PKP Intercity – polski przewoźnik kolejowy należący do grupy PKP, który obsługuje kolejowe dalekobieżne przewozy pasażerskie: pośpieszne oraz ekspresowe. Jest to podmiot o znaczeniu strategicznym dla funkcjonowania Państwa. Każdego dnia jako przewoźnik uruchamia dużą liczbę pociągów. Cała organizacja posiada nowoczesny system IT o wysokim standardzie bezpieczeństwa.

Fakty i dane

Pełna nazwa

Pełna nazwa

Polskie Koleje Państwowe Intercity

Zatrudnienie

Zatrudnienie

8 000

Branża

Branża

Transport zbiorowy

Usługi z oferty klienta

Usługi z oferty klienta

  • przewozy pasażerskie ekspresowe
  • przewozy pasażerskie pośpieszne

Czego oczekiwał klient?

Celem projektu było stworzenie metodyki zarządzania ryzykiem spełniającej wymagania ustawy o krajowym systemie cyberbezpieczeństwa. PKP Intercity miał tu duże wymagania wynikające ze specyfiki działalności, dlatego niezwykle ważne było, aby zidentyfikować i nazwać ryzyka istotne dla organizacji w odniesieniu do poszczególnych aktywów i systemów. Wybór padł na PBSG z prostego względu – już wcześniej realizowaliśmy projekty dla PKP SA, PKP Intercity oraz dla Urzędu Transportu Kolejowego, zatem mogliśmy pochwalić się sporym doświadczeniem oraz znajomością branży. Decydującym faktem było również to, że PKP Intercity korzysta z narzędzia erisk od PBSG, dlatego nową metodykę organizacja chciała stworzyć w tym narzędziu, aby uzyskać spójny i zautomatyzowany system zarządzania ryzykiem.

Poznaj PKP Intercity

Co zrobiliśmy?

PRZEPROWADZILIŚMY AUDYT

Sprawdziliśmy zasoby PKP Intercity pod kątem spełnienia wymagań i obowiązków wynikających z przepisów o krajowym systemie cyberbezpieczeństwa. Zebraliśmy i zbadaliśmy dokumentację oraz przeprowadziliśmy warsztaty z właścicielami zasobów. Określiliśmy i nazwaliśmy ryzyka istotne dla organizacji w odniesieniu do poszczególnych aktywów i systemów.

OPRACOWALIŚMY METODYKĘ

Stworzyliśmy metodykę z uwzględnieniem potrzeb i specyfiki organizacji. Klientowi bardzo zależało na tym, aby opracowany system zarządzania ryzykiem był w pełni dopasowany do branży i uwzględniał wyzwania, przed jakimi stoi organizacja. Celem było stworzenie narzędzia automatyzującego cały obszar analizy ryzyka.

WDROŻYLIŚMY DO NARZĘDZIA ERISK

Zaimplementowaliśmy metodykę do narzędzia erisk, które zostało skonfigurowane tak, by zapewnić szybki, sprawny i bezpieczny przepływ informacji. Istotniejsze funkcje, które wdrożyliśmy, to np. wysyłanie raportów jak rejestr czy mapa ryzyka, zgłaszanie incydentów oraz powiadomienia bezpieczeństwa.

AUTOMATYZACJA ZARZĄDZANIA RYZYKIEM

Zadbaliśmy o automatyzację, dzięki czemu system przejął wiele funkcji od osób odpowiedzialnych za poszczególne obszary, np. przypomnienia dla pracowników, by terminowo przeprowadzili oceny ryzyka; czy też opcja szybkiej weryfikacji, czy dane ryzyko nie przekroczyło poziomu akceptowalnego.

Jakie były rezultaty?

Wynikiem współpracy jest zautomatyzowany system zarządzania ryzykiem cyberbezpieczeństwa, a tym samym spełnienie wymagań nałożonych na organizację przez ustawodawcę. Cały proces zarządzania ryzykiem został w dużej mierze uproszczony i zinformatyzowany, co znacząco skraca czas potrzebny na reakcję – a to jest bardzo istotne w branży klienta, która ma tak mocno strategiczny charakter.

Konsultanci PBSG skrupulatnie przyjrzeli się potrzebom organizacji i dostosowali metodykę pod kątem usprawnienia działania systemu zarządzania ryzykiem. Zauważyliśmy potrzebę automatyzacji procesu zarządzania ryzykiem i zaproponowaliśmy powstanie dedykowanych raportów takich jak rejestr czy mapa ryzyka, które pozwalają na szybką analizę wyników przez pracowników klienta. Zalecany system umożliwił zgłaszanie incydentów oraz weryfikację zależności między tymi samymi ryzykami w różnych aktywach – pozwala na to Moduł Analizy. Skonfigurowaliśmy również automatyczne powiadomienia na wypadek przekroczenia przez dane ryzyko poziomu bezpieczeństwa. Dzięki erisk użytkownicy mogą sprawnie dokonać oceny ryzyka przy pomocy prostych formularzy, na podstawie których narzędzie automatycznie tworzy zestawienia i analizy pozwalające na właściwą weryfikację wyników.

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie