KSC-Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. oraz związane z nią rozporządzenia, wprowadziły szereg obowiązków. Dla przedsiębiorstw, które dostarczają tzw. „usługi kluczowe” dla polskiej gospodarki. Dostawców usług cyfrowych oraz usług z zakresu cyberbezpieczeństwa, wybranych instytucji oraz spółek wykonujących zadania o charakterze użyteczności publicznej.
Czym jest KSC?
Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest odpowiedzią na obowiązek implementacji dyrektywy Parlamentu Europejskiego i Rady (UE). W sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Jej celem jest utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym. Za pomocą ustawy zostali powołani tzw. „operatorzy usług kluczowych” wobec których nałożony został obowiązek przeprowadzania regularnych audytów bezpieczeństwa systemu informacyjnego. Elementy audytowe obejmują weryfikację właściwego poziomu bezpieczeństwa teleinformatycznego, w ramach którego sprawdza się również wdrożenie dokumentacji dotyczącej cyberbezpieczeństwa, szacowania ryzyka i wdrożenia adekwatnych zabezpieczeń.
Jak przeprowadzić poprawnie audyt?
Ciekawostką ustawy KSC jest to, że nakazuje przeprowadzanie audytów mających ujednolicić podejście do raportowania wyników. W celu minimalizacji subiektywnej oceny nie wskazując jednak jak to zrobić. Metodyka audytu zatem musi spójnie łączyć wymagania ustawowe z normami obowiązującymi na polu cyberbezpieczeństwa, a także dobrymi praktykami. Skuteczny audyt to nie tylko odpowiedź na pytania co jest źle, co jest dobrze, co trzeba poprawić, aby było dobrze, ale również poszerzenie świadomości pracowników w zakresie ryzyk związanych z cyberbezpieczeństwem, zwiększenie zaufania społecznego do podmiotu czy wskazanie właściwej ścieżki przekazywania informacji o poważnych incydentach. Dobry audyt obejmuje minimum 10 obszarów weryfikacyjnych. Od samej organizacji tego procesu przez utrzymanie, rozwój i bezpieczeństwo systemów po zapewnienie skutecznego zarządzania ryzykami, ciągłością działania itp.
Czy to tylko wymóg czy są tego zalety?
Zgodnie z ustawą o KSC przeprowadzenie audytu jest wymogiem, to zupełnie jak przy Rozporządzeniu dotyczącym obszarów KRI, gdzie również przeprowadzanie audytów KRI jest obowiązkowe. Jednakże ten wymóg przynosi również szereg zalet. Warto, aby audytowi poddawały się również i te organizacje, które nie podlegają pod niego ustawowo, ale którym zależy na wysokim poziomie zaufania publicznego. Dobry audyt to audyt pozwalający zweryfikować gotowość do spełnienia wymagań i obowiązków wynikających z przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa, a także uzyskać niezależną opinię oraz rekomendacje, dzięki którym będzie można usunąć słabości systemów. Wśród zalet poznania słabych punktów na pewno nie można zapomnieć o oszacowywaniu ryzyka związanego z cyberbezpieczeństwem i wdrożeniu dzięki temu skutecznych zabezpieczeń przed cyberatakami. Podniesienie ogólnego stanu bezpieczeństwa informacyjnego w ramach organizacji pozwoli również na wzrost zaufania publicznego oraz optymalizację kosztów dotyczących cyberbezpieczeństwa. Podsumowując zyskujesz możliwość wdrożenia skutecznych zabezpieczeń przed cyberatakami.
Transformacja – zagrożenie czy ułatwienie
Podsumowując, trwająca transformacja cyfrowa przez ostatnie lata znacząco ułatwia codzienne życie i funkcjonowanie organizacji. Czego przykładem była sytuacja panująca w okresie nie dawnej pandemii zmuszającej firmy do przejścia na pracę zdalną. Pozwala ona na doskonalenie procesów, zwiększanie efektywności przedsiębiorstw jaki i tworzenie nowoczesnych modeli biznesowych. Niestety nie tylko są same superlatywy, ten szybki rozwój ma swoje wady poprzez drastyczną ekspozycję na ryzyko cyberataku. Wpływ na nasz biznes działalności hackerskiej jest niepodważalny, a posiadane duże zasoby finansowe, motywują hakerów do działania. Te działania mogą spowodować nie tylko straty finansowe czy utratę reputacji, ale w skrajnych przypadkach zniszczenie całej firmy. Dlatego też należy stawiać nie tylko na weryfikację, wdrożenia czy szkolenia, ale również na nadzór nad całością funkcjonowania systemu KSC.
Zapraszamy do zapoznania się z usługami jakie oferujemy z zakresu KSC (
link).
