PKP Intercity – polski przewoźnik kolejowy należący do grupy PKP, który obsługuje kolejowe dalekobieżne przewozy pasażerskie: pośpieszne oraz ekspresowe. Jest to podmiot o znaczeniu strategicznym dla funkcjonowania Państwa. Każdego dnia jako przewoźnik uruchamia dużą liczbę pociągów. Cała organizacja posiada nowoczesny system IT o wysokim standardzie bezpieczeństwa.
Fakty i dane
Pełna nazwa
Polskie Koleje Państwowe Intercity
Zatrudnienie
8 000
Branża
Transport zbiorowy
Usługi z oferty klienta
- przewozy pasażerskie ekspresowe
- przewozy pasażerskie pośpieszne
Czego oczekiwał klient?
Celem projektu było stworzenie metodyki zarządzania ryzykiem spełniającej wymagania ustawy o krajowym systemie cyberbezpieczeństwa. PKP Intercity miał tu duże wymagania wynikające ze specyfiki działalności, dlatego niezwykle ważne było, aby zidentyfikować i nazwać ryzyka istotne dla organizacji w odniesieniu do poszczególnych aktywów i systemów. Wybór padł na PBSG z prostego względu – już wcześniej realizowaliśmy projekty dla PKP SA, PKP Intercity oraz dla Urzędu Transportu Kolejowego, zatem mogliśmy pochwalić się sporym doświadczeniem oraz znajomością branży. Decydującym faktem było również to, że PKP Intercity korzysta z narzędzia erisk od PBSG, dlatego nową metodykę organizacja chciała stworzyć w tym narzędziu, aby uzyskać spójny i zautomatyzowany system zarządzania ryzykiem.
Poznaj PKP Intercity
Co zrobiliśmy?
PRZEPROWADZILIŚMY AUDYT
Sprawdziliśmy zasoby PKP Intercity pod kątem spełnienia wymagań i obowiązków wynikających z przepisów o krajowym systemie cyberbezpieczeństwa. Zebraliśmy i zbadaliśmy dokumentację oraz przeprowadziliśmy warsztaty z właścicielami zasobów. Określiliśmy i nazwaliśmy ryzyka istotne dla organizacji w odniesieniu do poszczególnych aktywów i systemów.
OPRACOWALIŚMY METODYKĘ
Stworzyliśmy metodykę z uwzględnieniem potrzeb i specyfiki organizacji. Klientowi bardzo zależało na tym, aby opracowany system zarządzania ryzykiem był w pełni dopasowany do branży i uwzględniał wyzwania, przed jakimi stoi organizacja. Celem było stworzenie narzędzia automatyzującego cały obszar analizy ryzyka.
WDROŻYLIŚMY DO NARZĘDZIA ERISK
Zaimplementowaliśmy metodykę do narzędzia erisk, które zostało skonfigurowane tak, by zapewnić szybki, sprawny i bezpieczny przepływ informacji. Istotniejsze funkcje, które wdrożyliśmy, to np. wysyłanie raportów jak rejestr czy mapa ryzyka, zgłaszanie incydentów oraz powiadomienia bezpieczeństwa.
AUTOMATYZACJA ZARZĄDZANIA RYZYKIEM
Zadbaliśmy o automatyzację, dzięki czemu system przejął wiele funkcji od osób odpowiedzialnych za poszczególne obszary, np. przypomnienia dla pracowników, by terminowo przeprowadzili oceny ryzyka; czy też opcja szybkiej weryfikacji, czy dane ryzyko nie przekroczyło poziomu akceptowalnego.
Jakie były rezultaty?
Wynikiem współpracy jest zautomatyzowany system zarządzania ryzykiem cyberbezpieczeństwa, a tym samym spełnienie wymagań nałożonych na organizację przez ustawodawcę. Cały proces zarządzania ryzykiem został w dużej mierze uproszczony i zinformatyzowany, co znacząco skraca czas potrzebny na reakcję – a to jest bardzo istotne w branży klienta, która ma tak mocno strategiczny charakter.
Konsultanci PBSG skrupulatnie przyjrzeli się potrzebom organizacji i dostosowali metodykę pod kątem usprawnienia działania systemu zarządzania ryzykiem. Zauważyliśmy potrzebę automatyzacji procesu zarządzania ryzykiem i zaproponowaliśmy powstanie dedykowanych raportów takich jak rejestr czy mapa ryzyka, które pozwalają na szybką analizę wyników przez pracowników klienta. Zalecany system umożliwił zgłaszanie incydentów oraz weryfikację zależności między tymi samymi ryzykami w różnych aktywach – pozwala na to Moduł Analizy. Skonfigurowaliśmy również automatyczne powiadomienia na wypadek przekroczenia przez dane ryzyko poziomu bezpieczeństwa. Dzięki erisk użytkownicy mogą sprawnie dokonać oceny ryzyka przy pomocy prostych formularzy, na podstawie których narzędzie automatycznie tworzy zestawienia i analizy pozwalające na właściwą weryfikację wyników.
Co zyskał klient?
Zgodność z wymaganiami i obowiązkami wynikającymi z przepisów ustawy o krajowym systemie cyberbezpieczeństwa.
Wzrost poziomu nadzorowania ryzyka i bezpieczeństwa zgodnie z ustawą o KSC.
Metodykę zgodną z KSC, która usprawniła i zoptymalizowała procesy zarządzania ryzykiem.
Spójny i zautomatyzowany system zarządzania ryzykiem.
Zaawansowane narzędzie erisk rozbudowane o moduły raportowania oraz automatyczne analizy i powiadomienia.
