Bezpieczeństwo informacji

TISAX (Trusted Information Security Assessment Exchange) to globalny standard bezpieczeństwa informacji dla firm łańcucha dostaw przemysłu motoryzacyjnego. Zabezpieczenia ujęte w katalogu oceny VDA ISA są syntezą powszechnie uznanych norm z serii ISO z 27000 oraz zaleceń takich jak NIST czy BSI dotyczących prywatności.  Mechanizm oceny pozwala na wykazanie zgodności poprzez uzyskanie etykiety TISAX i wymianę informacji w tym zakresie między partnerami biznesowymi za pośrednictwem platformy ENX. 

Cel szkolenia :

1. Uzyskanie wiedzy z zakresu ochrony informacji zgodnie z wymaganiami TISAX i powiązanymi standardami.
2. Uzyskanie umiejętności interpretacji wymagań dotyczących systemowego zarządzania bezpieczeństwem informacji w przemyśle motoryzacyjnym.
3. Umiejętność oceny zagrożeń i zabezpieczeń bezpieczeństwa informacji.
4. Uzyskanie umiejętności umożliwiających wdrożenie i doskonalenie systemu bezpieczeństwa informacji.

Szkolenie dedykowane jest pracownikom organizacji łańcucha dostaw motoryzacji takich jak:

• Dostawcy (Tier 1, 2, 3) komponentów, systemów i usług dla producentów samochodów (OEM)
• Podwykonawcy IT, firmy konsultingowe i usługodawcy przetwarzający dane klientów OEM
• Centra inżynieryjne, laboratoria badawcze, dostawcy usług projektowych
• Firmy transportowe i logistyczne przetwarzające dane związane z prototypami

Oraz dla osób pełniących lub przygotowujących się do pełnienia roli takich jak:

• Pełnomocnik ds. bezpieczeństwa informacji (ISB / CISO)
• Pełnomocnik ds. Zintegrowanego Systemu Zarządzania
• Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji
• Osoby odpowiedzialne za wdrożenie  projektów TISAX
• Osoby odpowiedzialne za zgodność z wymaganiami klienta (compliance / quality management)
• Specjaliści ds. ochrony prototypów i danych osobowych

Program szkolenia:

• Ogólne wymagania w tym wymagania prawne w zakresie zabezpieczania informacji
• Podstawowe pojęcia związane z bezpieczeństwem informacji
• Wprowadzenie do Systemu Zarządzania Bezpieczeństwem Informacji
• Przegląd normy ISO/IEC 27001 i standardów powiązanych jako podstaw dla TISAX
• Omówienie zabezpieczeń wymaganych przez katalog VDA ISA
• Metodologia i przebieg samooceny TISAX
• Kroki do uzyskania etykiety TISAX

Szkolenie przeznaczone jest dla pracowników wszystkich szczebli, osób odpowiedzialnych za bezpieczeństwo informacji oraz kadry zarządzającej, którzy chcą zrozumieć zagrożenia cyfrowe oraz nauczyć się, jak skutecznie chronić dane organizacji. Obejmuje kluczowe aspekty cyberhigieny, technik ataku (phishing, ransomware, DDoS), zarządzania ryzykiem oraz obowiązków wynikających z RODO, normy ISO/IEC 27001 i wymagań TISAX (branża motoryzacyjna).

Cel szkolenia:
Podniesienie świadomości uczestników w zakresie zagrożeń cybernetycznych, utrwalenie
praktycznych umiejętności rozpoznawania i reagowania na incydenty oraz zrozumienie roli
użytkownika w systemie zarządzania bezpieczeństwem informacji.

Grupa docelowa:
• Pracownicy administracyjni i operacyjni
• Osoby przetwarzające dane osobowe i informacje wrażliwe
• Kadra kierownicza i menedżerska
• Pracownicy IT i administratorzy systemów
• Pełnomocnicy ds. bezpieczeństwa informacji i RODO
• Osoby zaangażowane w realizację wymagań ISO 27001, TISAX i RODO

Metody szkolenia:
• Interaktywne prezentacje i mini-wykłady
• Symulacje i analiza przypadków (case study)
• Ćwiczenia indywidualne i grupowe
• Analiza fałszywego e-maila, ćwiczenia z oceny ryzyka
• Dyskusje i sesje Q&A
• Materiały szkoleniowe do wykorzystania w organizacji

Program szkolenia:
1. Wprowadzenie do cyberbezpieczeństwa
• Definicje, podstawowe pojęcia i zagrożenia
• Znaczenie cyberbezpieczeństwa dla organizacji
• Powiązania z ISO/IEC 27001, TISAX i RODO

2. Zagrożenia cybernetyczne i typy ataków
• Malware (wirusy, trojany, ransomware, spyware)
• Phishing, smishing, vishing
• Inżynieria społeczna i manipulacja psychologiczna
• DDoS, MITM (Man-in-the-Middle), kradzież tożsamości

3. Zasady bezpiecznego korzystania z systemów i danych
• Zarządzanie hasłami (MFA, SSO, menedżery haseł)
• Szyfrowanie danych – podstawy
• Przechowywanie i przesyłanie danych (VPN, e-mail, chmura)
• Zasady ochrony danych osobowych (RODO a cyberbezpieczeństwo)

4. Środki bezpieczeństwa w codziennej pracy
• Cyberhigiena: e-maile, linki, pliki, aktualizacje
• Urządzenia służbowe i prywatne (BYOD)
• Mobilne zagrożenia (smartfony, tablety)
• Sieci Wi-Fi i praca zdalna – jak chronić organizację

5. Odpowiedzialność użytkownika i organizacji
• Zakres odpowiedzialności pracownika a pracodawcy
• Rola działu IT i Inspektora Ochrony Danych
• Konsekwencje naruszenia bezpieczeństwa – dyscyplinarne i prawne
• Polityki bezpieczeństwa i instrukcje wewnętrzne

6. Audyty, oceny ryzyka i reagowanie na incydenty
• Ocena ryzyka (DPIA, ISO 27005)
• Zgłaszanie incydentów i reagowanie
• Scenariusze incydentów – ransomware, phishing
• Ćwiczenia zespołowe: analiza fałszywego e-maila, ryzyko BYOD

7. Normy i wymagania formalne
• ISO/IEC 27001:2022 – kontekst, wymagania i zabezpieczenia (Załącznik A)
• TISAX – wymagania branży automotive
• RODO – przetwarzanie danych w kontekście cyberzagrożeń

8. Podsumowanie i wnioski praktyczne
• Dobre praktyki i lista kontrolna
• Narzędzia wspierające bezpieczeństwo
• Rekomendacje dla uczestników po szkoleniu

Poznasz najnowsze wymagania prawne oraz praktyczne rozwiązania związane z ochroną danych oraz bezpieczeństwem cyfrowym. Dowiesz się, jak skutecznie przygotować siebie jako pracownika oraz całą organizację na nowe wyzwania i minimalizować ryzyko cyberzagrożeń.

Zdobądź wiedzę, która pozwala działać zgodnie z przepisami i zwiększy odporność firmy na ataki cybernetyczne!

Program szkolenia:

1. Zapoznanie się z Dyrektywą NIS2
1.1. Cele i istotność dyrektywy
1.2. Główne zmiany wprowadzone przez NIS2

2. Kto jest objęty Dyrektywą NIS2?
2.1. Operatorzy usług kluczowych i ich obowiązki
2.2. Podmioty kluczowe i ważne – co na nich spoczywa?

3. Zrozumienie wymogów i obowiązków Dyrektywy NIS2
3.1. Zasady zarządzania ryzykiem i procedury zgłaszania incydentów
3.2. Tworzenie i wdrażanie Planu Ciągłości Działania

4. Jak Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) chroni naszą cyfrową
infrastrukturę
4.1. Jak ENISA wspiera wdrażanie dyrektywy NIS2
4.2. Raporty i zalecenia ENISA dotyczące bezpieczeństwa

5. Międzynarodowa współpraca w Świecie Cyberbezpieczeństwa
5.1. Europejska Sieć Zarządzania Kryzysowego w Cyberprzestrzeni – nowy wymiar
współpracy
5.2. CSIRT – Kluczowy element reagowania na Incydenty

6. Realizacja i Kontrola Dyrektywy NIS2
6.1. Proces realizacji w państwach członkowskich
6.2. Sankcje za niewprowadzenie i egzekwowanie przepisów

7. Obowiązkowe elementy systemu zarządzania zgodne z wymaganiami Dyrektywy NIS2
7.1. Polityki zarządzania ryzykiem.
7.2. Zabezpieczenie łańcucha dostaw.
7.3. Zgłaszanie incydentów cyberbezpieczeństwa.
7.4. Opracowanie i wdrożenie Planów Ciągłości Działania.

Czas trwania: 8 godzin

Koszt: 1400 PLN netto

Szkolenie poświęcone jest zagadnieniom bezpieczeństwa środowisk IT i OT, ze szczególnym uwzględnieniem systemów przemysłowych, automatyki oraz infrastruktury krytycznej. Uczestnicy poznają różnice pomiędzy bezpieczeństwem klasycznych systemów IT a środowiskami OT/ICS/SCADA, aktualne zagrożenia cybernetyczne oraz wymagania normatywne i prawne, takie jak NIS2, ISO 27001 czy IEC 62443. Program łączy wiedzę techniczną z praktycznym podejściem do zarządzania bezpieczeństwem, analizą ryzyka oraz reagowaniem na incydenty w organizacji.

Agenda szkolenia:

Dzień 1 – Fundamenty bezpieczeństwa IT/OT

1. Wprowadzenie do bezpieczeństwa IT i OT
   • różnice pomiędzy środowiskami IT i OT,
   • charakterystyka systemów ICS, SCADA i automatyki przemysłowej,
   • aktualne trendy zagrożeń i przykłady incydentów bezpieczeństwa.
2. Regulacje i wymagania prawne
   • Dyrektywa NIS2,
   • Krajowy System Cyberbezpieczeństwa (KSC),
   • RODO w kontekście incydentów bezpieczeństwa,
   • regulacje sektorowe (m.in. DORA).
3. Normy i standardy bezpieczeństwa
   • ISO/IEC 27001:2022 i ISO/IEC 27002:2022,
   • IEC 62443, ISO/IEC 27019,
   • NIST Cybersecurity Framework 2.0,
   • NIST SP 800-82 dla systemów ICS,
   • porównanie podejść ISO, IEC i NIST.
4. Architektura bezpieczeństwa IT/OT
   • model Purdue,
   • segmentacja sieci IT/OT,
   • strefy i konduity wg IEC 62443,
   • bezpieczny dostęp zdalny,
   • Zero Trust w środowiskach przemysłowych.
5. Zagrożenia i scenariusze ataków
   • ransomware w środowiskach przemysłowych,
   • ataki na systemy ICS i SCADA,
   • phishing i zagrożenia dostawców zewnętrznych,
   • analiza rzeczywistych scenariuszy ataków.

Dzień 2 – Zarządzanie bezpieczeństwem i reagowanie na incydenty

1. Środki bezpieczeństwa techniczne i organizacyjne
   • kontrola dostępu i segmentacja sieci,
   • monitoring bezpieczeństwa (SIEM, SOC),
   • hardening systemów,
   • zarządzanie kopiami zapasowymi,
   • budowanie świadomości pracowników,
   • zarządzanie podatnościami i zasobami OT.
2. Zarządzanie incydentami
   • proces reagowania na incydenty,
   • różnice pomiędzy incydentami IT i OT,
   • obowiązki raportowania zgodne z NIS2 i KSC,
   • podstawy ciągłości działania i disaster recovery.
3. Zarządzanie ryzykiem
   • analiza ryzyka wg ISO 27001,
   • podejście IEC 62443 do ryzyka,
   • identyfikacja krytycznych zasobów OT,
   • przykładowa analiza ryzyka dla środowiska IT/OT.
4. Budowa systemu zarządzania bezpieczeństwem IT/OT
   • integracja ISMS z wymaganiami OT,
   • role i odpowiedzialności,
   • polityki i procedury bezpieczeństwa,
   • plan wdrożenia systemu bezpieczeństwa,
   • najczęstsze błędy wdrożeniowe.
5. Podsumowanie i sesja Q&A

Korzyści z udziału w szkoleniu:

• Zrozumiesz różnice pomiędzy bezpieczeństwem IT i OT oraz specyfikę systemów przemysłowych.
• Poznasz aktualne zagrożenia cybernetyczne i sposoby skutecznej ochrony organizacji.
• Nauczysz się interpretować wymagania norm ISO 27001, IEC 62443 oraz regulacji NIS2.
• Dowiesz się, jak budować system zarządzania bezpieczeństwem informacji w środowisku przemysłowym.
• Zdobędziesz praktyczną wiedzę dotyczącą reagowania na incydenty, analizy ryzyka oraz zabezpieczania infrastruktury krytycznej.
• Poznasz najlepsze praktyki w zakresie segmentacji sieci, monitoringu oraz ochrony systemów ICS/SCADA.

Usługa kompleksowej analizy bezpieczeństwa i zgodności została opracowana z myślą o organizacjach, które chcą zweryfikować poziom bezpieczeństwa informacji, zgodność z obowiązującymi regulacjami oraz skuteczność procesów IT i ochrony danych osobowych. Audyt obejmuje kluczowe obszary związane z RODO, KRI, ISO/IEC 27001, ISO/IEC 20000 oraz ISO 22301, umożliwiając identyfikację ryzyk, niezgodności i obszarów wymagających usprawnień.

Realizacja prowadzona jest przez doświadczonych ekspertów z zakresu bezpieczeństwa informacji, ochrony danych osobowych oraz zarządzania usługami IT.

Zakres analizy:

1. Audyt zgodności z KRI (Krajowe Ramy Interoperacyjności)

• ocena poziomu zgodności organizacji z wymaganiami KRI,
• identyfikacja braków i niezgodności,
• rekomendacje działań dostosowawczych.

2. Analiza RODO (rozszerzona)

• weryfikacja procesów przetwarzania danych osobowych,
• przegląd dokumentacji (rejestry, umowy, klauzule informacyjne),
• identyfikacja ryzyk i rekomendacje usprawnień.

3. Analiza bezpieczeństwa informacji – ISO/IEC 27001:2022

• identyfikacja aktywów i zagrożeń,
• analiza i ocena ryzyka,
• przegląd zabezpieczeń organizacyjnych i technicznych,
• wskazanie obszarów wymagających wzmocnienia.

4. Analiza zarządzania usługami IT – ISO/IEC 20000

• ocena procesów IT (incydenty, zmiany, dostępność),
• identyfikacja ryzyk operacyjnych i nieefektywności,
• rekomendacje działań usprawniających.

5. Analiza ciągłości działania – ISO 22301

• identyfikacja procesów krytycznych,
• ocena gotowości organizacji na sytuacje awaryjne,
• rekomendacje dotyczące planów ciągłości działania i odtwarzania po awarii.

Korzyści z realizacji analizy:

• Kompleksowa ocena poziomu bezpieczeństwa organizacji.
• Identyfikacja ryzyk, luk i potencjalnych niezgodności z wymaganiami prawnymi oraz normami.
• Otrzymanie praktycznych rekomendacji dostosowanych do specyfiki organizacji.
• Zwiększenie poziomu bezpieczeństwa danych i procesów IT.
• Lepsze przygotowanie organizacji do audytów, kontroli i incydentów bezpieczeństwa.
• Wsparcie ekspertów w zakresie działań naprawczych i doskonalących.