Akademia analizy ryzyka

Czy otrzymane narzędzia robocze i wzory dokumentów są w pełni edytowalne (np. w formacie Excel), czy możemy je dowolnie modyfikować i stosować we własnej organizacji bez dodatkowych opłat licencyjnych po zakończeniu kursu?

Tak, otrzymane narzędzia są w pełni edytowalne i przeznaczone do trwałego użytku w Twojej organizacji. W ramach Akademii otrzymujesz pakiet materiałów podzielony na wiedzę (PDF) oraz praktyczne narzędzia robocze, które zostały zaprojektowane specjalnie do edycji i bezpośredniego wdrożenia. Są to m.in.:

• Wzory tabel i macierzy (np. do mapowania procesów, wyliczania ryzyka wstępnego i szczątkowego), które możesz uzupełniać własnymi danymi.
• Gotowe struktury dokumentów (np. raport dla zarządu, plan postępowania z ryzykiem, karta akceptacji), które dostosowujesz do specyfiki swojej firmy.

Model Akademii zakłada, że w trakcie kursu wypełniasz te narzędzia przygotowując dokumentację, która będzie dedykowana dla Twojej organizacji. Po zakończeniu szkolenia Twoja organizacja może korzystać z dokumentów w oparciu licencję, która nie ma ograniczeń terytorialnych i czasowych, traktując je jako fundament swojego systemu zarządzania ryzykiem.

Planujemy wysłać cały zespół compliance (3-4 osoby). Czy przewidują Państwo rabaty przy zgłoszeniu większej liczby uczestników z jednej organizacji?

Tak, standardowo na nasze szkolenia otwarte oferujemy 10% upustu dla każdego kolejnego uczestnika z tego samego podmiotu

Czy w przypadku istotnych zmian w wytycznych Urzędu Ochrony Danych Osobowych (UODO) lub Europejskiej Rady Ochrony Danych, uczestnicy Akademii otrzymają zaktualizowane wersje narzędzi bez dodatkowych opłat?

Tak, przez okres 12 miesięcy od ukończenia Akademii

Czy szkolenie odbywa się w trybie stacjonarnym, online na żywo, czy jest to kurs e-learningowy, do którego mamy dostęp w dowolnym momencie?

Szkolenie „Akademia analizy ryzyka” organizowane przez ODO 24 ma formę cyklu spotkań. Zaczyna się stacjonarnym spotkaniem otwierającym w Warszawie a kolejne odbywają się webinariów odbywających się online na żywo.

Czy do pracy z narzędziami roboczymi (arkuszami kalkulacyjnymi) wymagane jest posiadanie specjalistycznego oprogramowania, czy wystarczy standardowy pakiet MS Office?

Nie, nie jest potrzebne specjalistyczne oprogramowanie. Wystarczy standardowy pakiet biurowy (np. MS Office). Materiały są udostępniane w PDF oraz w edytowalnych formatach (tabele, macierze, szablony dokumentów), gotowych do bezpośredniego użycia.

W pakiecie znajdują się m.in.:

• tabele do mapowania procesów, zasobów i zagrożeń,
• macierze do oceny i wyliczania ryzyka,
• gotowe wzory raportów i planów działań.

Całość pozwala przeprowadzić pełną analizę ryzyka bez wdrażania dodatkowych systemów IT.

Czy po zakończeniu Akademii przewidziana jest możliwość skonsultowania z trenerem pierwszej samodzielnie wykonanej analizy, aby upewnić się, że poprawnie zastosowaliśmy poznaną metodykę w praktyce?

Tak, każdy uczestnik ma do dyspozycji 2 godziny indywidualnych konsultacji z trenerem. Konsultacje te odbywają się w trakcie trwania Akademii, tak abyś na jej zakończenie posiadał/a gotową analizę ryzyka dla swojej organizacji.

Czy gotowe katalogi zagrożeń uwzględniają specyficzne incydenty związane z pracą zdalną oraz wykorzystaniem usług chmurowych (SaaS/IaaS), czy skupiają się raczej na tradycyjnej infrastrukturze lokalnej?

Tak, katalogi zagrożeń są w pełni dostosowane do hybrydowego środowiska pracy.

Narzędzia Akademii nie ograniczają się do tradycyjnej infrastruktury lokalnej („serwer w szafie”), lecz obejmują nowoczesne środowiska IT. Otrzymujesz gotowe katalogi zagrożeń przypisane do konkretnych zasobów, co pozwala od razu analizować ryzyka charakterystyczne dla chmury, usług SaaS oraz pracy zdalnej, takie jak przejęcie kont, błędy konfiguracji środowisk chmurowych czy zagrożenia dla urządzeń końcowych.

Listy zasobów przygotowane na bazie ISO 27005 traktują usługi zewnętrzne i sprzęt mobilny jako kluczowe aktywa, dla których zdefiniowano dedykowane scenariusze ryzyka (np. utrata dostępu do usługi chmurowej czy kradzież niezabezpieczonego laptopa).

Całość opiera się na praktycznym podejściu i skupia się na realnych zagrożeniach występujących we współczesnych organizacjach, w tym na ryzykach związanych z dostawcami IT oraz codziennymi nawykami pracowników pracujących zdalnie.

W jaki sposób dostarczone skale skutków i prawdopodobieństwa pomagają wyeliminować subiektywizm różnych właścicieli zasobów, aby wyniki analizy były porównywalne w różnych departamentach firmy?

Poprzez zastąpienie intuicji (wydaje mi się, że ryzyko jest duże) precyzyjną matematyką i jednolitym standardem dla całej organizacji.

Akademia dostarcza gotowe skale ocen oraz wzory macierzy ryzyka (mapy ciepła), które działają jak wspólna linijka dla wszystkich departamentów. Eliminacja subiektywizmu odbywa się dzięki trzem mechanizmom wbudowanym w te narzędzia:

• Sparametryzowane kryteria: Otrzymujesz skale, które nie opierają się na odczuciach, lecz na konkretnych wskaźnikach. Narzędzia precyzują, jak oceniać skutki z perspektywy praw i wolności osób fizycznych oraz jak realnie szacować prawdopodobieństwo w oparciu o konkretne podatności i kontekst, a nie zgadywanie.
• Połączone modele oceny: Dzięki zastosowaniu połączonych modeli oceny skutków, każdy dział – od IT po HR – ocenia ryzyko według tego samego klucza, który uwzględnia wymogi RODO.
• Algorytm zamiast opinii: Gotowe tabele do wyliczania ryzyka wstępnego i szczątkowego wymuszają przeprowadzenie ustrukturyzowanego procesu. Wynik końcowy jest efektem jasnej kalkulacji, co pozwala przejść od intuicyjnych ocen do mierzalnej i porównywalnej analizy zarządczej.

W kontekście modułu o narzędziach AI – jak przeprowadzać analizę z ich wsparciem, aby nie naruszyć poufności danych naszej organizacji i nie 'karmić' modeli zewnętrznych naszymi tajemnicami?

Akademia nie zachęca do bezrefleksyjnego wklejania dokumentów do publicznych chatbotów. Zamiast tego dostarcza gotowy schemat bezpiecznego modelu pracy z AI, który gwarantuje zgodność z zasadą rozliczalności i oczekiwaniami UODO.

Bezpieczeństwo procesu zapewniają trzy filary omawiane na szkoleniu:

• Abstrakcja zamiast danych: Uczymy, jak konstruować zapytania (prompty) w oparciu o anonimowe opisy procesów i aktywów, bez podawania nazwisk, nazw handlowych czy unikalnych danych, co fizycznie uniemożliwia wyciek tajemnic do modelu.
• Weryfikacja ekspercka (Human-in-the-Loop): Wdrażamy zasadę, w której AI pełni rolę generatora scenariuszy i krytycznego recenzenta, ale nigdy nie podejmuje decyzji ani nie przetwarza danych rzeczywistych. To człowiek zawsze zatwierdza wynik, eliminując ryzyko halucynacji czy stronniczości algorytmów.
• Świadomość narzędziowa: Otrzymujesz listę narzędzi AI oraz gotowe scenariusze ryzyka związane z użyciem modeli LLM, dzięki czemu wiesz, których narzędzi używać do pracy z danymi wewnętrznymi, a których unikać.

Czy wzór raportu dla zarządu zawiera argumentację finansową i biznesową, która pomoże mi uzasadnić konieczność wydatkowania budżetu na dodatkowe zabezpieczenia?

Tak, raport został zaprojektowany właśnie w tym celu, aby mówić językiem zarządu.

Wzór raportu oraz towarzysząca mu prezentacja nie ograniczają się do technicznych opisów zagrożeń. Zgodnie z programem Akademii, narzędzia te pomagają przełożyć wyniki analizy ryzyka na język wpływu na biznes, reputację i odpowiedzialność prawną.

Dokumentacja ta wspiera Cię w uzyskaniu budżetu poprzez:

• Wizualizację ryzyka: Zamiast tabel z cyframi, otrzymujesz wizualne modele (np. macierz, światła drogowe), które jasno pokazują, gdzie organizacja jest narażona na straty.
• Uzasadnienie inwestycji (ROI): Wzory pomagają zaprezentować różnicę między ryzykiem inherentnym (obecnym) a szczątkowym (po wdrożeniu zabezpieczeń), co stanowi bezpośredni argument finansowy uzasadniający inwestycje w bezpieczeństwo jako sposób na uniknięcie konkretnych strat.
• Klarowne opcje decyzyjne: Raport strukturyzuje decyzje dla Zarządu (akceptacja, redukcja, transfer), wymuszając świadome podjęcie decyzji o sfinansowaniu zabezpieczeń lub formalnym przyjęciu odpowiedzialności za ryzyko.

Czy wasza metodyka wymusza robienie analizy oddzielnie dla każdego systemu IT, czy pozwala na podejście procesowe, gdzie jeden arkusz obejmuje całą ścieżkę obsługi klienta?

Analizujemy ryzyko dla konkretnych zasobów (aktywów), ale zawsze w ścisłym powiązaniu z procesami biznesowymi, które one wspierają. Nasza metodyka unika ogólników, schodząc do poziomu konkretów, ale zachowuje kontekst biznesowy.

Zgodnie z modelem mapowania przyjętym w Akademii, praca przebiega dwuetapowo:

• Kontekst procesu: Najpierw definiujesz proces (np. Obsługa zamówień) i określasz zakres oraz wrażliwość przetwarzanych w nim danych.
• Analiza zasobów: Następnie przypisujesz do tego procesu konkretne zasoby (np. system ERP, poczta e-mail, laptop pracownika).

Dzięki temu zagrożenia i zabezpieczenia oceniasz precyzyjnie dla każdego zasobu (zgodnie z ISO 27005), ale skutki incydentu szacujesz przez pryzmat całego procesu i wagi danych, które mogą zostać naruszone. Pozwala to uniknąć analizowania systemów IT w oderwaniu od ich realnej roli w organizacji.

Czy macie sygnały od klientów, którzy przeszli kontrole UODO lub audyty zewnętrzne (np. pod certyfikację ISO 27001), że ta konkretna metodyka została uznana za prawidłową i wystarczającą?

Tak. Otrzymujemy potwierdzenia, że dokumentacja przygotowana według naszego standardu skutecznie broni się podczas kontroli i audytów. Opracowując naszą metodykę i narzędzia, przeanalizowaliśmy wszystkie decyzje Prezesa Urzędu Ochrony Danych Osobowych dotyczące art. 32 RODO oraz aktualne poradniki, aby upewnić się, że model ten adresuje dokładnie te elementy, które są weryfikowane przez organ nadzorczy (ostatnio przez pryzmat 18 wymagań zawartych w styczniowym newsletterze UODO).

Czy uczestnicy Akademii mają dostęp do zamkniętej grupy/forum, gdzie po szkoleniu mogą wymieniać się doświadczeniami z innymi IOD-ami stosującymi tę samą metodykę?

Tak, planujemy uruchomienie zamkniętej grupy na portalu LinkedIn lub Facebook. Będzie ona służyć jako platforma kontaktu oraz wymiany doświadczeń i myśli pomiędzy uczestnikami Akademii.

Czy w ramach materiałów otrzymamy opisy realnych 'fuck-upów' (anonimizowanych), które pokazują, jak błędna analiza ryzyka doprowadziła do realnych problemów prawnych?

Tak, analiza błędów (fuck-upów) innych podmiotów jest istotnym elementem procesu dydaktycznego Akademii.

W trakcie spotkań będziemy szeroko odnosić się do błędów popełnionych przez inne organizacje, szczególnie w krytycznym kontekście identyfikowania zagrożeń i podatności. Program Akademii nie opiera się na teorii, lecz na analizie decyzji Prezesa UODO wydanych w ciągu ostatnich 8 lat. Przeanalizowaliśmy, za jakie konkretnie uchybienia w analizie ryzyka organ nakładał kary. Dzięki temu:

• Już na spotkaniu otwierającym wskazujemy najczęstsze błędy, które kończą się decyzjami administracyjnymi.
• Przy omawianiu zabezpieczeń pokazujemy luki, które są najczęściej kwestionowane przez kontrolerów UODO.

Dostajesz więc wiedzę opartą na realnych przypadkach rynkowych, co pozwoli Ci uniknąć powielania cudzych pomyłek.

Jeśli po miesiącu od szkolenia utknę przy wypełnianiu tabeli dla bardzo specyficznego procesu, czy mogę liczyć na krótką konsultację mailową w cenie kursu?

Tak, wszyscy uczestnicy naszych szkoleń otwartych są objęci merytorycznym wsparciem poszkoleniowym. W przypadku pytań dotyczących konkretnych procesów, zapraszamy do kontaktu poprzez naszą platformę wsparcia: Pomoc ODO 24

Czy jeśli moja firma posiada już własne, specyficzne skale ocen, Wasze narzędzia w Excelu można łatwo 'przeprogramować' pod nasze istniejące standardy korporacyjne?

Tak, nasze narzędzia są w pełni elastyczne.

Dostarczane arkusze kalkulacyjne i macierze są otwartymi narzędziami roboczymi, a nie zamkniętymi aplikacjami. Choć w ramach kursu otrzymujesz gotowe, sprawdzone propozycje skal opartych na ISO 27005 i wytycznych UODO, konstrukcja narzędzi (Excel) pozwala na ich swobodną modyfikację.

Możesz bez problemu:

• Podmienić nasze domyślne definicje i wartości liczbowe na własne standardy korporacyjne.
• Dostosować progi akceptowalności ryzyka w macierzach (mapach ciepła), aby odpowiadały apetytowi na ryzyko przyjętemu w Twojej firmie.

Celem Akademii jest dostarczenie uniwersalnej metodyki, którą wdrożysz u siebie, a nie sztywnego schematu, który wymuszałby zmianę Twoich dotychczasowych, działających standardów.

Jak wygląda kwestia cateringu podczas inauguracyjnego spotkania Akademii?

Podczas spotkania uczestnicy mają zapewniony serwis kawowy, słodkie przekąski oraz lunch serwowany w formie bufetu. Spotkanie odbędzie się w Restauracji PaTaThai Powiśle znajdującej się w kompleksie Elektrownia Powiśle, wynajętej na wyłączność.