Jak budować zaufanie – czyli naprawdę skuteczne security w organizacji?

utworzone przez | mar 28, 2026 | Bezpieczeństwo informacji, NIS2 | 0 komentarzy

1. Wstęp – czym naprawdę jest skuteczne security?

Bezpieczeństwo rzadko zawodzi na poziomie technologii – najczęściej zawodzi w zderzeniu z rzeczywistością organizacyjną. Za błędem technicznym zawsze stoi proces, a za procesem człowiek – tak wygląda w praktyce ISMS. Każda organizacja działa w swoim tempie, z własnymi ograniczeniami i historią decyzji. Security jest częścią tego systemu, a nie zewnętrzną warstwą kontroli. W praktyce oznacza to pracę z ludźmi, procesami i kompromisami.

„Skuteczne security zaczyna się tam, gdzie rozumiesz organizację, a nie tylko wymagania norm i przepisów prawa.”

Z racji przygotowań do kolejnego egzaminu, gdzie kluczowy jest sposób myślenia (mindset), zacząłem konfrontować własne doświadczenia z podejściem prezentowanym w literaturze i praktykach rynkowych. Wyciągnąłem notatnik i spisałem obserwacje, które w dużej mierze pokrywają się z tym, jak pracują dojrzałe organizacje. Być może przyda się to osobom, które zaczynają w security i chcą rozwijać się świadomie, zaoszczędzić czas i wnosić realną wartość do swoich organizacji 😉

2. Security to cele, nie tylko wymagania

Podejście, które praktykuje. Staram się tłumaczyć cele, a nie tylko wymagania. Wdrażamy procedurę ponieważ […] i chcemy osiągnąć to […]. Po pierwsze ważne jest, aby cele bezpieczeństwa w organizacji były znane. Po drugie ma to wymiar praktyczny, personel świadomy celu to wartość dodana praca w bezpieczeństwie. Bezpiecznik – czy będzie nim pojedynczy człowiek, czy specjalista czy nawet cały dział nie powinien ulegać złudzeniu, że tylko od niego zależy bezpieczeństwo.

Jeżeli komunikujemy tylko same wymagania nie dziwmy się, że będą realizowane dosłownie literalnie, niechętnie, a większość ludzi będzie je omijać – kombinować. Jeżeli komunikujemy cele ludzie sami wypracują standardy, sami przyjdą z pomysłami jak zwiększyć bezpieczeństwo.

Dla security prawdziwym potencjałem nie jest technologia, ale świadomość potrzeby budowania bezpieczeństwa od pracownika liniowego po managerów, specjalistów, vendorów i top management. Dzięki tej świadomości tzw. Awareness, otwierają się drzwi i pojawiają środki: organizacyjne, finansowe i zaplecze.

Security – czy to będzie ochroniarz, czy audytor, radca prawny, czy specjalista ds. bezpieczeństwa informacji, czy także BHP, przez sam fakt „urzędu” tworzy dystans i opór.

Dlatego gdy musimy wdrożyć niewygodną zmianę, to warto to prezentować jako wspólny „nasz” problem. To buduje współpracę znacznie szybciej niż formalny obowiązek. Osobiście często pokazuję swoją perspektywę – audyt, normę, ryzyko – jako coś, co dotyczy nas wszystkich, a moją rolą jest pomóc, a nie wymagać. To pomaga przekonać i zmienia rozmowę i przede wszystkim – z punktu widzenia profesjonalnej funkcji security – jest prawdziwe.

„Ludzie rzadko opierają się bezpieczeństwu – opierają się temu, czego nie rozumieją.”

Skuteczny bezpiecznik to taki, który umie wytłumaczyć co i dlaczego robi – jeżeli chce być profesjonalistą. Wymaga to dobrej znajomości różnych koncepcji bezpieczeństwa, ale i umiejętności miękkich, aby je komunikować i wdrażać.

3. Zaufanie buduje się w codziennych sytuacjach

Nie obrażam się na incydenty i niezgodności – to po prostu część mojej pracy. Nie należy napiętnować swoim zachowaniem reakcją faktu, że ktoś poinformował o swoim błędzie lub wątpliwościach. Nauczyłem się otwarcie dziękować, gdy ktoś pokazuje słabe punkty. To że system ma dziurę, albo pracownik się pomylił lub widzę niezgodność, to nie jest mój osobisty problem – tylko organizacji. To jest materiał do pracy specjalisty. Jeżeli bezpiecznik się obrusza czy unosi, to może oznaczać, że nie do końca rozumie swoją rolę. Już sama forma reakcji bezpiecznika jest ważna. Musi być profesjonalna.

Nie od dziś wiadomo, że reakcja na incydent czy niezgodność mówi więcej o security niż najlepsza polityka i raporty z audytów. Dlatego jako audytor bardzo często odpytywałem : jak poradziliście sobie z ostatnim incydentem? Incident Response – to najlepszy sprawdzian i jednocześnie źródło wiedzy i nauki. Jest niczym papierek lakmusowy gdzie w praktyce widać co działa. Czy pracownik potrafił zidentyfikować podatność? Czy alerty w SIEM były ustawione prawidłowo? Kto jest obsługiwał. Jak wyglądała komunikacja w czasie incydentu? Czy trzeba długo czekać na zabezpieczenie dowodów. Czy backup był dobrze zaplanowany, czy zmiany w architekturze zachodzą w sposób kontrolowany, czy ktoś go przywrócił spontanicznie? Czy jesteśmy świadomi, które systemy i połączenia są krytyczne? Czy każdy wie, jaką ma rolę. Aha a czym tak naprawdę są „dane wrażliwe”, których nie ma w RODO ani nomenklaturze polityk – czyli jaki stosujemy język? Czy biznes wiedział co się dzieje i mógł informować kontrahentów, planować operacje, czy patrzył z zamkniętych drzwi i brak informacji napędzał panikę? Jak wyglądała praca security?

Na te pytania można odpowiedzieć pozytywnie tylko w tedy, kiedy organizacja była gotowa i zgrana. Żeby to osiągnąć musi się pojawić magiczne słowo: zaufanie do funkcji security.

Doceniam zatem zgłoszenia niezgodności czy problemów, bo to oznacza, że: ktoś zaufał, że security ma sens, że jego informacja będzie potraktowana poważnie i jest nie tylko świadomy, ale czuje się odpowiedzialny. Tak buduje się kulturę bezpieczeństwa, która przekłada się skuteczność ochrony informacji – ISMS.

„Zaufanie do security jest wtedy, gdy ktoś popełni błąd i zdecyduje się go zgłosić.”

Zaufanie przekłada się zatem na skuteczność i przepływ informacji pomiędzy silosami. Nie do końca jest to oczywiste, ale przepływ informacji to podstawa tzw. resillence. Można powiedzieć, pokaż mi ile masz zgłoszonych incydentów, a powiem ci jak działają procesy bezpieczeństwa i na jakim poziomie jest świadomość pracowników.

Pomagając przy obsłudze incydentów w mniejszych firmach, gdzie nie ma tego o czym tu piszę, zauważyłem, że rejestry zdarzeń i incydentów były puste. Zazwyczaj padało pytanie, to chyba dobrze? – No nie bardzo… To najczęściej nie oznacza, że organizacja jest idealna, tylko, że albo nie ma procesów detekcji i informowania, albo security działa w enklawie.

4. Rozumienie organizacji jako warunek skuteczności

Bezpiecznik musi rozumieć, w jakim miejscu jest organizacja i gdzie podąża. Tym się różni profesjonalista od początkującego, mówiąc skrótowo: Początkujący pyta się o siłę haseł, a profesjonalista o role, procesy i jak zapadają decyzje. W mojej ocenie nie ma nic gorszego niż działania na ślepo i pod wpływem impulsu np. dobór zabezpieczeń bez zrozumienia celu ich stosowania. Pisałem o tym ostatnio – security cargo cult.

a) Ład organizacyjny

Dokręcić śrubę z zabezpieczeniami i wymaganiami zawsze można, ale… Firma działa jak zegar – zanim zacznie się przestawiać koła zębate, trzeba rozumieć zależności i skutki. Nawet w ramach frame-worków, takich jak ISO 27001, można działać w sposób, który wspiera cele organizacji, albo taki, który staje się dla niej hamulcem. Bezpiecznik powinien dosłownie czuć biznes i cele swojej organizacji. Łatwiej wówczas dostrzec zagrożenia strategiczne nieoczywiste dla kogoś, kto pojawi się w organizacji tylko na chwilę.

W różnych środowiskach widziałem zarówno organizacje otwarte na zmianę, jak i takie, które ją blokują. Często osoby, które doprowadziły firmę do sukcesu, o ironio, jednocześnie utrudniają jej dalszy rozwój. Czynnik ludzki, często stoi za decyzją jakie narzędzia bezpieczeństwa zostały wdrożone, jakie systemy utrzymywane itp. Każda organizacja składa się z różnych zależności i historycznych uwarunkowań, a tymczasem norma ISO 27001 jest taka prosta, idealna 😉

To, co w dużej organizacji jest standardem, w małej bywa realnym problemem operacyjnym. Z kolei to, co w średniej firmie można wdrożyć szybko na podstawie doświadczenia i odpowiedzialności, w dużej potrafi rozmyć się w procesach i strukturze. Błędy w małych organizacjach często nie są tak widoczne jak w dużych, złożonych środowiskach, a czasem na odwrót. Ten sam standard, który działa w dużej firmie, nie zawsze jest osiągalny w mniejszej.

b) Złożoność technologiczna

Każda organizacja korzysta z nieco innych technologii. Podstawą jakiejkolwiek pracy doradczej jest chociaż ogólne zrozumienie całości infrastruktury oraz zależności systemów IT. Systemy IT wspierają procesy operacyjne i mają często zaszyte know-how firmy. Może być ono zupełnie nieuświadomione i jednocześnie mieć kluczowe znaczenie dla bezpieczeństwa biznesu. Dopiero pełne rozrysowanie procesów i stworzenie dokumentacji pozwoli odkryć to co ludzie noszą w głowie oraz to co jest „zaklęte” w logice aplikacji biznesowych. To samo może ujawnić nieoczekiwany incydent.

Tymczasem dzisiejszy system informatyczny to często koncept ogólny, który w praktyce może dzisiaj oznaczać wiele komponentów i integracji między systemami zewnętrznymi. Bez mapy zależności czy data flow trudno się odnaleźć. Czasami wystarczy wyłączyć mały proces, który nie wydawał się krytyczny aby spowodować impakt finansowy dla biznesu.

b) Defense in depth

Zdecydowanie łatwo jest oceniać rozwiązania i wydawać ocenę w oparciu o fragment informacji. Trzeba zdawać sobie sprawę, że wielu rzeczy nie widać od razu. Jako audytor możesz dostać listę wejść z odbitymi elektronicznie logami ESKS i nie dowiedzieć się, że budynku jest tylne wejście, zawsze otwarte i którym wiedzą wszyscy – poza tobą. Dlaczego? Bo ludzie nie widzą potrzeby, aby o tym tobie powiedzieć lub nie mają zaufania do funkcji security. Zadowolony podbijesz kwit, że ESKD działa, ale czy o to chodzi?

Podobnie możesz dostać listę przeskanowanych 100 popularnych portów, ale jakiś system wymienia dane na niestandardowym porcie. Skąd się o tym dowiesz? Możesz skanować tysiące portów jeżeli masz czas i środki, możesz mieć wiedzę o danym rozwiązaniu jakich jest pełno, a może powiedzieć ci o tym pracownik IT, który pracuje z danym systemem na co dzień. Podstawą jest – świadomość – zrozumienie celów i zaufanie.

To czego nie widać to włożonej pracy w analizę. Zanim zaczniesz wymagać i zalecać zgodnie ze swoją wspaniałą wiedzę, warto zapytać o koncepcje bezpieczeństwa i cyber-bezpieczeństwa. Można się wiele nauczyć i jednocześnie podnieść jakość rekomendacji, a przy okazji uniknąć konsternacji i budować zaufanie. W organizacji może być, ukryta koncepcja warstwowego zabezpieczania (layer security), która wynika z historycznej oceny ryzyka lub czyjejś fachowej wiedzy w danym obszarze – wiedzy, która wynika z lat pracy nad danym zagadnieniem lub technologią – to jest coś, czego bezpiecznik najczęściej nie ma, ponieważ jego obszar domenowo jest szeroki.

Moja obserwacja: Łatwo skoncentrować się na jakiejś podatności i rekomendować pilnego łatania, ale trudniej zrozumieć jej znaczenie techniczne w kontekście środowiska IT i pozostałych zabezpieczeń oraz znaczenia i klasy danych. Jeszcze trudniejsze jest wsparcie w jej łataniu. Podobnie trudna będzie przebudowa organizacyjna, mentalna i techniczna (czasem całego systemu) aby uniknięciu podobnych zdarzeń w przyszłości.

Doradztwo czy tworzenie procedur oderwane od tego wszystkiego może być (zazwyczaj jest) marnowaniem czasu.

„Security bez zrozumienia kontekstu organizacji przestaje być praktyczne.”

5. Security jako element zmiany, nie blokada

Funkcja security często napędza zmiany, choć nie zawsze jest tak postrzegana. Bezpiecznik, kojarzony jako „starszy hamulcowy” o ironio to on często wymusza poprawę procesów, wdrożenie systemów, zakup sprzętu i automatyzację, która ogranicza błędy operacyjne. Dotyczy to także samych procesów security – oceny ryzyka, komunikacji czy audytów. Dobrze osadzone security wspiera rozwój technologiczny i organizacyjny. Przestarzałe systemy to naprawdę „fajne” miejsce do zabawy, zawsze coś się znajdzie, można pokazać jak efektownie działa wykrywanie podatności, gdzie popełniono szkolne błedy, pathować w pocie czoła tylko profesjonalista będzie dążył, aby podnieść jakość tj. zmienić system, technologię, bo wie, że latency systemów to równia pochyła generująca koszty. Z drugiej strony te sam profesjonalista (czy to audytor czy bezpiecznik) będzie starał się zrozumieć sytuację firmy, historyczność złożoność, plany i szukał szans i rozwiązań praktycznych – a nie tylko krytykował. Szuka szans tzn. nie tylko doradza czego nie można i jakie są wymagania, ale pokazuje rozwiązania jak pogodzić ryzyko i konieczność działania w ograniczonych warunkach. Mam wrażenie, że to ostatnie biznes szczególnie ceni.

„Security wnosi wartość wtedy, gdy poprawia sposób działania organizacji – jest jej częścią.”

6. Dlaczego ludzie opierają się security

Z zewnątrz działania security często wyglądają jak dokładanie obowiązków. Przy presji biznesowej to naturalna reakcja. Nie można się temu dziwić. Trzeba rozumieć tę perspektywę i pracować z nią.

„Opór wobec security jest częścią systemu, a nie problemem do wyeliminowania.”

Profesjonalisty opór nie zraża, to tylko informacja do jego warsztatu pracy. Awareness – buduje się na każdym poziomie. Niektórzy bywają zaskoczeni, gdy zwracam uwagę, że dotyczy on nie tylko pracownika liniowego, który może kliknąć w zły link. To jest nieporozumienie. Awareness nie jest takie trywialne. Dotyczy to każdej osoby w organizacji tylko w innym zakresie obowiązków i wyzwań. Włącznie z personelem odpowiedzialnym za security -czyli samym bezpiecznikiem.

7. Rola security – tłumacz, nie egzekutor

Rozumiem znaczenie emocji i stylu w komunikacji. Unikam tonu rozkazującego, bo rzadko prowadzi do trwałych efektów. Często korzystam z rozmowy i negocjacji, bo za każdym wymaganiem stoi konkretny kontekst – techniczny, biznesowy albo prawny.

Bezpiecznik nie działa w jednym obszarze. Pracuje z IT, musi rozumieć cyberbezpieczeństwo, czasem wejść głębiej w systemy, sprawdzić jak działają w praktyce. Zdarza się spojrzeć na temat jak etyczny haker, innym razem współpracować z działem prawnym czy biznesem. To często oznacza samodzielne drążenie tematów i uczenie się poza bieżącą pracą.

Po co? Żeby lepiej rozumieć i lepiej tłumaczyć. Bez tego trudno budować zaufanie i podejmować trafne decyzje. Autentyczność i spójność w działaniu wynikają z realnego zrozumienia, a nie tylko znajomości wymagań.

Security działa najlepiej wtedy, gdy łączy wiedzę, kontekst i sposób komunikacji, aby nie pouczać, a tłumaczyć…”

8. Szukać liderów i szansy w tym co jest i jakie jest

Trzeba wzmacniać najmniejsze objawy chęci współpracy, bo wynikają z rosnącej świadomości. W każdej organizacji są osoby, które naturalnie stają się nośnikiem zmiany. Warto je identyfikować i wspierać. Bezpiecznik pracuje szeroko – z różnymi zespołami, charakterami i sytuacjami.

„Zmiana w security rzadko zaczyna się od systemu IT – zaczyna się od ludzi.”

Bezpiecznik jako samotna wyspa nie zrobi nic – jest nieskuteczny. Warto poszukiwać liderów w organizacji, którzy mogą pociągnąć innych w kierunku zwiększenia kultury bezpieczeństwa. Osoby otwarte na zmiany to najczęściej osoby, które chętniej przyjmują nowe wyzwania w zakresie poprawy bezpieczeństwa. Czasem wysoka świadomość może się wyrażać w krytykowaniu bezpieczeństwa jako takiego – Łatwo to pomylić z oporem, tymczasem to może być wynik krytycznego myślenia, prowokacji do autoanalizy. Co ważne – traktować uwagi innych co najmniej chwilą uwagi – to moja dewiza, dzięki, której wiele się nauczyłem. 

9. Wyzwania po stronie security

Zdarza się, że problem leży po stronie security. Podejście „betonowe”, odgórne powoduje obejścia i bierny opór. Jest to dość typowe na poziomie Juniora i powiedzmy szczerze, każdy przez takie coś przechodzi 😉 To bezpośrednio wpływa na poziom bezpieczeństwa. To może być też demotywujące dla samego bezpiecznika. „Security traci skuteczność wtedy, gdy traci kontakt z rzeczywistością organizacji.” Tak samo gdy IT traci kontakt z biznesem itp. Wyzwaniem zawsze jest naturalne silisowanie. Profesjonalne podejście wymaga raczej świadomości takich procesów i podziałów niż udział w ich pogłębianiu. O silosowaniu piszą największe autorytety w zakresie zarządzania więc obiektywnie takie wyzwanie jest zawsze – tam gdzie są ludzie. Nie ma nic gorszego niż funkcja secuirty oderwana – w enklawie. Z drugiej strony musi budować swój autorytet i czasem docisnąć – świadomie.

10. Myślenie jak manager, nie tylko specjalista

Staram się myśleć jak manager i patrzeć szerzej niż pojedyncze zadania. Trzeba mieć cel na rok i lata do przodu. Każde działanie musi być dobrze umotywowane, wyjaśnione i zakomunikowane. Security wymaga świadomości i ciągłego zadawania sobie pytania: co robię?

„Security zaczyna mieć znaczenie wtedy, gdy wiesz nie tylko co robisz, ale po co to robisz.”

Mam duży szacunek do osób, które pracują w tej branży latami, a często nie widać po nich, ile mają wiedzy i doświadczenia. Gdybym miał coś zmienić w swoim rozwoju, wcześniej sięgnąłbym po międzynarodowe certyfikaty. Pozwalają wyjść poza lokalne schematy myślenia, konfrontują z podejściem najlepszych i wymagają uporządkowanej, twardej wiedzy oraz krytycznego spojrzenia.

Z drugiej strony, przeglądając LinkedIn, widzę dużo aktywności specjalistów, a znacznie mniej wpisów osób pełniących role managerskie. Możliwe, że jest ich po prostu mniej. Możliwe też, że ich praca nie jest tak „widoczna” jak odkrycie nowej podatności czy analiza CVE 😉

„Najbardziej dojrzałe decyzje w security często są najmniej spektakularne.”

11. Podsumowanie – czym jest dojrzałe security

Każda firma ma wystarczająco dużo wyzwań – nie potrzebuje dodatkowego chaosu. Potrzebuje zespołu, który rozumie kierunek i działa świadomie. Security jest częścią tego zespołu. Buduje się je przez zaufanie, konsekwencję i zrozumienie kontekstu.

Choć minęło już 8 lat, odkąd zajmuję się bezpieczeństwem, wciąż mam poczucie bycia na początku drogi – ta branża nieustannie uczy pokory.

„Organizacja na na rynku i swojej misji jest jak okręt w sztormie – nie potrzebuje więcej krzyku i pożaru na pokładzie – potrzebuje ludzi, którzy wiedzą, co robią.”

#NIS2 #ISMS #GOVERNANCE #CYBERSECURITY #AWARENESS #BEZPIECZEŃSTO INFORMACJI

Nowości na blogu

0 komentarzy