0
dni
zamiast 30 dni klasycznego audytu
Nasza metodyka
5 dni roboczych vs 30 dni paraliżu firmy.
Zwinne BIA i Analiza Ryzyka w modelu Top-Down + Value Streams. Zaczynamy od Zarządu, kończymy konkretnymi zabezpieczeniami aktywów.
0
fazy
od Zarządu po zabezpieczenia pojedynczych aktywów
0
%
konkretnych reguł zamiast segregatora procedur
Klasyczne audyty paraliżują firmę. Nasze 5-dniowe BIA jej nie zatrzymuje.
30 dni paraliżu
- Chodzenie od działu do działu, wywiady z każdym kierownikiem
- Zaangażowanie dziesiątek osób w równoległe rozmowy
- Wynik: gruby segregator procedur niezrozumiałych dla Zarządu
- Ogólnikowe zalecenia nieprzekładalne na twarde, techniczne zabezpieczenia
5 dni roboczych
- Zaczynamy od Zarządu — zawężamy zakres, odrzucamy szum
- Mapujemy value streams, nie pojedyncze działy
- Wynik: mapa krytyczności + konkretne zabezpieczenia aktywów
- Gotowe do skalowania — mamy autorskie ankiety Pre-BIA
4 dni warsztatów. 1 dzień przygotowania. Gotowe.
Top-Down nie znaczy powierzchownie. Znaczy w odpowiedniej kolejności — od ryzyka biznesowego po zabezpieczenie aktywów.
-
Dzień 1
Zawężenie scope z Zarządem
Skupiamy się tylko na usługach kluczowych dla KSC. Odrzucamy szum.
-
Pre-BIA
Zadania domowe
Biznes sam zbiera dane w naszych autorskich ankietach. Bez konieczności blokowania kierowników.
-
Dzień 2–3
Zwinne warsztaty Biznes + IT
W jednym pokoju. Błyskawiczne rozwiązywanie konfliktów typu „mój system musi wstać w 2h" vs „mój backup odtwarza się 8h".
-
Dzień 4–5
Mapowanie na architekturę
Wyniki Oceny Ryzyka oraz BIA przekładamy bezpośrednio na plany BCP oraz zabezpieczenia aktywów, np. konkretne reguły detekcji, które dostaje do pilnowania SOC.
Klasyczne IT kończy na lewej stronie. My budujemy prawą.
Bow-Tie to inżynierski model ryzyka. Pokazuje, że samo zatrzymanie ataku nie wystarczy — kluczowe jest, co dzieje się po tym, jak mur padnie.
Domena działu IT
Zagrożenia
- Ponad 90% udanych ataków zaczyna się od kliknięcia w sfałszowany e-mail; tylko MFA + szkolenia ograniczają ryzyko.
- Klasyczny wektor w OT — serwis zewnętrzny podłącza zainfekowany nośnik podczas konserwacji maszyny.
- Sterowniki PLC i HMI często działają na Windows XP/7 bez wsparcia — każda nowa podatność pozostaje na zawsze.
Bariery prewencyjne
- Wieloskładnikowe uwierzytelnianie blokuje 99% prób przejęcia konta; regularne szkolenia obniżają click-rate phishingu o 70%.
- Architektura warstwowa (poziomy 0–5) izoluje sieć biurową od sterowników maszyn — atak na IT nie dosięga produkcji.
- Endpoint Detection & Response monitoruje stacje robocze; firewall OT (Tofino, Hirschmann) filtruje protokoły Modbus/S7.
Zdarzenie szczytowe
Skuteczny atak na strefę OT
Domena Zarządu i vCISO
Bariery mitygujące
- Kopie zapasowe w trybie air-gap; RTO = maks. czas przestoju, RPO = maks. utracone dane. Bez izolacji ransomware niszczy też backupy.
- BCP opisuje, jak utrzymać kluczowe procesy bez IT; DR — jak odtworzyć systemy. Bez planu Zarząd improwizuje pod presją.
- Zewnętrzny zespół IR z gwarantowanym SLA i mierzalnym MTTR — taniej niż utrzymywanie własnego SOC, bezpieczniej niż negocjacje w trakcie incydentu.
Konsekwencje biznesowe
- Średni czas odtworzenia produkcji po ransomware (raport Sophos 2024): 14 dni. Z dobrym BCP/DR — 4 godziny.
- Art. 8c KSC + NIS2: kara do 7 mln EUR lub 1,4% obrotuo w przypadku podmiotu ważnego + osobista odpowiedzialność Zarządów do 300% wynagrodzenia.
- Po incydencie w sektorach regulowanych organ nadzoru może wstrzymać certyfikację — koniec działalności w danej branży.
Co dokładnie się zmienia.
| Klasyczne (Bottom-Up) | CyberAlterity (Top-Down) | |
|---|---|---|
| Czas trwania | 30 dni | 5 dni roboczych |
| Zakłócenie pracy firmy | Paraliżuje wszystkie działy | Minimum — 3 wspólne spotkania |
| Punkt startu | Każdy dział z osobna | Zarząd → value streams |
| Wynik | Segregator dokumentów | Mapa krytyczności + zabezpieczenia aktywów |
| Kompetencja prowadzącego | Audytor papierowy ISO | vCISO z CompTIA CySA+ |
| Skalowalność | Ograniczona — manualnie | Gotowe na masową skalę — autorskie ankiety |
Cztery konkretne artefakty. Bez ogólników.
Mapa krytyczności biznesowej
Każdy proces oznaczony RTO/RPO. Zarząd wie, ile godzin przestoju oznacza ile pieniędzy.
Konkretne propozycje zabezpieczeń aktywów
Procedury z papieru przekładamy na konkretne propozycje wdrożeń rozwiązań technicznych.
Briefing dla Zarządu
20-stronicowy dokument przygotowany językiem biznesu — z konkretnymi decyzjami do podjęcia.
Plan działania na 90 dni
Co do każdej kwartalnej rady nadzorczej: gdzie jesteśmy, co dalej, jakie ryzyka pozostały otwarte.
Gotów zacząć?
Nie zgaduj. Zbadajmy Twój status w 20 minut.
Rozpocznij od bezpłatnego Kwalifikacyjnego Audytu Zerowego NIS2. W 20 minut ocenimy Twoją sytuację i sprawdzimy, ile czasu nasza metodyka oszczędzi w Twoim przypadku.
20 minut · bezpłatnie · bez zobowiązań · zero spamu