Decyzja o zaangażowaniu vCISO to dopiero pierwszy krok. Wartość tego modelu ujawnia się w codziennej pracy: w sposobie, w jaki doradca wchodzi do organizacji, diagnozuje jej stan i buduje program bezpieczeństwa dostosowany do jej realiów. Ten artykuł opisuje, jak ta współpraca wygląda od środka.
W poprzednim artykule opisaliśmy, czym jest model vCISO, komu jest potrzebny i kiedy nie warto go wdrażać. Ten tekst odpowiada na pytanie, które pojawia się zaraz potem: co konkretnie dzieje się po podpisaniu umowy?
Pytanie jest zasadne, bo doświadczenia wielu organizacji z zewnętrznymi konsultantami bywają rozczarowujące. Audyt, raport, lista rekomendacji, faktura. Potem cisza. vCISO w modelu abonamentowym działa inaczej, ale żeby to „inaczej" miało znaczenie, organizacja powinna rozumieć, czego oczekiwać na każdym etapie.
Co vCISO zastaje w pierwszym miesiącu
Każda organizacja jest przekonana, że jej sytuacja jest wyjątkowo zła. W praktyce stan, który vCISO zastaje, jest zaskakująco podobny niezależnie od branży i wielkości firmy.
Polityka bezpieczeństwa informacji istnieje, ale została spisana kilka lat temu i od tamtej pory nikt jej nie aktualizował. Rejestr ryzyk powstał na potrzeby certyfikacji lub audytu wewnętrznego i zawiera ryzyka sformułowane na tyle ogólnikowo, że nie sposób na ich podstawie podjąć konkretnej decyzji. Lista uprawnień dostępowych obejmuje konta osób, które dawno opuściły organizację. Procedura reagowania na incydenty istnieje w wersji dokumentowej, ale nigdy nie była testowana. Backup działa, prawdopodobnie, bo nikt nie sprawdzał od wdrożenia.
To nie jest patologia. To standardowy punkt wyjścia dla organizacji, która nie miała dotąd osoby odpowiedzialnej za ciągłość programu bezpieczeństwa. Dokumenty powstały, bo wymagał ich konkretny bodziec: audyt, pytanie klienta, wymóg przetargowy. Nikt nie odpowiadał za to, żeby te dokumenty żyły po spełnieniu swojej doraźnej funkcji.
Dla vCISO ten stan jest informacją, nie wyrokiem. Pozwala ocenić, jak dużo pracy wymaga organizacja i gdzie są luki o najwyższym ryzyku. Pierwszy miesiąc to wyłącznie diagnoza: rozmowy z zespołem IT, przegląd dokumentacji, inwentaryzacja aktywów informacyjnych, analiza stosowanych zabezpieczeń technicznych i organizacyjnych.
Diagnoza: więcej niż audyt
Diagnoza, którą przeprowadza vCISO, różni się od klasycznego audytu bezpieczeństwa w kilku istotnych aspektach.
Audyt mierzy zgodność z normą lub standardem. Wynikiem jest raport ze stwierdzonymi niezgodnościami i rekomendacjami. Audytor nie odpowiada za to, co organizacja zrobi z tym raportem. Diagnoza vCISO ma inny cel: zbudować obraz sytuacji, na podstawie którego powstaną priorytety i plan działania. vCISO jest zaangażowany w realizację tego planu, więc ma bezpośredni interes w tym, żeby diagnoza była rzetelna i operacyjnie użyteczna.
W praktyce diagnoza obejmuje kilka wymiarów jednocześnie. Wymiar dokumentacyjny: jakie polityki, procedury i rejestry istnieją, kiedy były ostatnio aktualizowane, czy odzwierciedlają rzeczywiste procesy organizacji. Wymiar techniczny: jakie zabezpieczenia funkcjonują, czy konfiguracja odpowiada przyjętym politykom, gdzie są luki widoczne bez głębokiego testowania. Wymiar organizacyjny: kto faktycznie odpowiada za bezpieczeństwo, jak wygląda komunikacja między IT a zarządem, czy istnieje budżet dedykowany cyberbezpieczeństwu. Wymiar regulacyjny: jakim regulacjom organizacja podlega (KSC2, DORA, CRA, TISAX), jakie terminy się zbliżają, jaki jest aktualny poziom zgodności.
Wynikiem diagnozy nie jest raport do szuflady. Jest to dokument roboczy, który staje się punktem odniesienia dla całej dalszej współpracy. Wracamy do niego przy każdym przeglądzie kwartalnym, żeby mierzyć postęp.
Typowe odkrycia diagnozy
Kilka obserwacji powtarza się niezależnie od branży i wielkości organizacji. Polityki bezpieczeństwa istnieją, ale nie przeszły przez cykl przeglądu zarządzania, co oznacza, że formalnie nie wiadomo, czy są nadal aktualne wobec zmian w infrastrukturze i otoczeniu regulacyjnym. Ocena ryzyka została przeprowadzona, ale ryzyka opisano na poziomie ogólnym (np. „utrata danych"), bez przypisania do konkretnych aktywów, scenariuszy zagrożeń i właścicieli. Zabezpieczenia techniczne funkcjonują, ale ich konfiguracja nie wynika z udokumentowanej analizy ryzyka, tylko z decyzji administratorów podejmowanych ad hoc w odpowiedzi na bieżące potrzeby.
Są też odkrycia specyficzne dla sektora. Firmy produkcyjne często nie mają inwentaryzacji systemów OT, które łączą się z siecią IT. Firmy technologiczne mają dobrze zabezpieczony produkt, ale słabo chronione środowisko wewnętrzne (poczta, dokumenty, dostępy do repozytoriów kodu). Firmy z sektora finansowego mają rozbudowaną dokumentację wymaganą przez KNF, ale polityki bezpieczeństwa informacji powstały niezależnie od dokumentacji compliance i nie są ze sobą spójne.
Każde z tych odkryć staje się elementem roadmapy. Żadne z nich nie jest powodem do paniki. Wszystkie są rozwiązywalne, jeśli organizacja jest gotowa na systematyczną pracę.
Budowanie roadmapy: od diagnozy do planu
Diagnoza odpowiada na pytanie „gdzie jesteśmy". Roadmapa odpowiada na pytanie „co robimy i w jakiej kolejności".
Priorytetyzacja to najtrudniejsza część pracy vCISO, bo wymaga łączenia perspektywy technicznej z biznesową. Nie wszystko, co jest niezgodne z normą, stanowi realne ryzyko. Nie wszystko, co stanowi ryzyko, da się zamknąć w tym kwartale. Nie wszystko, co da się zamknąć szybko, jest warte inwestycji przy ograniczonym budżecie.
Trzy kryteria priorytetyzacji
W Sisoft stosujemy trzy kryteria, które pomagają uporządkować działania.
Pierwsze: wpływ na działalność. Które ryzyka, jeśli się zmaterializują, mogą zatrzymać operacje firmy, narazić ją na kary regulacyjne lub spowodować utratę kluczowych klientów? Te ryzyka trafiają na górę listy niezależnie od tego, jak trudne jest ich zamknięcie.
Drugie: terminy regulacyjne. Organizacja objęta znowelizowaną ustawą o KSC (implementacja NIS2) ma konkretne obowiązki z konkretnymi terminami. Podobnie firma w sektorze finansowym wobec DORA czy producent produktów cyfrowych wobec CRA. Roadmapa musi uwzględniać te terminy jako twarde ograniczenia.
Trzecie: stosunek nakładu do efektu. Są działania, które wymagają minimalnego wysiłku, a zamykają istotne luki. Włączenie uwierzytelniania wieloskładnikowego (MFA) na krytycznych systemach, usunięcie nieaktywnych kont, aktualizacja procedury reagowania na incydenty. Te tzw. quick wins realizujemy w pierwszych tygodniach, bo dają natychmiastową poprawę poziomu bezpieczeństwa i budują zaufanie zespołu do procesu zmian.
Roadmapa powstaje we współpracy z zarządem. To istotne: priorytetyzacja wymaga decyzji o akceptowalnym poziomie ryzyka, o alokacji budżetu, o kolejności działań. Są to decyzje biznesowe, nie techniczne, i muszą mieć akceptację osób odpowiedzialnych za organizację.
Dowiedz się więcej o bezpieczeństwie w Twojej organizacji
Sprawdzimy, na jakim etapie jest Twój program bezpieczeństwa i co warto zrobić w pierwszej kolejności.
Współpraca z wewnętrznym zespołem
Żaden program bezpieczeństwa nie zostanie wdrożony, jeśli wewnętrzny zespół IT traktuje vCISO jako zagrożenie. To jest realne ryzyko i warto o nim mówić wprost, bo ignorowanie go prowadzi do cichego sabotażu: spowolnionych procesów, braku odpowiedzi na pytania, nieobecności na spotkaniach.
Rozwiązanie zaczyna się od jasnego podziału ról, ustalonego w pierwszym tygodniu współpracy. W modelu, który stosujemy w Sisoft, podział wygląda następująco.
W tym modelu vCISO nie zarządza zespołem IT. Nie wydaje poleceń, nie ocenia pracowników, nie decyduje o narzędziach bez konsultacji. Odpowiada za kierunek strategiczny i nadzór nad programem. Codzienna operacja pozostaje w rękach ludzi, którzy znają systemy, użytkowników i kontekst biznesowy organizacji.
Najskuteczniejsze współprace, które obserwujemy, to te, w których wewnętrzny lider IT lub bezpieczeństwa traktuje vCISO jako zasób, a nie jako audytora. Osoba, która przejmuje rozmowy z zarządem o budżecie i ryzyku, żeby zespół techniczny mógł skupić się na tym, w czym jest najlepszy. Osoba, z którą można skonsultować trudną decyzję bez obawy o wewnętrzne konsekwencje polityczne.
Przygotowanie do certyfikacji
Jednym z najczęstszych celów, z którymi organizacje przychodzą do vCISO, jest uzyskanie certyfikatu ISO 27001, spełnienie wymagań TISAX lub przygotowanie się do audytu zgodności z KSC2 (NIS2).
W każdym z tych przypadków certyfikacja nie jest celem samym w sobie. Jest potwierdzeniem, że organizacja zbudowała i utrzymuje system zarządzania bezpieczeństwem informacji. Rozróżnienie jest ważne, bo wpływa na sposób, w jaki vCISO prowadzi ten proces.
Certyfikacja jako produkt ciągłej pracy
Organizacja, która buduje program bezpieczeństwa z vCISO w modelu ciągłym, dochodzi do gotowości certyfikacyjnej naturalnie. Diagnoza jest zrobiona. Rejestr ryzyk istnieje i jest aktualny. Polityki powstały, zostały wdrożone i przeszły co najmniej jeden cykl przeglądu. Zabezpieczenia wynikają z oceny ryzyka, a nie z listy kontrolnej. Plan postępowania z ryzykiem ma przypisanych właścicieli i terminy.
W takim scenariuszu certyfikacja ISO 27001 to formalne potwierdzenie stanu, który już istnieje. Audyt certyfikujący sprawdza, czy system działa, a nie czy dokumenty leżą we właściwym folderze.
Alternatywny scenariusz, czyli „potrzebujemy certyfikatu na za trzy miesiące, bo wymaganie w przetargu", też się zdarza. Jest trudniejszy, droższy i bardziej ryzykowny, ale wykonalny przy odpowiednim zaangażowaniu organizacji. vCISO w takim przypadku koncentruje wysiłek na kluczowych elementach normy: zakresie systemu, ocenie ryzyka, deklaracji stosowania (Statement of Applicability) i minimalnym zestawie polityk i zabezpieczeń wymaganych do przejścia audytu.
Certyfikacja jako argument w relacjach B2B
Certyfikat ISO 27001 przestaje być wyróżnikiem. Staje się warunkiem wejścia. Duże organizacje w Polsce coraz częściej wymagają od dostawców potwierdzenia poziomu bezpieczeństwa informacji w procesach przetargowych, w ramach due diligence przy onboardingu dostawcy lub jako wymóg kontraktowy wynikający z ich własnych obowiązków regulacyjnych (KSC2, DORA).
Organizacja posiadająca certyfikat ISO 27001 skraca proces kwalifikacji dostawcy, bo odpowiedzi na większość pytań z kwestionariusza bezpieczeństwa wynikają wprost z certyfikowanego systemu. Organizacja bez certyfikatu odpowiada na te same pytania przy każdym nowym kliencie od zera. Przy kilkudziesięciu pytaniach i kilku klientach rocznie to setki godzin pracy, które można wyeliminować.
Co się dzieje po certyfikacji
Certyfikat ISO 27001 jest ważny trzy lata. W tym czasie organizacja przechodzi dwa audyty nadzorcze (po 12 i 24 miesiącach od certyfikacji) oraz audyt recertyfikacyjny. Każdy z tych audytów weryfikuje, czy system zarządzania bezpieczeństwem działa, czy jest aktualizowany i czy organizacja reaguje na zmiany w swoim otoczeniu.
Tu ujawnia się fundamentalna różnica między podejściem projektowym a ciągłym.
Organizacja, która potraktowała certyfikację jako projekt (zróbmy to, dostańmy papier, wróćmy do normalności), staje przed audytem nadzorczym z nieaktualnymi dokumentami, niezrealizowanym planem postępowania z ryzykiem i brakiem dowodów na działanie systemu w ostatnich dwunastu miesiącach. Audytor stwierdza niezgodności. Organizacja wpada w tryb awaryjny. Cykl się powtarza.
Organizacja, która utrzymuje program bezpieczeństwa w modelu ciągłym, wchodzi w audyt nadzorczy przygotowana. Rejestr ryzyk jest aktualny. Przeglądy zarządzania odbywają się zgodnie z harmonogramem. Incydenty były rejestrowane i analizowane. Zabezpieczenia były weryfikowane. vCISO przygotował materiały i wie, czego audytor będzie szukał.
Różnica w nakładzie pracy jest nieporównywalna. W modelu ciągłym przygotowanie do audytu nadzorczego zajmuje dni. W modelu projektowym zajmuje tygodnie, a niekiedy wymaga angażowania zewnętrznych konsultantów od nowa, co wiąże się z powtórną diagnozą, odtwarzaniem kontekstu i budowaniem relacji z zespołem. Koszt takiego podejścia, liczony w złotówkach i w czasie ludzi oderwanych od bieżącej pracy, wielokrotnie przewyższa koszt stałej opieki vCISO.
Ciągłość: rdzeń modelu vCISO
Wszystko, co opisaliśmy powyżej, sprowadza się do jednego słowa: ciągłość.
Program bezpieczeństwa informacji to nie projekt z datą zakończenia. To system zarządzania, który wymaga stałego nadzoru: aktualizacji w odpowiedzi na zmiany w organizacji, w otoczeniu regulacyjnym, w krajobrazie zagrożeń. Nowy system wdrożony w infrastrukturze zmienia profil ryzyka. Nowa regulacja (jak CRA z pierwszym obowiązkiem od września 2026) wymaga aktualizacji procedur. Przejęcie dostawcy lub klienta zmienia zakres przetwarzanych danych.
vCISO w modelu abonamentowym zapewnia tę ciągłość. Przychodzi co miesiąc z agendą: status otwartych ryzyk, postęp roadmapy, zmiany w otoczeniu regulacyjnym, przegląd incydentów (jeśli wystąpiły), przygotowanie do nadchodzących audytów lub przeglądów. Zna organizację, bo pracuje z nią regularnie. Nie musi za każdym razem zaczynać od podstaw.
Jak mierzyć postęp programu bezpieczeństwa
Zarząd potrzebuje informacji o tym, czy program bezpieczeństwa przynosi rezultaty. „Nie mieliśmy incydentu" to za mało, bo brak incydentu może oznaczać zarówno skuteczne zabezpieczenia, jak i brak świadomości o trwającym ataku.
vCISO raportuje zarządowi za pomocą wskaźników dopasowanych do poziomu dojrzałości organizacji. Na wczesnym etapie mogą to być proste miary: ile procent luk z diagnozy zostało zamkniętych, ile polityk przeszło przegląd, jaki procent pracowników ukończył szkolenie z bezpieczeństwa, ile niezgodności wskazano w audycie wewnętrznym. W miarę dojrzewania programu wskaźniki stają się bardziej operacyjne: średni czas reakcji na incydent, procent systemów objętych monitoringiem, odsetek dostawców poddanych ocenie bezpieczeństwa.
Kluczowe jest to, żeby wskaźniki odpowiadały na pytania, które zarząd faktycznie zadaje. Nie na pytania, które są łatwe do zmierzenia. To rozróżnienie jest fundamentalne i stanowi jeden z najczęstszych problemów w raportowaniu bezpieczeństwa.
Dla zarządu oznacza to jedno: istnieje konkretna osoba, do której można zadzwonić z pytaniem o stan bezpieczeństwa organizacji i dostać odpowiedź opartą na aktualnych danych, nie na dokumentach sprzed dwóch lat.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
