tłumaczenie metodyki PIA „Ocena skutków dla ochrony prywatności” na język polski jest dostępne w pliku CNIL-PIA-1-PL-Metodyka.pdf – najnowsza wersja tłumaczenia.

Details

Czynniki ryzyka ERM a RODO

RODO skupia się przede wszystkim na przetwarzaniu dużych zbiorów danych osobowych, szczególnie przy użyciu nowych technologii, a więc IT. Jednocześnie RODO promuje zarządzanie oparte na ryzyku. Tymczasem zarządzanie ryzykiem w firmie, szczególnie dużej firmie, realizowane jest zazwyczaj w systemie ERM (Enterprise Risk Management), czasem nazywanym ryzykiem korporacyjnym. W ramach ERM ryzyko jest rozkładane na czynniki […]

Details

Ryzyko IT w kontekście RODO

W czasach RODO uwydatniło się wyzwanie dla ryzyka IT związane z ochroną danych osobowych, rozumiane nie tylko jako ochrona firmy przed konsekwencjami związanymi z naruszeniem przetwarzania danych osobowych ale również jako ryzyko praw i wolności osób, czy inaczej ryzyko prywatności osób których dane przetwarzamy. Piszę o uwydatnieniu się wyzwania, bo nie są to kwestie nowe, […]

Details

Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia – roundtable TechRisk 2018

W niniejszym wpisie podzielę się wnioskami jakie zapisałem w trakcie TechRisk 2018 po sesji roundtable: Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia. W trakcie sesji były poruszane następujące zagadnienia: Jaka informacja o ryzyku jest cenna dla decydentów w firmie? Od kogo i jak pozyskiwać wartościowe informacje o ryzyku? Jak zapewnić porównywalność wyników szacowania ryzyka? Jakie są […]

Details