Kai įvyksta kibernetinis incidentas, svarbiausia ne technologijos, o aiškūs sprendimai: kas priima atsakomybę, kas komunikuoja ir kaip tęsiama veikla.
Padedu vidutinėms įmonėms, kurios neturi vidinio compliance ar GRC resurso, greitai įsivertinti NIS2 pasirengimą. Per 2 darbo dienas jos gauna aiškų situacijos vaizdą ir konkrečius tolesnius žingsnius.
Klausimynui užpildyti reikės tik keliolikos minučių. Per 2 darbo dienas gausite situacijos įvertinimą, pagrindines spragas ir rekomenduojamus veiksmus.
Jūsų pateikta informacija naudojama tik situacijos įvertinimui ir nėra perduodama tretiesiems asmenims.
Kam tai skirta
Vidutinėms įmonėms, kurios jaučia NIS2 spaudimą praktiškai – ir neturi aiškaus vidinio atsakingo žmogaus.
Gavote kliento ar partnerio NIS2 klausimyną
Klientai pradeda klausti apie incidentų valdymą, veiklos tęstinumą, atsakomybes ar audito teises – ir reikia aiškaus atsakymo.
Reikia suprasti, ar NIS2 jums aktuali
Neaišku, ar organizacija patenka į NIS2 taikymo sritį, ar reikalavimai gali ateiti per klientus, tiekėjus ar grupės įmones.
Norite pasiruošti be perteklinės biurokratijos
Reikia aiškaus veiksmų plano vadovybei: kas jau yra, ko trūksta ir ką reikia sutvarkyti pirmiausia.
Jei NIS2 klausimai jau atsirado klientų, tiekėjų ar vadovybės pokalbiuose – verta įsivertinti situaciją dabar.
Kokią problemą sprendžiu
Organizacijos dažniausiai stringa ne dėl dokumentų trūkumo – o dėl to, kad nėra aišku, kas turi teisę priimti sprendimą.
Neaiški atsakomybė
Kas stabdo veiklą, informuoja klientus ir priima rizikos sprendimus incidento metu?
Neaiškūs įrodymai klientams
Ką parodysite, jei klientas paprašys NIS2, audito ar incidentų valdymo įrodymų?
Neaiškus incidento scenarijus
Kas vyksta per pirmąsias 24 valandas po incidento?
Neaiškūs tiekėjų įsipareigojimai
Ar aišku, kokio atsako tikimasi iš IT ar saugumo partnerių kritinėje situacijoje?
Aiškumas turi atsirasti iki incidento. Krizės metu jis tik patikrinamas.
Kas dirba su jumis
Darius Jasiulionis
Kibernetinio saugumo valdymo, NIS2 ir sprendimų aiškumo konsultantas.
Padedu vadovams į NIS2 žiūrėti ne kaip į dokumentų rinkinį, o kaip į praktinį pasirengimą priimti sprendimus, kai įvyksta kibernetinis incidentas.
Mano stiprioji pusė – kibernetinę riziką versti į vadovų kalbą: atsakomybę, veiklos tęstinumą, klientų pasitikėjimą ir aiškius veiksmus.
NIS2 pasirengimo patikra
Tai nėra techninis testas. Vertinu, ar organizacijoje aišku, kas priima sprendimus kritiniu momentu – ir ar vadovybė tam pasiruošusi.
VADOVYBĖS SPRENDIMŲ AIŠKUMO PATIKRA
Atsakykite ne „kaip turėtų būti", o kaip realiai būtų šiandien.
Klausimų pavyzdžiai
01
Kas organizacijoje priima sprendimą sustabdyti kritinį procesą incidento metu?
02
Kas sprendžia, kada ir kaip informuojami klientai, partneriai ar institucijos?
03
Ar aišku, kas kontaktuoja su IT tiekėju ir kokio atsako iš jo tikimasi?
04
Ar žinoma, kaip būtų tęsiama veikla sutrikus el. paštui, ERP ar kitai svarbiai sistemai?
05
Kas atsakingas už NIS2 pasirengimo įrodymus ir veiksmų koordinavimą?
06
Ar vadovybė žino, kokius sprendimus turėtų priimti per pirmąsias incidento valandas?
Tai tik keli klausimų pavyzdžiai. Forma padeda įvertinti platesnę organizacijos pasirengimo situaciją.
Ką gausite užpildę formą
Per 2 darbo dienas įvertinsiu jūsų atsakymus ir pateiksiu:
Situacijos įvertinimas
Trumpa pasirengimo ir pagrindinių rizikų apžvalga.
Pagrindinės spragos
Kur labiausiai trūksta aiškumo – sprendimuose, atsakomybėje ar veiklos tęstinume.
Rekomenduojami veiksmai
Pirmi žingsniai, kuriuos verta atlikti artimiausiu metu.
Konkretus pasiūlymas
Jei matysiu, kad galiu padėti praktiškai – pateiksiu pasiūlymą su kaina, apimtimi ir terminais.
Tikslas – ne ataskaita, o aiškus atsakymas: nuo ko pradėti ir ar reikia pagalbos.
Kas jau vyksta rinkoje
Įmonės jau gauna klientų ir partnerių reikalavimus įrodyti kibernetinį pasirengimą. Tai ne ateities klausimas.
Aiškiai apibrėžta atsakomybė už informacijos saugumą
NIS2 arba panašių reikalavimų atitikimas
Incidentų pranešimas per nustatytą laiką
Kliento audito teisės
Veiklos tęstinumo įsipareigojimai
Klausimas nebėra „Ar mums privalomas NIS2?". Klausimas – ar galėsite ramiai atsakyti klientui, kai jis paprašys įrodymų.
Galimi tolimesni žingsniai
Po įsivertinimo bus aišku, nuo ko pradėti ir kokios pagalbos jums realiai reikia – jei jos reikia.
Klientų reikalavimų įvertinimas
Kai klientas prašo NIS2, incidentų pranešimo, audito teisių ar veiklos tęstinumo įrodymų.
NIS2 pasirengimo vertinimas
Atsakomybių, sprendimų ir veiksmų plano įvertinimas per vadovybės prizmę.
Incidento sprendimų scenarijai
Aiškūs sprendimų keliai kritinėms situacijoms: kas sprendžia, ką komunikuoja, kokią riziką prisiima.
ISO 27001 pasirengimas
Struktūruotas saugumo valdymo sistemos diegimas arba pasirengimas auditui.
Apie
Darius Jasiulionis – kibernetinio atsparumo konsultantas vadovams
Dirbu su organizacijų vadovais ir sprendimų priėmėjais. Padedu kibernetines rizikas paversti aiškiais valdymo sprendimais – be techninio žargono ir dokumentų dėl dokumentų.
Tikslas – kad vadovybė turėtų aiškumą prieš incidentą, o ne pradėtų jo ieškoti krizės metu.
Pradėkite nuo NIS2 vertinimo formos
Užpildykite formą – per 2 darbo dienas gausite aiškų situacijos įvertinimą ir konkrečius tolesnius žingsnius.