top of page

Казуси

Трансформация на ИТ управлението

Мултинационална енергийна компания с дейност в Европа, Централна Азия и Африка се сблъсква с нарастващ натиск за унифициране на управлението на ИТ и подобряване на отчетността. Всяко дъщерно дружество функционира със собствена структура, инструменти и цикли на отчитане.

Предизвикателство

Клиентът се затрудни с:

  • непоследователни ИТ процеси в различните региони

  • неясна собственост и припокриващи се отговорности

  • бавно вземане на решения и лоша видимост на статуса на проекта

  • повтарящи се одитни констатации, свързани с управлението и документацията

Ръководството се нуждаеше от унифициран модел на управление, който да може да работи в различни култури и регулаторни среди.

Анализ и подход

Проведена е структурирана фаза на откриване:

  • интервюира бизнес и технологични лидери в 9 държави

  • картографирани съществуващи процеси и потоци от решения

  • оценена зрялост на управлението, използвайки критерии, съобразени с COBIT и NIST

  • дефинирани пропуски в отчетността, използвайки пълен RACI анализ

  • установени несъответствия в изпълнението и отчитането на проектите

Доставено решение

Внедрена е напълно интегрирана рамка за управление:

  • нов регионален оперативен модел

  • стандартизирано отчитане и ключови показатели за ефективност

  • унифициран жизнен цикъл на проекта и контролни точки за одобрение

  • ясни дефиниции на ролите и комуникационни потоци

  • семинари за съгласуване между страните и коучинг за лидерство

Резултати

  • 30% по-бърз регионален цикъл на отчитане

  • отклоненията от одита са намалели след първото тримесечие

  • подобрено сътрудничество между бизнеса, ИТ и доставчиците

  • значително повишена увереност на ръководството в предоставянето на ИТ

  • предвидимо изпълнение на ключови технологични и дигитални инициативи

Ключови изводи

  • Управлението стана измеримо и последователно

  • Процесите бяха опростени и възприети във всички региони

  • Ръководството получи прозрачност и практически прозрения

Оператор на критична инфраструктура се сблъска с нарастващ регулаторен натиск да демонстрира зрялост на киберсигурността в ИТ и ОТ среди.

Предизвикателство

На организацията липсваше:

  • ясно приоритизиране, основано на риска

  • интеграция между ИТ и ОТ екипите по сигурността

  • готовност за регулаторни одити

  • документирани контроли, съобразени с NIST, ISO или националните изисквания за киберсигурност

Анализ и подход

COMRAD Consulting извърши цялостна оценка:

  • Оценка на зрялост, базирана на NIST CSF

  • оценка на контрола на достъпа, сегментирането на мрежата, инвентаризацията на активите и реагирането при инциденти

  • преглед на практиките за сигурност на доставчиците

  • интервюта с екипи по ИТ, ОТ и инженеринг

  • документация и картографиране на пропуските

Доставено решение

Разработихме структурирана пътна карта за подобрение:

  • приоритизирани действия въз основа на апетита за риск и бюджета

  • коригиращи планове за високорискови констатации

  • съответствие с регулаторните очаквания

  • бързи победи за незабавно намаляване на риска

  • дългосрочна стратегия за напредък в зрялост

Резултати

  • подобрена зрялост на киберсигурността с цяло ниво в рамките на 6 месеца

  • премина регулаторния предварителен одит без несъответствия

  • намалена зависимост от външни доставчици

  • засилено сътрудничество между ИТ и ОТ екипите

Ключови изводи

  • Клиентите получиха яснота относно рисковете и приоритетите

  • Спазването на изискванията стана по-лесно и предвидимо

  • Инвестициите в киберсигурност станаха измерими и оправдани

Оценка на готовността за киберсигурност (енергиен сектор)

Интеграция на физическа сигурност и оптимизация на реакцията

Голям индустриален обект изискваше модернизация на физическата си сигурност, което включваше остарели процедури, фрагментирано реагиране при инциденти и несъответстващи технологии.

Предизвикателство

Клиентът е преживял:

  • бавна реакция при инциденти

  • ръчно и непоследователно отчитане

  • липса на интеграция между видеонаблюдението, контрола на достъпа и процедурите за охрана

  • няма унифициран стандарт за реагиране при кризи

Анализ и подход

Проведена е пълна оценка:

  • Проверка за оперативна готовност, съответстваща на ISO 22320

  • преглед на физическата инфраструктура (видеонаблюдение, контрол на достъпа, маршрути за патрулиране)

  • одит на документацията за сигурност и процесите на ескалация

  • интервюта с охранители, надзорници и ръководство на обекта

  • упражнения за симулация на инциденти

Доставено решение

Беше въведено:

  • интегриран работен процес за командване и контрол

  • модернизирано наблюдение и автоматизирани сигнали

  • стандартни оперативни процедури за служителите по сигурността

  • йерархия на ескалация и наръчници за управление на кризи

  • програма за обучение на охранители и надзорници

Резултати

  • времето за реакция при инциденти е намалено с 50%

  • по-малко фалшиви аларми и ненужни ескалации

  • по-висока дисциплина и последователност при патрулирането и докладването

  • значително подобрено сътрудничество с външни служби за спешна помощ

Ключови изводи

  • Физическата сигурност стана структурирана и предвидима

  • Технологията и процесите най-накрая заработиха заедно

  • Ръководството придоби увереност в защитата на обекта

bottom of page