Straipsniai

Straipsniai

Straipsniai

Kaip vadovas gali suprasti, ar kibernetinis saugumas įmonėje iš tikrųjų veikia?

Dec 9, 2025

Vadovai dažnai sako tą patį: „IT sako, kad viskas gerai, bet ar tikrai esame saugūs?“
Kibernetinis saugumas nėra vien serveriai ar įrankiai - tai procesai ir aiškios atsakomybės. Jei procesai neveikia, saugumas taip pat neveikia, net jei technologijos atrodo sutvarkytos.

Šiame straipsnyje - paprasta, praktiška sistema, kaip vadovas gali įvertinti realią saugumo būklę net nebūdamas techninis specialistas.

1. Kodėl vadovams sunku suprasti, ar saugumas veikia?

  • Saugumo veikimas nėra matuojamas vienu skaičiumi.

  • Dauguma rodiklių yra techniniai, o vadovams svarbu poveikis verslui.

  • Dokumentai ir politika savaime nereiškia, kad viskas įgyvendinama.

  • Saugumas dažnai matomas tik tada, kai kažkas nutinka.

Dėl to vadovas turi vertinti ne IT infrastruktūrą, o tai, ar veikia procesai, kurie saugo verslą nuo sustojimo ar duomenų praradimo.

2. Penki praktiški klausimai, kurie parodo tikrą saugumo būklę

Šie klausimai iškart išryškina, ar įmonė turi pagrindą, ar dirba ad hoc režimu.

1. Ar žinome, kurie procesai ir sistemos yra kritiniai?

Jei įmonė nežino savo kritinių procesų, ji negali planuoti saugumo investicijų ir negali prognozuoti poveikio. Vadovas turi matyti:

  • sąrašą kritinių sistemų ir paslaugų;

  • poveikio verslui vertinimą, jei jos sustotų;

  • prioritetus, ką reikia taisyti pirmiausia incidento metu.

Jeigu šio vaizdo nėra - saugumas nėra valdomas.

2. Ar turime realiai naudojamą incidentų valdymo procesą?

Ne dokumentą, o procesą.

Klausimai vadovui:

  • Ar darbuotojai žino, ką daryti incidento metu?

  • Ar turime incidentų registrą?

  • Kada paskutinį kartą procesas buvo testuotas?

Jeigu incidentas fiksuojamas tik po kelių dienų - įmonė nepraktiškai valdoma.

3. Ar suprantame pagrindines rizikas ir jų poveikį verslui?

Rizikų registras nėra IT specifika - tai verslo įrankis.

Vadovas turi matyti:

  • kokios yra top 5 rizikos;

  • kokį finansinį ar operacinį poveikį jos gali sukelti;

  • kokios priemonės suplanuotos ir įgyvendintos;

  • kas yra už jas atsakingas.

Be rizikų valdymo saugumas tampa reakcija, o ne prevencija.

4. Ar valdome tiekėjų riziką?

Dauguma incidentų įvyksta per trečiąsias šalis.

Vadovui svarbu žinoti:

  • kiek tiekėjų turi prieigą prie duomenų ar sistemų;

  • ar jiems atliekami saugumo vertinimai;

  • ar sutartyse yra TIS2/DORA reikalavimai;

  • ar rizikos vertinamos reguliariai.

Jeigu tiekėjų nekontroliuojame, saugumo kontrolė yra ne pilna.

5. Ar realiai testuojame atsargines kopijas ir veiklos tęstinumą?

Klausimas paprastas: ar galėtume atsistatyti per numatytą laiką?

Vadovui reikėtų žinoti:

  • kada paskutinį kartą atliktas atstatymo testas;

  • ar kopijos yra patikimos;

  • kiek laiko užtruktų paslaugų atkūrimas;

  • ar komanda turi aiškų planą ir atsakomybes.

Jei atstatymas neveikia, visa kita saugumo sistema yra teorinė.

3. Trys greiti indikatoriai, kurie per 15 minučių parodo būklę

Jei vadovui reikia greito vaizdo - užtenka šių trijų ženklų.

Indikatorius 1: Ar turime 3 pagrindines politikos ir ar jos atnaujintos?

Jei nėra bent minimalių procesų:

  • incidentų valdymas,

  • prieigų valdymas,

  • atsarginių kopijų tvarka,

- įmonė yra baziniame brandos lygyje.

Indikatorius 2: Ar IT/CISO gali per 2 minutes pasakyti „Top 5 rizikas“?

Jei ne, vadinasi rizikos nėra valdomos, tik užrašytos ar apskritai neegzistuoja.

Indikatorius 3: Ar matome aiškų ryšį tarp saugumo veiksmų ir verslo naudos?

Pavyzdžiai:

  • trumpesnis incidentų sprendimas;

  • mažiau verslo sustojimų;

  • aiškesnis atsakomybių pasidalinimas;

  • geresni auditų rezultatai.

Jei nematome jokios verslo naudos, vadinasi saugumas - popierinis.

4. Kaip vadovui matuoti saugumą praktiškai

Tai nėra techniniai KPI. Čia - verslui suprantami rodikliai.

Rekomenduojami 5 KPI:

  1. Incidentų reakcijos laikas (MTTR).

  2. Atkūrimo laikas po sutrikimo (RTO).

  3. Įgyvendintų rizikos mažinimo priemonių procentas.

  4. Kritinių tiekėjų, kuriems atliktas saugumo vertinimas, procentas.

  5. Atnaujintų politikų ir procedūrų procentas per metus.

Jeigu KPI nėra, vadovas neturi matomumo.

5. Ką vadovas gali padaryti jau šiandien?

1. Paprašyti aiškaus situacijos statuso iš IT/CISO

Į vieną skaidrę:

  • top 5 rizikos;

  • esamos spragos;

  • prioritetiniai darbai iki ketvirčio pabaigos;

  • atsakomybės.

2. Nustatyti minimalius tikslus su terminais

Pvz.:

  • atlikti pilną rizikų vertinimą,

  • testuoti incidentų valdymo procesą,

  • įvertinti kritinius tiekėjus.

3. Įsivesti aiškią sistemą ir automatizaciją

Procesų matomumas yra būtinas.
Įrankiai, tokie kaip TrustGuru, leidžia vadovui matyti:

  • rizikas, incidentus, pažeidžiamumus;

  • tiekėjų būklę;

  • politikų ir dokumentų statusus;

  • ar priemonės įgyvendinamos laiku.

Matomumas = kontrolė.

6. Kaip TrustGuru padeda vadovams suprasti, ar saugumas veikia

TrustGuru suteikia vieningą vietą matyti visą saugumo būklę:

  • rizikų vertinimas ir priemonių planas;

  • incidentų registras ir valdymo procesas;

  • tiekėjų vertinimai ir sutartiniai reikalavimai;

  • politikų ir dokumentų valdymas;

  • aiški vadovo panelė su statusais.

Vadovai mato ne techninius indikatorius, o verslo rizikos vaizdą.

Jei norite įvertinti, kaip jūsų įmonė atrodo pagal TIS2/DORA reikalavimus, galime atlikti trumpą situacijos analizę.

Santrauka

  • Saugumas veikia tada, kai veikia procesai, o ne vien technologijos.

  • Vadovas gali vertinti saugumą net nebūdamas techniniu specialistu.

  • Svarbiausia - matomumas, aiškūs KPI ir realiai naudojami procesai.

  • Jei šių elementų nėra, saugumas yra popierinis.