Gdy pierwszy raz otworzysz moduł oceny ryzyka w CISO Assistant, możesz przez chwilę wpatrywać się w ekran, zastanawiać się, od czego zacząć, a potem pójść zrobić kawę. Normalka. Ocena ryzyka to ta część bezpieczeństwa informacji, która przy pierwszym podejściu wydaje się najbardziej przytłaczająca. Zagrożenia są wszędzie, podatności w każdym systemie, a całość może szybko przerodzić się w ścianę arkuszy kalkulacyjnych i niepewności.
Ale gdy raz zbudujesz strukturę, utrzymywanie jej staje się drugą naturą. Ten przewodnik przeprowadzi cię przez cały proces - od pierwszej oceny po pełny, powiązany obraz zagrożeń, podatności, aktywów i środków kontroli.
Jak układają się elementy
Zanim zaczniesz - pięć elementów tworzy ocenę ryzyka w CISO Assistant i warto wiedzieć, jak się łączą.
Scenariusze ryzyka opisują to, co może pójść nie tak. Na przykład “Nieautoryzowany dostęp do danych” czy “Infekcja złośliwym kodem”. Zagrożenia to siły, które mogą wyrządzić tę szkodę - czy to inżynieria społeczna, awaria sprzętu czy klęska żywiołowa. Podatności to słabości, które zagrożenia wykorzystują: brak MFA, nieaktualne oprogramowanie czy brak szyfrowania. Aktywa to to, co starasz się chronić - Twój inwentarz aktywów to miejsce, gdzie one żyją. A wdrożone środki kontroli to to, co zrobiłeś (lub planujesz zrobić), aby zmniejszyć ryzyko.
Kompletny scenariusz ryzyka scala to wszystko w całość. “Nasza infrastruktura chmurowa (aktywo) jest podatna na nieautoryzowany dostęp (zagrożenie) z powodu nadmiernych uprawnień (podatność), a łagodzimy to przez przeglądy dostępu i MFA (środki kontroli)”. Oto obraz, który budujesz.
Utwórz ocenę ryzyka
Przejdź do Risk > Risk Assessments i kliknij Add Risk Assessment. Nadaj jej sensowną nazwę, np. “Annual Risk Assessment 2026”, oraz jasno opisz zakres. Co jest objęte, co wykluczone i dlaczego to robisz.
Jako macierz ryzyka 4x4 EBIOS-RM sprawdza się dobrze w większości organizacji. Daje cztery poziomy zarówno prawdopodobieństwa, jak i wpływu, bez zbędnej złożoności.
Będziesz też potrzebować Perimeter (Obwodu), aby zdefiniować zakres. Przejdź do Context > Perimeters i utwórz go, jeśli jeszcze go nie ma. Nazwij go zgodnie z nazwą organizacji lub granicą zakresu.
Zbuduj katalog zagrożeń
Zanim utworzysz scenariusze ryzyka, wypełnij bibliotekę zagrożeń w Context > Threats. CISO Assistant zawiera wbudowane biblioteki, takie jak MITRE ATT&CK, ale warto też dodać własne zagrożenia dopasowane do twojej organizacji.
Zagrożenia najłatwiej ułożyć w kategorie. Zagrożenia fizyczne i środowiskowe obejmują pożar, powódź, awarie prądu, wyładowania atmosferyczne, a w niektórych regionach - zagrożenia terrorystyczne lub podobne zakłócenia. Mogą wydawać się mało prawdopodobne, ale gdy już się zdarzą, skutki są zwykle katastrofalne.
Zagrożenia techniczne bezpośrednio celują w systemy IT. Awarie sprzętu zdarzają się częściej, niż większość osób przewiduje - i nie chodzi tylko o serwery. Routery się psują, przełączniki zawodzą, dyski ulegają uszkodzeniu. Awaria łącza telekomunikacyjnego odcina pracowników zdalnych i przerywa działanie VPN. Złośliwy kod, czyli malware i ransomware, to niemal pewność dla większości organizacji w dłuższej perspektywie. Błędy aplikacji powodują awarie, uszkodzenie danych i luki bezpieczeństwa. A ogólna niedostępność - gdy systemy z jakiegokolwiek powodu przestają być dostępne - to osobna kategoria.
Zagrożenia ludzkie to, uczciwie rzecz biorąc, tam gdzie leży większość ryzyka. Błąd użytkownika to najczęstsze zagrożenie w każdej organizacji. Ludzie niewłaściwie konfigurują systemy, usuwają dane, klikają w linki phishingowe. Błędy operacyjne występują, gdy procesy się załamują - np. błędne wdrożenie czy pominięta kopia zapasowa. Inżynieria społeczna, podszywanie się i oszustwa celują bezpośrednio w ludzi. A ujawnienie hasła - czy to przez phishing, słabe hasła czy zwykłą nieuwagę - otwiera drzwi dla wszystkiego innego.
Zagrożenia związane z dostępem obejmują nieautoryzowany dostęp do danych, nieautoryzowany dostęp do sieci, nieautoryzowany dostęp fizyczny do stref zastrzeżonych, przejęcie konta użytkownika oraz wycieki lub ujawnienia informacji.
Jeśli twoja organizacja korzysta z narzędzi AI - a prawdopodobnie korzysta - dodaj też zagrożenia specyficzne dla AI. Wyciek danych AI przez prompty lub dane treningowe, halucynacje AI, gdy model generuje przekonujące, ale fałszywe informacje, oraz ataki prompt injection, w których złośliwe dane wejściowe oszukują AI, aby ominęło środki kontroli.
Dla każdego zagrożenia napisz nazwę i jasny opis - czym jest i jaką szkodę może wyrządzić. Umieść je w domenie Global, bo zagrożenia mogą wpływać na całą organizację.
Udokumentuj podatności
To część, która może być niewygodna, bo w praktyce spisujesz wszystkie sposoby, na jakie twoja organizacja jest narażona. Ale ta szczerość jest tym, co sprawia, że ocena ryzyka jest wartościowa.
Przejdź do Context > Vulnerabilities i przepracuj te obszary systematycznie.
Słabości kontroli dostępu często są największą luką. Zastanów się, czy gdziekolwiek brakuje uwierzytelniania wieloskładnikowego, czy użytkownicy mają więcej uprawnień, niż potrzebują, czy istnieją konta współdzielone bez indywidualnej odpowiedzialności, czy polityki haseł są faktycznie egzekwowane, czy przeglądy dostępu odbywają się regularnie oraz czy konta uprzywilejowane mają dodatkowe środki kontroli.
Słabości ochrony danych obejmują brak szyfrowania (zarówno magazynowanych, jak i przesyłanych danych), nieprzetestowane lub nieistniejące kopie zapasowe, dane niesklasyfikowane ani nieoznaczone, nośniki danych utylizowane bez odpowiedniego wymazania oraz dane istniejące w jednej tylko kopii. To ostatnie zdarza się częściej, niż ktoś chciałby przyznać.
Słabości systemów i aplikacji dotyczą nieaktualnego oprogramowania ze znanymi podatnościami, braku antywirusa lub ochrony punktów końcowych, nieprawidłowej konfiguracji, braku rozdzielenia między środowiskami deweloperskim, testowym i produkcyjnym oraz niedokumentowanego oprogramowania niestandardowego, które rozumie tylko jedna osoba.
Słabości sieciowe obejmują płaskie sieci bez segmentacji, niekontrolowany dostęp, niechronione połączenia z sieciami publicznymi oraz brak zapór sieciowych czy filtrowania WWW.
Słabości organizacyjne to luki ludzkie i procesowe. Pracownicy bez szkoleń z bezpieczeństwa, niekompletna lub nieaktualna dokumentacja, brak procedur weryfikacji dostawców, słabe rozdzielenie obowiązków oraz niewystarczający nadzór nad aktywnością użytkowników.
Słabości fizyczne dopełniają obraz. Niewystarczające zabezpieczenie biura, sprzęt wrażliwy na temperaturę lub wilgotność, niezabezpieczone okablowanie oraz urządzenia mobilne, które mogą zostać skradzione.
Utwórz scenariusze ryzyka
Teraz budujesz konkretne scenariusze opisujące realne ryzyka dla twojej organizacji. Przejdź do Risk > Risk Scenarios i zacznij je tworzyć.
Dla każdego scenariusza ocenisz prawdopodobieństwo (jak realne jest wystąpienie) i wpływ (jak poważne byłyby konsekwencje). W skali 4-stopniowej: poziom 0 oznacza mało prawdopodobne i minimalne szkody, poziom 1 - może się zdarzyć i spowodowałoby zauważalne szkody, poziom 2 - zdarza się regularnie lub jest oczekiwane z poważnym wpływem, poziom 3 - częste lub niemal pewne z poważnymi konsekwencjami.
Oto scenariusze zalecane jako punkt wyjścia.
Ryzyka fizyczne i środowiskowe zwykle mają niskie prawdopodobieństwo, ale wysoki wpływ. Pożar i powódź są mało prawdopodobne (0), ale katastrofalne (3), jeśli się zdarzą. Awarie prądu są częstsze (1) przy poważnym wpływie (2). Zagrożenia terrorystyczne są mało prawdopodobne (0), ale katastrofalne (3).
Ryzyka techniczne i operacyjne to tam, gdzie dzieje się większość akcji. Awaria sprzętu jest bardzo prawdopodobna (2) przy poważnym wpływie (2). Awarie telekomunikacji, błędy aplikacji i utrata danych są prawdopodobne (1) przy poważnym wpływie (2). Złośliwy kod jest bardzo prawdopodobny (2) przy poważnym wpływie (2) - i szczerze mówiąc, przy dzisiejszych zagrożeniach to prawdopodobieństwo może być zachowawcze.
Ryzyka związane z ludźmi obejmują błąd użytkownika, bardzo prawdopodobny (2), ale zwykle ze znaczącym wpływem (1) na pojedynczy incydent. Inżynieria społeczna jest bardzo prawdopodobna (2) przy poważnym wpływie (2). Kradzież i strata jest prawdopodobna (1) przy poważnym wpływie (2). Defraudacja jest mało prawdopodobna (0), ale poważna (2), gdy się zdarzy.
Ryzyka dostępu i informacji są krytyczne dla większości organizacji. Nieautoryzowany dostęp do danych i nieautoryzowany dostęp do sieci są bardzo prawdopodobne (2) przy poważnym wpływie (2). Wycieki informacji są prawdopodobne (1) przy poważnym wpływie (2).
Ryzyka specyficzne dla AI są stosunkowo nowe, ale coraz ważniejsze. Wyciek danych AI jest bardzo prawdopodobny (2) przy poważnym wpływie (2). Halucynacje AI prowadzące do złych decyzji są bardzo prawdopodobne (2) przy znaczącym wpływie (1). Stronniczość modelu AI, problemy zależności, niezgodność regulacyjna i prompt injection są prawdopodobne (1) przy różnych poziomach wpływu.
Dla każdego scenariusza ustaw też wartości docelowe prawdopodobieństwa i wpływu, reprezentujące stan po wdrożeniu środków kontroli. Bądź realistyczny. Nie wyeliminujesz ryzyka, ale obniżenie go o jeden poziom w większości scenariuszy to rozsądny cel. Zawsze napisz uzasadnienie, dlaczego wybrałeś tę formę postępowania i jakie konkretne działania sprawią, że zadziała. Przyszłe Ty i audytorzy będą wdzięczni.
Połącz zagrożenia ze scenariuszami ryzyka
Teraz edytuj każdy scenariusz ryzyka i powiąż odpowiednie zagrożenia z katalogu. Ta część jest prosta, choć nieco mozolna. Nie ma drogi na skróty.
Unauthorized Data Access wiąże się z zagrożeniami takimi jak nieautoryzowany dostęp do danych, inżynieria społeczna, ujawnienie hasła, przejęcie konta użytkownika oraz nieautoryzowany dostęp fizyczny. Malicious Code łączy się z zagrożeniami złośliwego kodu, nieautoryzowanego wykonania kodu oraz nieautoryzowanej instalacji oprogramowania. Data Loss wiąże się z utratą danych, przypadkową modyfikacją, uszkodzeniem nośnika, zniszczeniem zapisów i awarią sprzętu. Social Engineering łączy się z inżynierią społeczną, podszywaniem się, phishingiem i oszustwami.
W scenariuszach AI: AI Data Leakage łączy się z zagrożeniami wycieku informacji i nieautoryzowanego dostępu do danych. AI Hallucination łączy się z zagrożeniami błędu użytkownika i błędu aplikacji. Przepracuj każdy scenariusz metodycznie.
Połącz podatności ze scenariuszami ryzyka
Ten sam proces, inne powiązania. Logika brzmi: “ten scenariusz ryzyka jest możliwy, bo te podatności istnieją”.
Unauthorized Data Access jest możliwy z powodu brakującego MFA, nadmiernych uprawnień, współdzielonych kont, słabych haseł i niewystarczającego zarządzania tożsamością. Malicious Code ułatwiają brak antywirusa, nieaktualne oprogramowanie, niekontrolowane pobieranie i brak filtrowania WWW. Data Loss wynika z braku szyfrowania, braku kopii zapasowych, pojedynczych kopii danych i niewłaściwej utylizacji nośników. Social Engineering udaje się dzięki niewystarczającemu szkoleniu i podatności na phishing.
Wzorzec powtarza się dla każdego scenariusza. Ten krok jest powtarzalny, ale te powiązania sprawiają, że twoja ocena ryzyka jest naprawdę użyteczna, a nie tylko listą strasznych rzeczy, które mogłyby się zdarzyć.
Połącz aktywa ze scenariuszami ryzyka
Tu ocena ryzyka staje się konkretna. Dla każdego scenariusza ryzyka zapytaj siebie, które z twoich aktywów ucierpiałoby, gdyby to ryzyko się urzeczywistniło.
Twoje systemy tożsamości i bezpieczeństwa, takie jak 1Password i JumpCloud, są narażone na nieautoryzowany dostęp do danych, inżynierię społeczną, złośliwy kod, niedostępność, błąd użytkownika i kradzież. Infrastruktura chmurowa jest narażona na nieautoryzowany dostęp (zarówno do danych, jak i sieci), utratę danych, wycieki informacji, złośliwy kod, niedostępność, błędy operacyjne i błędy aplikacji.
Repozytoria kodu są narażone na nieautoryzowany dostęp, wycieki informacji, utratę danych, złośliwy kod i inżynierię społeczną. Narzędzia komunikacyjne stykają się z ryzykami nieautoryzowanego dostępu, wycieków informacji, inżynierii społecznej, złośliwego kodu i niedostępności. Systemy finansowe są narażone na nieautoryzowany dostęp, wycieki informacji, utratę danych, defraudację, inżynierię społeczną i błędy aplikacji.
Lokalizacje fizyczne wiążą się ze scenariuszami pożaru, powodzi, awarii prądu, zagrożeń terrorystycznych, kradzieży i zakłóceń dostępu. Narzędzia AI są narażone na scenariusze wycieku danych AI, halucynacji, prompt injection, nieautoryzowanego dostępu i wycieku informacji. Stacje robocze stykają się z nieautoryzowanym dostępem, złośliwym kodem, kradzieżą i utratą danych.
Połącz wdrożone środki kontroli ze scenariuszami ryzyka
Ostatni element. Edytuj każdy scenariusz ryzyka i dodaj środki kontroli z Twojej Deklaracji Stosowalności, które go łagodzą. To domyka pętlę i pozwala CISO Assistant pokazać twoje ryzyko rezydualne.
Najważniejsze powiązania wyglądają tak.
Unauthorized Data Access jest łagodzony przez MFA, JumpCloud MDM, przeglądy dostępu, zaszyfrowane dyski, szyfrowanie bazy danych, DLP, monitorowanie bezpieczeństwa i zarządzanie dostawcami.
Unauthorized Network Access jest pokryty przez JumpCloud RADIUS, FortiGate UTM, segmentację sieci z VLAN, MFA i monitorowanie bezpieczeństwa.
Malicious Code jest zwalczany przez ESET antivirus, filtrowanie WWW (FortiGate i ESET), Gmail anti-spam i AV, aktualizacje systemów, ochronę DNS, monitorowanie bezpieczeństwa i segmentację sieci.
Data Loss jest adresowany przez procedury kopii zapasowych, zaszyfrowane dyski, szyfrowanie bazy danych, procedury usuwania danych i DLP.
Social Engineering jest łagodzony przez szkolenia z zakresu świadomości bezpieczeństwa, MFA, menedżer haseł, Gmail anti-spam, filtrowanie WWW, ochronę DNS i monitorowanie bezpieczeństwa.
User Error i Operational Errors są redukowane przez szkolenia z zakresu świadomości bezpieczeństwa, bazy wiedzy, zarządzanie zmianami, zarządzanie dostawcami i monitorowanie bezpieczeństwa.
Equipment Failure i Unavailability są pokryte przez aktualizacje systemów, zarządzanie zmianami, planowanie ciągłości biznesowej, procedury kopii zapasowych, redundancję SaaS i zarządzanie mocą.
Fire, flood, and physical risks opierają się na planowaniu ciągłości biznesowej, procedurach kopii zapasowych i fizycznym bezpieczeństwie. Theft and loss jest łagodzony przez JumpCloud MDM, zaszyfrowane dyski i MFA. Embezzlement jest adresowany przez przeglądy dostępu i rozdzielenie obowiązków.
Przejrzyj pulpit nawigacyjny ryzyka
Gdy wszystko jest już powiązane, przejdź do Risk > Overview i zobacz, na czym stoisz. Zobaczysz macierz ryzyka pokazującą, gdzie lądują twoje scenariusze, które wymagają natychmiastowej uwagi, gdzie masz luki bez przypisanych środków kontroli oraz różnicę między bieżącym a docelowym ryzykiem.
Skup się najpierw na strefie czerwonej. Każdy scenariusz z wysokim prawdopodobieństwem i wysokim wpływem potrzebuje planu postępowania natychmiast. Szukaj niekontrolowanych ryzyk bez powiązanych środków kontroli. Sprawdź, czy twoje cele są realistyczne i czy faktycznie masz plan ich osiągnięcia. Jeśli ważne systemy nie są powiązane z żadnymi scenariuszami ryzyka, to ślepe plamy.
Błędy, które widzimy u zespołów
Traktowanie tego jako ćwiczenia odznaczania checkboxów to najczęstszy błąd. Jeśli oceniasz wszystko jako “Mało prawdopodobne/Niewielkie”, żeby uzyskać zielony status, oszukujesz siebie i audytorów. Bądź szczery co do rzeczywistego stanu.
Zapominanie o prawdopodobieństwie prowadzi do złej priorytetyzacji. Wydarzenie o katastrofalnym wpływie, które jest niezwykle mało prawdopodobne (pomyśl o asteroidzie), nie ma tej samej priorytetowości co wydarzenie o znaczącym wpływie zdarzające się co tydzień (błąd użytkownika). Oba wymiary się liczą.
Niełączenie środków kontroli z ryzykami jest zaskakująco częste. Jeśli twoje wdrożone środki kontroli nie są powiązane ze scenariuszami ryzyka, twoja ocena nie może pokazać ryzyka rezydualnego. Na tych powiązaniach stoi cała analiza.
Ignorowanie ryzyk AI jest coraz bardziej ryzykowne samo w sobie. Jeśli twoja organizacja korzysta z narzędzi AI, te ryzyka są realne i audytorzy zaczynają o nie pytać.
Brak aktualizacji zamienia twoją ocenę ryzyka w historyczną fikcję. Nowe systemy, nowe zagrożenia, nowe regulacje. Ocena z 2024 nie odzwierciedla rzeczywistości 2026.
Solidna ocena ryzyka nie musi być idealna. Musi być szczera, powiązana z realnymi aktywami i środkami kontroli oraz utrzymywana w czasie. Zacznij od ryzyk, które wiesz, że są prawdziwe, buduj powiązania i ulepszaj w miarę postępów. Zespoły, które w tym odnoszą sukces, to te, które traktują to jako żywy proces, a nie jednorazowy wymóg compliance.
Gdy Twoja ocena ryzyka jest gotowa, warto zmapować środki kontroli na wymagania frameworków i przeprowadzić analizę wpływu na biznes, aby ustalić priorytety odtwarzania. Jeśli zarządzasz też ryzykiem dostawców, nasz przewodnik po zarządzaniu bezpieczeństwem dostawców obejmuje stronę łańcucha dostaw. A jeśli chcesz zobaczyć to wszystko w działaniu, wypróbuj nasze demo CISO Assistant.
