Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Incident Response Planning

Przed kryzysem — plan. Gdy kryzys — ścieżka

Incydent nie mówi, kiedy przyjdzie. My budujemy gotowość — procedury NIST IR, role, playbooki, integracja z SOC/SOAR. Ćwiczenia stołowe sprawdzają plan na żywo. Gdy coś się sypie, będziesz gotów.

Dla kogo?

  • Firmy bez formalnego planu reagowania na incydenty
  • Organizacje z IR planem, ale nigdy nie testowanym
  • Spółki z SOC/SIEM, które chcą lepszej integracji playbooków
  • Podmioty przygotowujące się do audytu (NIS2, DORA, ISO 27001)
  • Liderzy biznesu, którzy chcą wiedzieć, czy firma naprawdę jest gotowa
Co otrzymujesz

Rezultaty

Incident Response Plan (dokument)

Procedury napisane dla Waszej infrastruktury — jak rozpoznać incydent, kto decyduje, kontakty kryzysowe, eskalacja, komunikacja wewnętrzna i zewnętrzna.

Definicje incydentów (incident taxonomy)

Co to jest incydent? Jak go klasyfikujemy? Severity levels (P1–P4), example incydenty, trigger-warning signs. Każdy członek zespołu wie, co zgłaszać i kiedy.

Role i odpowiedzialności

Incident Commander, Evidence Officer, Communication Lead, Technical Lead, Legal/Compliance — każdy wie, co robi i komu raportu.

Playbooki (szablony procedur)

Kroka-po-kroku: Data breach, Ransomware, DDoS, Insider threat, Cloud incident. Każdy playbook to lista akcji, nie improwizacja.

Integracja z SOC/SOAR

Jeśli macie SOC — zintegrujemy playbooki z Vostrem SIEM (Splunk, ELK, Wazuh). Jeśli potrzebujesz SOAR (Phantom, Demisto, Tines) — pomożemy wdrożyć automatyzację.

Tabletop exercises (ćwiczenia stołowe)

Jedno lub więcej ćwiczeń kryzysowych — simulacja realnych incydentów. Odkrywa luki w procedurach i buduje mięśni kryzysowych w zespole.

Jak pracujemy

Planowanie IR w 5 fazach

  1. 01

    Assessment — gdzie jesteś teraz?

    Audyt obecnego stanu — czy macie IR plan? Czy jest testowany? Jaki jest stan SOC/SIEM? Jaki infrastruktury macie? Interview z kluczowymi osobami.

  2. 02

    Projektowanie — co potrzebujesz?

    Draft planu — role, procedury, playbooki, definicje incydentów. Bazując na NIST IR i SANS IR. Scalowani do Waszych procesów i kultury.

  3. 03

    Wdrażanie — procedury, narzędzia, szkolenia

    Finalizacja dokumentów, wdrożenie playbooks w SOC (jeśli jest), szkolenia dla zespołu IR, ustanowienie kontaktów kryzysowych.

  4. 04

    Testowanie — tabletop exercise

    Simulacja incydentu — zespół pracuje przez procedury. Odkrywamy co działa, co nie. Raport z luk i rekomendacjami.

  5. 05

    Utrzymanie — review i updates

    Plan przeglądzany corocznie, aktualizowany do nowych zagrożeń i zmian infrastruktury. Coroczne tabletop exercises — mięśnie zostają silne.

FAQ

Najczęstsze pytania

Czy IR plan jest obowiązkowy?
NIST, DORA, NIS2 — wszystkie wymagają zdolności reagowania na incydenty. Dokładnie — formalnie nie zawsze "plan", ale zdolność. My budujemy zarówno plan jak i zdolność.
Ile czasu trwa zbudowanie pełnego IR planu?
Assessment: 2 tygodnie. Design: 2–3 tygodnie. Wdrażanie: 2–4 tygodnie. Razem 2–3 miesiące, zależy od wielkości i złożoności.
Czy potrzebujemy SOC, żeby mieć dobry IR plan?
Nie. Ale jeśli macie SOC — będziemy go integrować. Jeśli nie — playbooki będą manualne, ale równie skuteczne. SOC to optymalizacja, nie wymóg.
Jak często powinniśmy ćwiczyć (tabletop)?
Minimum raz w roku — coroczny tabletop. Jeśli macie duży apetyt na ryzyko — dwa razy w roku. Po incydencie — zawsze organizujemy post-mortem.
Czy IR plan zmienia się szybko?
Podstawa (role, eskalacja, definicje) zmienia się rzadko. Playbooki — aktualizujemy co rok lub gdy zmieni się infrastruktura. Zawsze są świeże.

Zacznij od oceny gotowości

30 minut, ocenimy gdzie jesteście teraz i co podejmiemy najpierw.

Umów konsultację Wróć do reagowania