Reklama
Subskrypcja
Subskrypcja
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Sprawdzam
Cyberbezpieczeństwo

Jak zbudować system bezpieczeństwa informacji w firmie?

1 maja 2008 15 min czytania
Aleksander Poniewierski
Mirosław Ryba
Odsłuchaj
Jak zbudować system bezpieczeństwa informacji w firmie?

Skuteczna ochrona najważniejszych informacji w firmie wymaga odpowiedzi na pytanie: co i jak chronić, żeby inwestycje w bezpieczeństwo były optymalne. Aby sprostać temu wyzwaniu, warto podejść kompleksowo do architektury bezpieczeństwa w przedsiębiorstwie. Jest to możliwe dzięki zastosowaniu metodyki SABSA.

Odpowiedzią na coraz głośniej artykułowane wołanie o poprawę bezpieczeństwa informacji w firmie może być metodyka architektury bezpieczeństwa Sherwood Applied Business Security Architecture (SABSA). SABSA jest kompleksowym spojrzeniem na kwestie bezpieczeństwa (w tym bezpieczeństwa informacji). Jednocześnie SABSA nie stoi w sprzeczności z dotychczas rozpowszechnionymi standardami, takimi jak ITIL/ISO 20000, ISO 27001/17799, Cobit, BS 15000/AS 8018. Rozwija je i dodaje im spójności.

Twórcy SABSA podkreślają, że jest to architektura braku zagrożeń, a nie system zarządzania bezpieczeństwem informacji. Oznacza to całościowe i szersze spojrzenie na bezpieczeństwo w firmie, uwzględniające stosowane mechanizmy ochrony wraz z określeniem ich wzajemnych powiązań biznesowych. Koncepcja SABSA pozwala na analizę kwestii bezpieczeństwa przez pryzmat biznesu. Zmusza do odpowiedzi na podstawowe pytanie, czym jest bezpieczeństwo dla organizacji – co to znaczy, że „jest bezpiecznie”. Jednocześnie dzięki kompleksowości podejścia SABSA pomaga wyodrębnić wszystkie obszary przedsiębiorstwa, które mogą mieć wpływ na jego bezpieczeństwo. Ale przede wszystkim SABSA zmusza zarządzających do umieszczenia decyzji w kontekście tej konkretnej organizacji, dzięki czemu mogą oni dostrzec, że niektóre rozwiązania w konkretnym przypadku są tylko stratą pieniędzy lub w nieuzasadniony sposób ograniczają działania biznesowe.

Całościowe podejście do bezpieczeństwa informacji

Jedną z najistotniejszych różnic między metodyką SABSA a powszechnie stosowanymi dotychczas koncepcjami jest całkowita zmiana filozofii myślenia o bezpieczeństwie, ze zmianą definicji bezpieczeństwa informacji włącznie. Dotychczas najczęściej definiowano je za pomocą trzech atrybutów: poufności, integralności i dostępności, co historycznie wywodzi się jeszcze z brytyjskiej normy British Standard 7799. Te trzy atrybuty są z jednej strony dość szerokie i mieszczą w sobie wiele aspektów, z drugiej strony są pojęciami technicznymi, interpretowanymi w różny sposób w zależności od profilu biznesowego decydentów.

Koncepcja SABSA pozwala na analizę kwestii bezpieczeństwa przez pryzmat biznesu.

SABSA ułatwia zrozumienie kwestii bezpieczeństwa poprzez odniesienie ich do faktycznych problemów, z którymi boryka się organizacja i stykają użytkownicy. Robi to, wychodząc od zrozumienia specyfiki działalności przedsiębiorstwa i zachodzących w nim procesów biznesowych, poprzez wskazanie, które spośród zdefiniowanych w SABSA 75 kryteriów bezpieczeństwa (atrybutów biznesowych) są dla firmy najistotniejsze. Pozwala to precyzyjnie określić kluczowe dla firmy aspekty bezpieczeństwa i znaleźć optymalne rozwiązania. Bo przecież nie dla każdej firmy zgodność z ISO 27001/17799 jest celem nadrzędnym, choć równocześnie ochrona informacji może być dla niej absolutną podstawą biznesu i mieć bezpośredni wpływ na jego ciągłość.

Analiza wszystkich aspektów działania firmy

Projektując architekturę bezpieczeństwa zgodnie z metodyką SABSA, należy odpowiedzieć sobie na sześć fundamentalnych pytań. Co chcemy chronić? Dlaczego, czyli jaka jest motywacja do podejmowania działań? Jak chcemy to robić? Kto wykonuje konkretne działania? Gdzie planujemy chronić? Kiedy podejmujemy działania?

Wiadomo, że odpowiedzi udzielone na powyższe pytania będą różne w zależności od tego, kogo spytamy. Zupełnie innych odpowiedzi udzieli członek zarządu, a innych – inżynier odpowiedzialny za konfigurację urządzeń sieciowych. Dlatego SABSA prezentuje model warstwowy, który odnosi się do wszystkich poziomów działalności przedsiębiorstwa. W modelu wyszczególniono 6 warstw i w każdej z nich konieczne jest udzielenie odpowiedzi na wszystkie pytania metodyki SABSA, czyli co, dlaczego, jak, kto, kiedy i gdzie. Pozwala to zaprojektować bezpiecznie funkcjonującą firmę, uzyskując odpowiedzi na coraz niższych poziomach jej działania.

Najwyższa warstwa – warstwa kontekstowa – obejmuje umiejscowienie bezpieczeństwa i jego rolę w modelu biznesowym firmy. Zarządzający muszą sobie uświadomić, które obszary są dla nich kluczowe i stanowią najwyższą wartość podlegającą ochronie. Na tym poziomie wspólnie z zarządem należy określić:

  • Co mamy zamiar chronić – czyli jakie aktywa są najważniejsze dla naszego biznesu? Może najważniejsza jest marka, reputacja, znaki towarowe, a może budynki i składy magazynowe? Czy dla naszej organizacji, działającej w otaczających nas realiach rynkowych, ważne są posiadane informacje? Dopiero gdy te kwestie są jednoznacznie sprecyzowane, można zastanawiać się:

  • Dlaczego te właśnie dobra mamy zamiar chronić – czyli jakie rodzaje ryzyka biznesowego kryją się za wskazanymi aktywami i celami przedsiębiorstwa? Czy chcemy chronić się przed nadużyciami ze strony klientów? Czy warunkiem sine qua non naszego sukcesu jest ciągłość działania przedsiębiorstwa? A może to regulator narzuca nam pewne formy funkcjonowania? Wiedząc, dlaczego musimy inwestować w ochronę, możemy dyskutować z zarządem:

  • Jak mamy się chronić – czyli w które ważne procesy biznesowe chcemy wpisać idee bezpieczeństwa? Dopiero ta wiedza pozwoli nam określić:

  • Kto ma zajmować się ochroną – czyli gdzie w strukturze firmy należy umieścić odpowiedzialność za funkcję bezpieczeństwa? Czy tworzymy dedykowaną strukturę organizacyjną? Zlecamy odpowiedzialność za bezpieczeństwo firmie outsourcingowej? A może chcemy przetransferować ją na klientów? Teraz trzeba zdecydować:

  • Gdzie umieścić ochronę – czyli gdzie zamierzamy rozmieścić struktury odpowiadające za bezpieczeństwo? Czy tworzymy jedno centrum kompetencyjne dla całej organizacji, czy rozpraszamy odpowiedzialność za bezpieczeństwo po wszystkich oddziałach? A może wpisujemy w model działania naszej firmy filozofię pracy zdalnej (teleworking)? I wreszcie:

  • Kiedy chronić – czyli w jaki sposób zintegrować funkcje bezpieczeństwa z przyjętym modelem biznesowym firmy? Kiedy przeprowadzać działania kontrolne, tak żeby były one możliwie transparentne i nie zakłócały jej funkcjonowania? Wreszcie jak wpisać bezpieczeństwo w łańcuch wartości firmy? Zadając te same pytania, poddajemy analizie kolejne warstwy modelu SABSA, angażując coraz bardziej wyspecjalizowanych pracowników firmy:

  • warstwę koncepcyjną – opisującą strategię funkcjonowania bezpieczeństwa w organizacji, czyli sposób zapewnienia realizacji celów określonych w warstwie kontekstowej;

  • warstwę logiczną – zawierającą opis wszystkich istotnych elementów, niezbędnych do funkcjonowania mechanizmów bezpieczeństwa, takich jak modele organizacyjne, polityka, szkolenia czy projekty;

  • warstwę fizyczną – opisującą procedury, mechanizmy kontrolne, platformę techniczną bezpieczeństwa i infrastrukturę sieciową;

  • warstwę komponentową – obejmującą bezpośrednie narzędzia bezpieczeństwa (standardy, protokoły i certyfikaty) oraz konkretne technologie i aplikacje;

  • warstwę operacyjną – przenikającą wszystkie wcześniejsze pięć warstw, tak by uzyskać ich odzwierciedlenie w codziennym operacyjnym funkcjonowaniu organizacji (bezpieczeństwo aplikacji, sieci, pomoc techniczna)Indeks górny 1.

Zestawienie tych sześciu warstw i kluczowych pytań, zadawanych podczas ich analizy, tworzy macierz przedstawiającą wszystkie aspekty bezpieczeństwa w firmie. Została ona przedstawiona w ramce ► Architektura bezpieczeństwa według SABSA.

Jak zbudować system bezpieczeństwa informacji w firmie?

Podniesienie problemu bezpieczeństwa na poziom zarządu

SABSA posiada zaletę, którą z pewnością docenią specjaliści ds. bezpieczeństwa w firmie (Chief Security Officers – CSOs). Dotąd bezpieczeństwo było ich domeną i każda próba rozmowy z zarządem na temat aspektów finansowych związanych z bezpieczeństwem prowadziła do dyskusji o zasadności kolejnego wydatku. CSOs mieli więc duże trudności z wykazaniem sensowności inwestycji w bezpieczeństwo. Zazwyczaj bowiem najwyższe władze w firmie niechętnie wydają pieniądze na coś, co nie jest bezpośrednią inwestycją w główny obszar działalności. Z badania Ernst & Young wynika, że w 33% firm na świecie kwestie bezpieczeństwa NIGDY nie są dyskutowane na poziomie zarządu, natomiast w przypadku 76% firm są one raz w miesiącu przedmiotem dyskusji z przedstawicielami IT. Osadzenie bezpieczeństwa w kontekście celów biznesowych zmienia tę sytuację. Korzystając z metodyki SABSA, CSOs mogą łatwo pokazać osobom decyzyjnym powody, dla których należy wdrożyć rozwiązania z zakresu bezpieczeństwa. Prezentując poszczególne warstwy architektury SABSA, wskazują, w których momentach elementy bezpieczeństwa wpisują się w realizowane przez organizację procesy biznesowe.

Dzięki spójnemu obrazowi, łączącemu aspekty biznesu z aspektami bezpieczeństwa, członkowie zarządu widzą kontekst biznesowy całego przedsięwzięcia.

Przekonanie zarządu, że należy zapewnić firmie bezpieczeństwo, pozostaje zadaniem trudnym, jednak możliwość udowodnienia jednoznacznej, klarownej zależności pomiędzy biznesem a bezpieczeństwem sprawia, że powstaje platforma porozumienia. Pozwala ona na merytoryczną dyskusję nie o kosztach, tylko o elementach bezpieczeństwa, które mogą przyczynić się do wzrostu wartości świadczonych przez firmę usług.

SABSA w Polsce

SABSA nie jest jeszcze powszechnie stosowanym podejściem do bezpieczeństwa w polskich firmach. Tylko 5 osób w Polsce zdało wszystkie wymagane egzaminy i uzyskało certyfikat SABSA Chartered Foundation (SCF), potwierdzający znajomość tej metodyki. Polski oddział Ernst & Young posiada już jednak praktyczne doświadczenia z zakresu opracowywania architektur bezpieczeństwa opartej na SABSA i pozostaje również w stałym kontakcie z Davidem Lynasem. Praktycznej stosowalności metodyki SABSA na Polskim rynku dowodzi fakt, że dwie spośród największych organizacji w Polsce rozpoczęły działania zmierzające do wdrożenia architektury bezpieczeństwa w oparciu o metodykę SABSA. Firmami tymi są Polski Koncern Naftowy Orlen oraz bank PKO BP. W obu tych organizacjach ważnym motywem przy podejmowaniu takiej decyzji było dążenie do wkomponowania bezpieczeństwa w model działalności przedsiębiorstwa, czyli zmiana sposobu myślenia – odejście od koncepcji zabezpieczania na rzecz budowy bezpiecznego biznesu.

„Punktem wyjścia przy budowie architektury bezpieczeństwa Orlenu było opracowanie jej założeń według metodyki SABSA, w czym wsparli nas konsultanci firmy Ernst & Young. Spowodowało to zupełną zmianę sposobu myślenia o bezpieczeństwie w spółce, a jednocześnie doprowadziło do sytuacji, w której nieefektywności w funkcjonowaniu niektórych przyjętych rozwiązań bezpieczeństwa zostały zidentyfikowane i opisane. Na podstawie opracowanych założeń architektury zarekomendowano rozdział funkcji bezpieczeństwa w koncernie oraz określono strategiczną rolę Biura Kontroli i Bezpieczeństwa. Pozwoliło to na opracowanie jego zadań i struktury organizacyjnej oraz docelowego zakresu funkcji bezpieczeństwa. Nowa koncepcja architektury bezpieczeństwa musi teraz zostać zaprezentowana i przedstawiona do zatwierdzenia zarządowi, a następnie skierowana do dalszego wdrożenia. Docelowo ma ona rozszerzyć się również na zagraniczne spółki, należące do koncernu, aby objąć jednolitą ochroną całą organizację” – mówi Krzysztof Paczóski, dyrektor Biura Kontroli i Bezpieczeństwa, PKN Orlen.

„Biuro Kontroli i Bezpieczeństwa zdecydowało się na projektowanie architektury bezpieczeństwa według metodyki SABSA ze względu na kompleksowe ujęcie w niej zagadnienia bezpieczeństwa w biznesie oraz precyzyjne określenie kompetencji poszczególnych komórek organizacyjnych. W swojej istocie pozwala ona na efektywne zintegrowanie wszystkich aspektów bezpieczeństwa, zarówno materialnych, jak i niematerialnych, które mają wpływ na wizerunek koncernu na zewnątrz. Umożliwia również określanie zasad i procedur współpracy z innymi oddziałami firmy, w tym ze spółkami zagranicznymi. Nowatorskie podejście, jakie oferuje metodyka SABSA, było dla Biuro Kontroli i Bezpieczeństwa ważnym atutem przy wyborze podejścia do tych zagadnień. Warto uświadomić sobie, że w specyficznej działalności, jaką w kraju i za granicą prowadzi Orlen, tradycyjne rozwiązania, mające zastosowanie w innych sektorach, mogą się nie sprawdzić. Uważam, że metodyka SABSA pozwoli w przyszłości na dostosowywanie rozwiązań bezpieczeństwa do zmieniających się wymogów całej grupy kapitałowej” – wyjaśnia Krzysztof Paczóski.

Jak zbudować system bezpieczeństwa informacji w firmie?

W nowoczesnej firmie nie ma już miejsca dla strategii, która ogranicza działalność biznesu w celu zwiększania poziomu bezpieczeństwa.

Z kolei bank PKO BP przed zastosowaniem metodyki SABSA miał już za sobą wdrożenia wielu standardów oraz norm bezpieczeństwa. Konieczne okazało się jednak ich zintegrowanie w spójne ramy architektury bezpieczeństwa oraz lepsze powiązanie z celami biznesowymi. Jak wyjaśnia Andrzej SadłowskiIndeks górny 2, dyrektor zarządzający kierujący Pionem Bezpieczeństwa i Zarządzania Gotówką PKO BP, bank wdrożył już zarządzanie procesowe w pionie, potwierdzając to certyfikatem ISO 9001:2000. Następnie PKO BP, jako pierwszy bank w Polsce, uzyskał certyfikat ISO 27001:2005 /BS 7799, potwierdzający zgodność Systemu Zarządzania Bezpieczeństwem Informacji z tą normą. Obecnie przygotowuje się do certyfikacji na zgodność z normą BS 25999‑2, odnoszącą się do procesu zarządzania ciągłością działania.

„Praktyka wskazuje, że wybiórcze traktowanie obszarów bezpieczeństwa prowadzi do inwestycji w mechanizmy zabezpieczające, które poprawiają bezpieczeństwo organizacji. Może jednak równocześnie prowadzić do ponoszenia nadmiernych kosztów, zarówno w ujęciu finansowym, jak i etatowym. Dlatego przy obecnym poziomie zabezpieczenia działalności Banku PKO BP, nadszedł czas, żeby podjąć działania skierowane na dalsze zoptymalizowanie systemu bezpieczeństwa naszej organizacji. Z jednej strony nie chcemy przekreślać lat pracy poświęconych na budowanie obecnego systemu bezpieczeństwa banku oraz znacznych kwot wydanych na jego wdrożenie, z drugiej jednak strony chcemy zapewnić całościowe i kompletne podejście do bezpieczeństwa. Kolejnym krokiem jest takie zredefiniowanie celów działania pionu bezpieczeństwa by skupić się na bezpieczeństwie produktów oferowanych przez bank oraz całościowo zarządzaniu ciągłością działania organizacji” – wyjaśnia Andrzej Sadłowski. „Rozwiązaniem, które pozwoli nam na osiągnięcie tych dwóch celów jest metodyka SABSA, która daje nam odpowiedź na pytanie, czym tak naprawdę ma być kompleksowo pojmowane bezpieczeństwo w przypadku naszej organizacji. Jednocześnie należy pamiętać, że w nowoczesnej firmie nie ma już miejsca dla podejścia, które ogranicza działalność biznesu w celu zwiększania poziomu bezpieczeństwa. Nowoczesne myślenie wymaga, aby idee bezpieczeństwa wbudować w filozofię działania organizacji oraz sprawić, że bezpieczeństwo będzie kołem zamachowym dla biznesu. Zgodnie z nowo zatwierdzoną strategią biznesową, zdecydowaliśmy się podążać tą drogą korzystając z metodyki SABSA. Tylko takie podejście może zapewnić organizacji sukces na współczesnym trudnym i konkurencyjnym rynku usług bankowych” – dodaje Andrzej Sadłowski.

***

Czy wykorzystanie metodyki SABSA przybliża firmy do rozwiązania problemu ochrony danych? Dzięki tej architekturze menedżerowie mogą przestać mówić o bezpieczeństwie informacji, a zacząć myśleć w kategoriach biznesu bezpiecznego. Takie podejście, zgodne z ideą ładu bezpieczeństwa informacyjnego, jest coraz bardziej doceniane na świecie, o czym świadczy fakt, że SABSA została wykorzystana w wielu organizacjach o zasięgu globalnym, jak również zatwierdzona jako obowiązujący standard przez rząd Singapuru oraz Ministerstwo Obrony Wielkiej Brytanii, czyli kraju, w którym stworzono British Standard 7799.

  1. SABSA White Paper. Enterprise Security Architecture, John Sherwood, Andrew Clark, David Lynas.

  2. Andrzej Sadłowski jako jedna z pięciu osób w Polsce zdał egzaminy i otrzymał certyfikat SABSA Chartered Foundation, potwierdzający znajomość metodyki SABSA – przyp. red.

O autorach
Aleksander Poniewierski

Mirosław Ryba

Tematy
Cyberbezpieczeństwo Digitalizacja Kompetencje i szkolenia Strategia IT Zarządzanie finansami i ryzykiem Zarządzanie i przywództwo IT
Spis treści
  1. Całościowe podejście do bezpieczeństwa informacji
  2. Analiza wszystkich aspektów działania firmy
  3. Podniesienie problemu bezpieczeństwa na poziom zarządu
  4. SABSA w Polsce

Może Cię zainteresować

Rynki kapitałowe
Marki luksusowe pod presją geopolityki

W połowie kwietnia rynki kapitałowe zelektryzowała informacja o tym, że francuski gigant LVMH stracił tytuł najcenniejszej firmy luksusowej na świecie na rzecz mniejszego, ale bardziej ekskluzywnego Hermèsa. Czy detronizacja jednej francuskiej marki przez drugą (producenta torebek Louis Vuitton przez producenta torebek Birkin) to rzeczywiście zdarzenie, którym powinny się ekscytować europejskie rynki? I co ta zmiana oznacza dla polskich producentów marek premium?

 

Paweł Kubisiak 25 kwietnia 2025
Kultura organizacyjna
Dobre relacje w firmie zaczynają się od dobrze dobranych słów

Gdy codzienna komunikacja sprowadza się do skrótów myślowych, domysłów i niejasnych sygnałów, łatwo o spadek zaangażowania, narastające napięcia i chaos informacyjny. Coraz więcej organizacji dostrzega, że to właśnie język – sposób, w jaki mówimy do siebie w pracy – buduje (lub rujnuje) atmosferę oraz relacje w zespołach. O tym, jak świadomie kształtować kulturę organizacyjną poprzez komunikację, opowiada Joanna Tracewicz, Senior Content Strategy Manager w rocketjobs.pl i justjoin.it, a także współautorka poradnika Nie mów do mnie ASAP! O spoko języku w pracy.  Rozmawia Paulina Chmiel-Antoniuk.

Joanna Tracewicz, Paulina Chmiel-Antoniuk 25 kwietnia 2025
AI w medycynie predykcyjnej – jak wearables zmieniają opiekę
SZTUCZNA INTELIGENCJA
Jak AI i urządzenia noszone rewolucjonizują medycynę

W ostatnich latach inteligentne urządzenia noszone (wearables) przeszły drogę od prostych krokomierzy do zaawansowanych narzędzi monitorujących stan zdrowia. Dzięki sztucznej inteligencji stają się one nie tylko rejestratorami danych, lecz także systemami predykcyjnymi, które mogą wspierać diagnostykę i profilaktykę chorób. W świecie biznesu i zarządzania zdrowiem pracowników technologia ta może odegrać kluczową rolę.
Według raportu Think Tank SGH wartość globalnego rynku AI w ochronie zdrowia wzrośnie z 32,3 miliarda dolarów w 2024 roku do 208,2 miliarda dolarów w 2030 roku, co oznacza średnioroczny wzrost na poziomie 36,4%. Ta dynamiczna ekspansja wskazuje na rosnące znaczenie technologii AI i wearables jako ważnych elementów nowoczesnej opieki medycznej.

Gabriela Targońska 24 kwietnia 2025
Kompetencje przywódcze
Strategiczna samotność – klucz do autentycznego przywództwa

W dynamicznym współczesnym świecie biznesu, w którym dominują informacje dostarczane w trybie natychmiastowym, umiejętność samodzielnego, logicznego i krytycznego myślenia stała się jedną z najcenniejszych kompetencji liderów. Koncepcja ta, przedstawiona przez Williama Deresiewicza, byłego profesora Uniwersytetu Yale, zakłada, że prawdziwe przywództwo nie rodzi się wśród zgiełku opinii i impulsów zewnętrznych, lecz w przestrzeni samotności i skupienia.

Redakcja MIT SMRP 23 kwietnia 2025
Skup się na fanach marki. Oferta skierowana do wszystkich nie działa!
Multimedia
MARKETING I SPRZEDAŻ
Skup się na fanach marki. Oferta do wszystkich nie działa!

W spolaryzowanej kulturze pogoń za rynkiem masowym i kierowanie oferty do wszystkich są z góry skazane na porażkę. Najlepszym sposobem na osiągnięcie sukcesu marki jest sprzymierzenie się z subkulturą, która ją pokocha.

Marcus Collins 22 kwietnia 2025
GEOPOLITYKA
Cła, przeceny i okazje: Jak zarobić, gdy inni panikują lub tweetują

Trump tweetuje, Wall Street reaguje nerwowo, a inwestorzy znów sprawdzają, czy gdzieś nie pozostawili Planu B. Gdy rynek wpada w histerię, pojawia się pokusa: a może jednak warto „kupić w tym dołku”? W tym tekście sprawdzamy, czy inwestowanie w kontrze do tłumu to genialna strategia na czasy ceł Trumpa, banów na Chiny i politycznych rollercoasterów — czy raczej przepis na ból głowy i portfela. Nie wystarczy chłodna kalkulacja, przyda się też stalowy żołądek.

Paweł Kubisiak 22 kwietnia 2025
• Jak generować wartość z AI dzięki małym transformacjom w biznesie - Webster
Premium
Transformacja organizacyjna
Jak generować wartość z AI dzięki małym transformacjom w biznesie

Liderzy skutecznie wykorzystują duże modele językowe, stopniowo minimalizując ryzyko i tworząc solidne fundamenty pod przyszłe transformacje technologiczne, dzięki czemu generują realną wartość dla swoich organizacji.

Niespełna dwa lata temu generatywna sztuczna inteligencja (GenAI) trafiła na czołówki stron gazet, zachwycając swoimi niezwykłymi możliwościami: mogła prowadzić rozmowy, analizować ogromne ilości tekstu, dźwięku i obrazów, a nawet tworzyć nowe dokumenty i dzieła sztuki. To najszybsze w historii wdrożenie technologii przyciągnęło ponad 100 mln użytkowników w ciągu pierwszych dwóch miesięcy, a firmy z różnych branż rozpoczęły eksperymenty z GenAI. Jednak pomimo dwóch lat intensywnego zainteresowania ze strony kierownictwa i licznych prób wdrożeniowych nie widać wielkoskalowych transformacji biznesowych, które początkowo przewidywano. Co się stało? Czy technologia nie spełniła oczekiwań? Czy eksperci się pomylili, wzywając do gigantycznych zmian? Czy firmy były zbyt ostrożne? Odpowiedź na te pytania brzmi: i tak, i nie. Generatywna sztuczna inteligencja już teraz jest wykorzystywana w wielu firmach, ale nie – jako lokomotywa radykalnej transformacji procesów biznesowych. Liderzy biznesu znajdują sposoby, by czerpać realną wartość z dużych modeli językowych (LLM), nie modyfikując całkowicie istniejących procesów. Dążą do małych zmian (small t) stanowiących fundament pod większe przekształcenia, które dopiero nadejdą. W tym artykule pokażemy, jak robią to dzisiaj i co możesz zrobić, aby tworzyć wartość za pomocą generatywnej sztucznej inteligencji.

Melissa Webster, George Westerman 17 kwietnia 2025
Premium
BIZNES I TECHNOLOGIE
Polski przemysł na rozdrożu

Stoimy przed fundamentalnym wyborem: albo dynamicznie przyspieszymy wdrażanie automatyzacji i robotyzacji, co sprawi, że staniemy się aktywnym uczestnikiem czwartej rewolucji przemysłowej, albo pogodzimy się z perspektywą erozji marż pod wpływem rosnących kosztów operacyjnych i pogłębiającego się strukturalnego niedoboru wykwalifikowanej siły roboczej.

Jak alarmują prognozy Polskiego Instytutu Ekonomicznego, do 2030 r. w samej Europie może zabraknąć nawet 2,1 mln wykwalifikowanych pracowników, co czyni automatyzację nie jedną z możliwości, lecz strategiczną koniecznością. Mimo że globalnie liczba robotów przemysłowych przekroczyła już 4,2 mln jednostek, a w Europie w 2023 r. wdrożono rekordowe 92,4 tys. nowych robotów, Polska wciąż pozostaje w tyle. Nasz wskaźnik gęstości robotyzacji, wynoszący zaledwie 78 robotów na 10 tys. pracowników przemysłowych, znacząco odbiega od europejskiego lidera – Niemiec (397 robotów na 10 tys. pracowników), czy globalnego pioniera – Korei Południowej (tysiąc robotów na 10 tys. pracowników). W Scanway – firmie, która z sukcesem łączy technologie rozwijane dla sektora kosmicznego z potrzebami przemysłu – jesteśmy przekonani, że przyszłość konkurencyjności leży w inteligentnym wykorzystaniu danych, zaawansowanej automatyzacji opartej na AI oraz strategicznej gotowości do wprowadzania zmian technologicznych. Czy jednak zaawansowana wizja maszynowa napędzana przez sztuczną inteligencję może się stać katalizatorem, który pozwoli sprostać wyzwaniom i odblokować uśpiony potencjał innowacyjny polskiej gospodarki?

Radosław Charytoniuk, Paulina Kostro 17 kwietnia 2025
Premium
SZTUCZNA INTELIGENCJA
Gdy projekt wymyka się spod kontroli

Polskie firmy technologiczne coraz częściej realizują złożone zlecenia dla międzynarodowych gigantów. Jednak nawet najlepiej przygotowany zespół może przy takim projekcie natknąć się na nieoczekiwane przeszkody. Przykład firmy Esysco wdrażającej szyfrowanie poczty e-mail dla jednego z największych niemieckich banków pokazuje, jak szybko może runąć precyzyjnie zaplanowany harmonogram oraz jak radzić sobie z nieprzewidywalnymi wyzwaniami.

Polskie firmy technologiczne coraz częściej zdobywają międzynarodowe kontrakty i realizują projekty, które jeszcze niedawno były zarezerwowane wyłącznie dla międzynarodowych rywali. Dzięki temu zdobywają zagraniczne rynki, osiągając imponujące wyniki eksportu usług IT, który w 2023 r. przekroczył 16 mld dolarów. W ostatniej dekadzie przychody branży wzrosły niemal czterokrotnie, a wartość eksportu – aż 7,5 razy, dzięki czemu polski sektor IT stał się motorem rodzimego eksportu. Kluczowymi kierunkami ekspansji są Stany Zjednoczone, Niemcy i Wielka Brytania, a wśród najsilniejszych obszarów znajdują się fintech, cyberbezpieczeństwo, sztuczna inteligencja, gry oraz rozwój oprogramowania.

Polska wyróżnia się w regionie Europy Środkowo-Wschodniej jako największy eksporter usług IT, przewyższając Czechy czy Węgry, a pod względem jakości specjalistów IT zajmuje trzecie miejsce na świecie. Jednak do pełnego wykorzystania tego potencjału konieczne jest pokonanie barier takich jak ograniczony dostęp do kapitału na ekspansję, rosnące koszty pracy oraz niedostateczne doświadczenie w międzynarodowej sprzedaży i marketingu. To jednak nie wszystko. Przy współpracy z międzynarodowymi gigantami trzeba również pamiętać o nieznanej polskim wdrożeniowcom skali, złożoności i nieprzewidywalności towarzyszącym tak wielkim projektom. Dobrym przykładem może być nasze wdrożenie dla jednego z największych niemieckich banków, z którym podpisaliśmy kontrakt na wprowadzenie systemu zabezpieczeń e-maili dla ponad 300 tys. użytkowników rozsianych po całym świecie. Technologicznie byliśmy gotowi, ale rzeczywistość szybko zweryfikowała nasze plany.

Bartosz Witkowski, Paweł Kubisiak 17 kwietnia 2025
Premium
Automatyzacja i robotyzacja
Praktyczny poradnik kreowania wartości z dużych modeli językowych

Gdy w 2022 r. pojawiły się powszechnie dostępne duże modele językowe (LLM), ich potężna zdolność do generowania tekstu na żądanie zapowiadała rewolucję w produktywności. Jednak mimo że te zaawansowane systemy AI potrafią tworzyć płynny tekst w języku naturalnym i komputerowym, to są one dalekie od doskonałości. Mogą halucynować, wykazywać się logiczną niespójnością oraz produkować treści nieadekwatne lub szkodliwe.

Chociaż technologia ta stała się powszechnie dostępna, wielu menedżerów nadal ma trudności z rozpoznawaniem przypadków użycia LLM-ów, w których poprawa produktywności przewyższa koszty i ryzyka związane z tymi narzędziami. Potrzebne jest bardziej systematyczne podejście do wykorzystywania modeli językowych, tak aby uefektywnić procesy biznesowe, a jednocześnie kontrolować słabe strony LLM-ów. Proponuję trzy kroki ułatwiające osiągnięcie tego celu. Po pierwsze, należy rozłożyć proces na mniejsze zadania. Po drugie, trzeba ocenić, czy każde zadanie spełnia tzw. równanie kosztów GenAI, które szczegółowo wyjaśnię w tym artykule. Jeśli ten warunek zostanie spełniony, należy uruchomić projekt pilotażowy, iteracyjnie oceniać jego wyniki oraz na bieżąco wprowadzać zmiany w celu poprawy rezultatów.

Kluczowe w tym podejściu jest pełne zrozumienie, w jaki sposób mocne i słabe strony modeli językowych odpowiadają specyfice danego zadania; jakie techniki umożliwiają ich skuteczną adaptację w celu zwiększenia wydajności; oraz jak te czynniki wpływają na bilans kosztów i korzyści – a także na ocenę ryzyka i potencjalnych zysków – związanych z wykorzystaniem modeli językowych do podnoszenia efektywności realizowanych działań.

Rama Ramakrishnan 17 kwietnia 2025
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!