Lider cyberbezpieczeństwa z tarczą i kłódką, na tle cyfrowej sieci i ikon komunikacji.
24 listopada 2025

Architektura bezpieczeństwa: Regulacje i odpowiedzialność poza diagramem

Granice między IT i OT zacierają się, a regulacje nie są wrogiem, ale narzędziem. Odporność rozstrzyga się w mikrodecyzjach, które nigdy nie trafiają na diagram, i w odwadze, by zakwestionować oczywistości.  

Regulacje to nie wróg, tylko narzędzie

Często spotykam się z podejściem: „Regulacje to zło konieczne, które trzeba spełnić, żeby mieć spokój z audytorem”. To niebezpieczna narracja. Dobrze napisane przepisy, np. takie jak NIS2 (Network and Information Security Directive 2) czy DORA (Digital Operational Resilience Act) są de facto przepisem na zdrową architekturę. Wymuszają spisanie odpowiedzialności, udokumentowanie procesów, testowanie odporności. Nie są „papierologią”, są punktem cięcia między systemem przypadkowym a zaprojektowanym.

Zła architektura będzie się przed regulacjami bronić. Dobra spełni je „przy okazji”, bo one wynikają z jej wewnętrznej logiki.
Problem zaczyna się tam, gdzie „compliance” staje się celem samym w sobie. Wtedy pojawia się iluzja: zrobiliśmy wszystko, co trzeba, a więc jesteśmy bezpieczni. Tymczasem bezpieczeństwo to nie status, to proces.

Architektonicznie warto przenieść rozmowę z pytania: „Co musimy zrobić?” na: „Jak chcemy działać?”Regulacje mogą wtedy stać się ramą strategicznego myślenia, katalizatorem dobrych decyzji, a nie przeszkodą.

 

Przekładanie koncepcji i strategii na decyzje architektoniczne - tu i teraz

Jednym z największych wyzwań architekta bezpieczeństwa nie jest samo projektowanie, tylko przekładanie koncepcji i strategii na konkretne decyzje tu i teraz. Jak zbudować bezpieczną architekturę, kiedy presja na „szybkie dowiezienie” nie zostawia miejsca na refleksję? Od czego zacząć?

Zawsze od spojrzenia systemowego:
► Jak płynie wartość w organizacji?
► Gdzie zapadają decyzje?
► Kto ponosi ryzyko?

Bez tej mapy, rozmowy o backupach, logach czy tożsamości pozostają w sferze narzędziowej. Dopiero zrozumienie przepływu wartości pozwala zidentyfikować miejsca, gdzie bezpieczeństwo nie jest „wtyczką”, lecz częścią procesu.

Pierwszym obszarem, który wymaga ułożenia, jest tożsamość

Zarówno użytkowników, jak i systemów. W praktyce oznacza to zdefiniowanie polityk, które jasno opisują: kto może co zrobić, kiedy i w jakim kontekście. To również mechanizmy, które blokują dostęp przypadkowy, wynikający z domyślnych ustawień czy starych nawyków. Każdy wyjątek musi być świadomie zaprojektowany i mieć swoje miejsce w procesie.

Kolejny krok to widoczność

Czyli projektowanie obserwowalności od pierwszego dnia. Nie da się wykrywać tego, czego nie potrafimy zobaczyć. Dlatego detekcja nie może być dodatkiem „po wdrożeniu”, musi być obecna na etapie decyzji architektonicznych.

Zadajmy sobie pytania:
► Czy wiemy, jak wygląda normalne zachowanie użytkownika?
► Czy mamy reguły detekcji oparte na rzeczywistych przypadkach użycia?
► Czy te reguły da się utrzymać jak kod?

Na końcu, odporność operacyjna

Nie jako certyfikat ISO w ramce, tylko jako czas odtworzenia systemu w realistycznym scenariuszu awarii. Nie interesuje mnie, czy firma ma plan DR (Disaster Recovery). Interesuje mnie:
► Czy ktoś go ostatnio ćwiczył?
► Czy kopia da się odtworzyć w czasie, który był zadeklarowany?
► Czy przywracamy dane i tożsamości w jednej operacji?

To są decyzje architektoniczne. Tylko tyle i aż tyle.

 

Odpowiedzialność - tam, gdzie kończy się diagram

Architektura to nie tylko diagramy. To również, a może przede wszystkim odpowiedzialność za decyzje, które nie trafiły na diagram. W świecie, gdzie wszystko się zmienia, przetrwają nie ci, którzy mają „piękny certyfikat”, ale ci, którzy potrafią operacjonalizować bezpieczeństwo.

Na papierze można narysować każdy model, ale to, czy system przetrwa incydent, zależy od tego, jak organizacja dba o rzeczy „między wierszami”:

► Jaką wagę nadaje ryzyku, gdy zbliża się deadline?
► Czy zespół ma odwagę powiedzieć: „tak tego nie wdrożymy”?
► Czy proces pozwala zmienić zdanie, kiedy pojawią się nowe informacje?

To nie są abstrakcje. To są konkretne mikrodecyzje podejmowane każdego dnia:

► Czy ktoś zostawił uprawnienie „na wszelki wypadek”?
► Czy ktoś wyłączył logowanie „tymczasowo”?
► Czy ktoś uznał, że „przecież i tak nikt się tam nie dostanie”?

Te detale nie są widoczne w architekturze, ale to one rozstrzygają o jej odporności. Odpowiedzialność architekta nie polega tylko na zaprojektowaniu idealnego stanu docelowego. Polega na tym, by zaprojektować ścieżkę dojścia i nauczyć organizację zadawania trudnych pytań. Tych, które burzą komfort, ale budują odporność. Tych, których nikt nie zadaje, dopóki nie jest za późno.

Nie chodzi o straszenie. Chodzi o uczciwość. O świadomość, że nie da się zaprojektować systemu w pełni bezpiecznego, ale można zaprojektować system, który upadnie z godnością i da się szybko podnieść.

Bezpieczeństwo nie powstaje od prezentacji. Ono zaczyna się jutro rano od tego, czy ktoś nie kliknie w „pomiń MFA”, bo szybciej, a może od tego, że zespół powie: „Nie zrobimy tego tak, bo to za duże ryzyko”. Od tego, czy dzisiaj poświęcisz godzinę, by sprawdzić, czy plan przywracania w ogóle działa.

To nie są wielkie decyzje. To są małe pytania, które robią wielką różnicę.

 

Podsumowanie

Odporna architektura to nie stos narzędzi, lecz odwaga kwestionowania oczywistości i zdolność do uczenia się w codziennych decyzjach. Odporność nie kończy się na diagramie. Decydują o niej mosty, kopie i decyzje poza slajdami.

Piąta lekcja brzmi: Odporność zaczyna się tam, gdzie kończy się diagram - w mostach IT/OT, regulacjach użytych jako rama decyzji i codziennych mikrodecyzjach ludzi.

 

Karol Kij
Dyrektor Działu Rozwiązań Cyberbezpieczeństwa Ambasador CyberOdporności
CyberShieldON

CyberShieldON – Gdy wiedza spotyka decyzję.
Tutaj cyberbezpieczeństwo to nie tylko technologia, ale też konsekwencje wyborów, ryzyko systemowe i odpowiedzialność.
Łączymy doświadczenie z projektów z refleksją nad tym, jak naprawdę działa organizacja i jak ją chronić. Dzielimy się praktyką, która wytrzymała presję, oraz pytaniami, które zmieniły kierunek działania.

To miejsce jest dla Ciebie, jeśli tworzysz systemy, zarządzasz bezpieczeństwem, projektujesz architekturę i nie zatrzymujesz się na poziomie technologicznym.

Nowe artykuły – regularnie na cybershieldon.pl

 

Strona www stworzona w kreatorze WebWave.