PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Zarządzanie Bezpieczeństwem Informacji i Ciągłością Działania

Cyberbezpieczni w sieci

Udostępnij
Drukuj:
Jeśli Państwa organizacja była już celem cyberataku – warto zadbać o systemową ochronę informacji. Jeśli jeszcze nie była – tym bardziej warto. Wystarczy, by skuteczny okazał się jeden atak, aby straty liczyć w dziesiątkach lub setkach tysięcy złotych, a dane utracić bezpowrotnie. O udanych atakach dowiadujemy się codziennie, a mimo to wiele organizacji pozostaje podatnych na kolejne podobne incydenty. Jak się przed nimi zabezpieczyć?
 

Nowe potrzeby

Stale rosnąca ilość danych, miejsc ich przechowywania i przetwarzania, interfejsów międzysystemowych oraz złożone zarządzanie uprawnieniami przy jednoczesnym zapewnieniu swobodnego dostępu do zasobów – to tylko niektóre wyzwania, które organizacje muszą wziąć pod uwagę dla zapewnienia poufności, integralności i dostępności danych. We współczesnych, rozproszonych środowiskach IT zwykle nie ma ani centralnego punktu, w którym należy zapewnić ochronę całego przechodzącego ruchu sieciowego, ani też nie da się zastosować jednej technologii, która zaadresuje wszystkie aspekty bezpieczeństwa informacji, a w szczególności cyberbezpieczeństwa. Wszystko to znacznie podnosi ryzyko rozprzestrzenienia się w organizacji złośliwego oprogramowania bądź skutecznego włamania do systemów IT.

Realizowany scenariusz ochrony często jest podobny – działy IT implementują fragmentaryczne rozwiązania techniczne, zwykle niewystarczające z perspektywy całościowych potrzeb bezpieczeństwa informacji.

Nowe podejście

Uznane światowe standardy, dobre praktyki branżowe oraz nasze doświadczenia wdrożeniowe pokazują, że skutecznym rozwiązaniem tego problemu jest przeniesienie zagadnień bezpieczeństwa informacji poza dział IT i zainteresowanie nimi całej organizacji, będącej przecież właścicielem danych, które muszą być chronione. Bardzo dobrym sposobem na osiągnięcia tego celu jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (zgodnego z ISO/IEC 27001) i/lub Systemu Zarządzania Ciągłością Działania (zgodnego z ISO/IEC 22301). Systemy te, zbudowane na koncepcji zarządzania ryzykiem, tworzą w organizacji przestrzeń do świadomego decydowania o priorytetach, wdrażanych środkach ochrony i budżetach na cyberbezpieczeństwo. Obserwujemy, że ogólna skuteczność takiego systemowego podejścia jest znacznie wyższa niż działań podejmowanych autonomicznie przez działy IT, bez zaangażowania najwyższego kierownictwa i właścicieli procesów biznesowych.

Zminimalizowane ryzyko

W ramach wdrożonego SZBI lub SZCD, dokumentacja systemowa i operacyjna powinna uwzględniać w szczególności wpływ zagrożeń cybernetycznych na zasoby informacyjne organizacji, w tym m.in.:

  • Plan szkoleń dla pracowników
  • Plan audytów wewnętrznych i zewnętrznych
  • Zasady bezpiecznej pracy w biurze oraz dostępu zdalnego
  • Politykę zarządzania hasłami
  • Monitoring podatności i zasady patchowania systemów
  • Wytyczne dla aktywnej ochrony zasobów informacyjnych organizacji
  • Zasady przechowywania i analizy logów z systemów IT
  • Politykę kopii bezpieczeństwa
  • Rejestr incydentów

Podejście takie, połączone z ciągłym doskonaleniem (cykl Deminga), w kontrolowany i przewidywalny sposób adresuje problematykę cyberbezpieczeństwa w organizacji. W naturalny sposób angażuje wszystkich interesariuszy w proces ochrony informacji przed zagrożeniami wewnętrznymi i zewnętrznymi.

Oczywiście niezbędnym uzupełnieniem jest techniczna implementacja zapisów zawartych w dokumentacji systemowej, aby ochrona nie pozostała jedynie „na papierze”. Do najczęściej stosowanych rozwiązań należą:

  • Cykliczne skanowania podatności
  • Testy socjotechniczne
  • Testy penetracyjne infrastruktury i aplikacji
  • Wymuszanie mocnych haseł oraz dwuskładnikowego uwierzytelnienia (hasła jednorazowe)
  • Centralna konsola aktualizacji aplikacji oraz antywirusowa
  • Segmentacja sieci i stosowanie dostępnych mechanizmów ochrony w LAN (np. NAC)
  • Systemy NGFW, UTM i IPS na styku z Internetem
  • Odpowiednie polityki i system backupowy
  • Analiza i korelacja zdarzeń z wielu źródeł (SIEM)
  • Aktywny monitoring bezpieczeństwa (Security Operations Center)

Dyrektywa NIS i Krajowy Systemu Cyberbezpieczeństwa (KSC)

Podobną koncepcję podejścia do cyberbezpieczeństwa zawarto w unijnej dyrektywie NIS i jej polskiej implementacji – ustawie o krajowym systemie cyberbezpieczeństwa.

Dyrektywa NIS – czyli dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Genezą powstania dyrektywy było stworzenie wspólnych i zharmonizowanych na terenie całej Unii mechanizmów zabezpieczających cyberprzestrzeń w jej kluczowych dla funkcjonowania państwa obszarach.

Ustawa o krajowym systemie cyberbezpieczeństwa – stanowi implementację postanowień unijnych do polskiego systemu prawnego. W oparciu o rozwiązania systemowe w niej zawarte, został zbudowany Krajowy Systemu Cyberbezpieczeństwa (KSC), którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym wykrywanie, zapobieganie i minimalizowanie skutków ataków naruszających bezpieczeństwo informatyczne kraju. W przepisach wskazano sektory gospodarki, dla których zastosowanie będą miały przepisy ustawy oraz określono, kim są dostawcy usług cyfrowych oraz operatorzy usług kluczowych. Za kluczowe obszary gospodarki uznano sektor:

  • energii,
  • transportu,
  • bankowości i infrastruktury rynków finansowych,
  • ochrony zdrowia,
  • zaopatrzenia w wodę pitną i jej dystrybucję,
  • infrastrukturę cyfrową.

W momencie, gdy właściwy organ administracyjny wyda decyzję o uznaniu danego podmiotu gospodarczego za operatora usługi kluczowej, podmiot ten musi spełnić określone w ustawie wymagania. Podstawowym obowiązkiem operatora usługi kluczowej jest wdrożenie systemu zarządzania bezpieczeństwem obejmującego system informatyczny wykorzystywany do świadczenia usługi kluczowej. Wdrożenie postanowień ustawodawcy zostało uszeregowane w trzech etapach. W każdym z nich konsultanci SNP zapewnić mogą kompleksowe wsparcie przy wypełnianiu nałożonych obowiązków.

W pierwszym etapie, trwającym do trzech miesięcy, operator usługi kluczowej zobowiązany jest do dostosowania organizacyjnego. Obowiązek ten może zostać spełniony w dwojaki sposób. Operator usługi kluczowej może powołać wewnętrzną komórkę organizacyjną odpowiedzialną za cyberbezpieczeństwo, bądź zawrzeć umowę outsourcingową z zewnętrznym podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Następnym obowiązkiem jest dokonywanie systematycznego szacowania ryzyka wystąpienia incydentu, oraz zarządzania nim. SNP może zapewnić wsparcie w tym zakresie i konsultacje mające na celu inwentaryzację aktywów, szacowanie ryzyka oraz zbudowanie planu postępowania z ryzykiem wystąpienia incydentu. Nasi konsultanci udzielą wsparcia w klasyfikacji incydentów i sposobie ich obsługi. Opcjonalnie, dodatkowo możemy dostarczyć i wdrożyć system wspomagający zarządzanie incydentami.

W drugim etapie dostosowania do postanowień ustawy, polegającego na spełnieniu wymogów organizacyjno-technicznych, konieczne jest wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków ochrony, zgodnie z normami ISO/IEC 27001 i ISO/IEC 22301. Na tym etapie SNP zapewnia wykonywanie cyklicznych testów penetracyjnych oraz audytów bezpieczeństwa. Wywiązanie się z obowiązku nakładanego przez rozporządzenie do ustawy (Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej (Dz .U. z 2018 r., poz. 2080)), zapewniamy poprzez wsparcie operatora usługi kluczowej we wdrożeniu i opracowaniu wskazanej dokumentacji zarówno normatywnej jak i operacyjnej.

Trzecim etapem, zamykającym proces wdrożenia postanowień ustawowych, stawianym operatorom usług kluczowych, jest etap wykonania audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt ma za zadanie potwierdzić prawidłowość wykonanych obowiązków. Pierwszy audyt musi odbyć się w terminie 12 miesięcy od otrzymania decyzji administracyjnej, kolejne cyklicznie co 2 lata. Również w tym zakresie, SNP posiada kompetencje do przeprowadzenia audytu bezpieczeństwa.

Wszystkie powyżej wymienione wymogi mają na celu zapewnienie bezpieczeństwa w kluczowych obszarach gospodarki. Jedynie właściwe zarządzanie ryzykiem w odniesieniu do systemów informacyjnych i kompleksowe podejście do kwestii cyberbezpieczeństwa może zapewnić bezpieczne i skuteczne korzystanie z możliwości, które daje nam postępująca cyfryzacja.

Joanna Szymańska, Konsultant, SNP Poland

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00