Przejdź do głównej treści
Wywiady

Poradnik dotyczący cyberbezpieczeństwa: spostrzeżenia i wskazówki od Niela Harpera, dyrektora ds. bezpieczeństwa informacji w firmie Doodle

Czas czytania: 6 minut
Franchesca Tan
Franchesca Tan

Zaktualizowano: 30 cze 2026

A portrait of Doodle's CISO Niel Harper

W miarę jak nasze życie coraz bardziej splata się ze światem cyfrowym, potrzeba solidnego cyberbezpieczeństwa nigdy nie była większa. Od ochrony wrażliwych danych firmowych po zabezpieczanie naszych danych osobowych – stawka nigdy nie była wyższa.

Rozmawialiśmy z Niel Harper, dyrektora ds. bezpieczeństwa informacji i inspektora ochrony danych w firmie Doodle, aby lepiej zrozumieć tę nieustannie zmieniającą się sytuację. Niedawno zdobył nagroda dla doświadczonego specjalisty przyznana przez ISC2, wiodącej organizacji non-profit specjalizującej się w szkoleniach i certyfikacjach z zakresu cyberbezpieczeństwa. Na początku tego roku pojawił się on również w reklamie firmy Lacework opublikowanej w „New York Times”, gdzie wystąpił jako wybitny lider w dziedzinie cyberbezpieczeństwa.

W tym wywiadzie porozmawiamy o jego dotychczasowej karierze i roli w firmie Doodle, trendach w dziedzinie cyberbezpieczeństwa, sposobach zabezpieczania danych klientów oraz o tym, jak małe i średnie przedsiębiorstwa (MŚP) mogą chronić się w tym nieustannie zmieniającym się środowisku.

A portrait of Doodle's CISO Niel Harper

Poznajcie Niela Harpera, dyrektora ds. bezpieczeństwa informacji (CISO) w firmie Doodle

Opowiedz nam o sobie i o tym, co zainspirowało Cię do podjęcia kariery w dziedzinie cyberbezpieczeństwa.

Inspiracją do podjęcia kariery w dziedzinie cyberbezpieczeństwa było moje zainteresowanie tworzeniem odpornych sieci i systemów informatycznych.

Moja kariera rozpoczęła się około 20 lat temu, kiedy uzyskałem dyplom uczelni wyższej w dziedzinie systemów informatycznych ze specjalizacją w telekomunikacji. To właśnie tam zapoznałem się z tą dziedziną i odbyłem praktyczne szkolenie z wdrażania komercyjnych usług w ramach cyfrowej sieci usług zintegrowanych (ISDN).

Moja pierwsza prawdziwa praca była w firmie Cable & Wireless, gdzie pełniłem funkcję technika telekomunikacyjnego i zajmowałem się bieżącą działalnością dostawcy usług internetowych na Barbadosie. Ostatnią funkcją, jaką pełniłem wyłącznie w branży telekomunikacyjnej, było stanowisko kierownika ds. eksploatacji sieci w firmie AT&T Wireless, gdzie kierowałem zespołem odpowiedzialnym za eksploatację i konserwację sieci komórkowej GSM.

W 2002 roku uzyskałem swój pierwszy certyfikat związany z cyberbezpieczeństwem – Certified Information Systems Auditor (CISA) – a w następnym roku rozpocząłem pracę w branży cyberbezpieczeństwa jako kierownik ds. audytu wewnętrznego i audytu ICT u dostawcy usług telekomunikacyjnych na Antylach Holenderskich.

Przenieśmy się do roku 2022, kiedy to dołączyłem do firmy Doodle i od tamtej pory kieruję zespołami ds. operacji IT, bezpieczeństwa i zgodności z przepisami.

Najpilniejsze zagrożenia dla cyberbezpieczeństwa

Jakie są Pana zdaniem najpilniejsze zagrożenia dla cyberbezpieczeństwa, z jakimi borykają się obecnie przedsiębiorstwa?

Oprogramowanie typu ransomware — rodzaj złośliwego oprogramowania, które blokuje lub szyfruje dane ofiary i żąda zapłaty okupu w zamian za przywrócenie dostępu — nadal stanowi poważne zagrożenie. Stało się ono jednak jeszcze bardziej powszechne, ponieważ cyberprzestępcy skupiają swoją uwagę na cyberwymuszeniach.

Obecna sytuacja geopolityczna przyczynia się również do tego, że organizacje coraz częściej stają się celem ataków ze strony bardzo doświadczonych i dobrze zorganizowanych przeciwników wspieranych przez państwa.

Ponadto wiele firm nadal nie jest przygotowanych do radzenia sobie z zagrożeniami ze strony podmiotów zewnętrznych (takimi jak ataki na łańcuch dostaw).

Wreszcie, wykorzystanie generatywnej sztucznej inteligencji zarówno przez pracowników, jak i zewnętrznych sprawców zagrożeń stanowi zarówno szansę, jak i zagrożenie, jednak wiele przedsiębiorstw wciąż nie rozumie w pełni związanych z tym konsekwencji.

Nie jest wymagana karta kredytowa

Zapewnienie bezpieczeństwa danych naszych klientów

W jaki sposób firma Doodle zapewnia bezpieczeństwo danych swoich klientów, zwłaszcza w odniesieniu do swoich produktów?

W Doodle nie polegamy na narzędziach bezpieczeństwa jako substytutach solidnych mechanizmów zabezpieczeń. Skupiamy się przede wszystkim na prawidłowym wdrożeniu podstaw cyberbezpieczeństwa — między innymi zarządzania tożsamością i dostępem (IAM), zarządzania konfiguracją, zarządzania zasobami, zarządzania podatnościami, testów penetracyjnych oraz zarządzania ryzykiem związanym z podmiotami zewnętrznymi. Wszelkie narzędzia są nakładane na te podstawy w celu wsparcia koordynacji, automatyzacji i wielopoziomowej ochrony.

W firmie panuje nastawienie kierownictwa na ryzyko, a ryzyko cybernetyczne jest stałym tematem poruszanym na posiedzeniach zarządu i kadry kierowniczej oraz kluczowym elementem ram zarządzania ryzykiem przedsiębiorstwa (ERM). Firma Doodle przechodzi również coroczne audyty SOC 2 typu II, Cyber Verify oraz zgodności z RODO.

Budowanie kultury świadomości w zakresie bezpieczeństwa

Co jest kluczem do stworzenia kultury świadomości bezpieczeństwa wśród pracowników?

Najważniejszym aspektem budowania kultury świadomości bezpieczeństwa jest silny „sygnał z góry”. Świadomość bezpieczeństwa powinna wychodzić od kierownictwa, które powinno wywierać wpływ na kulturę firmy i wytyczać kierunki działania swoich zespołów.

Na przykład w firmie Doodle zarząd i kierownictwo wyższego szczebla są świadomi potencjalnego wpływu zagrożeń cybernetycznych na różne obszary działalności firmy i odpowiednio do tego dostosowują swoje działania. Ich wsparcie w zakresie przejmowania odpowiedzialności za ryzyko, skutecznego komunikowania zagrożeń, zapewniania odpowiedniego finansowania oraz dawania dobrego przykładu ma kluczowe znaczenie dla utrwalenia właściwych praktyk bezpieczeństwa wśród pracowników.

Oferujemy również dynamiczny program szkoleń z zakresu świadomości bezpieczeństwa, który wykorzystuje naukę online, regularne porady i wskazówki, symulacje ataków phishingowych, ćwiczenia symulacyjne oraz szkolenia dostosowane do konkretnych stanowisk.

A visual of a woman working and some cybersecurity icons

Nowe trendy w dziedzinie cyberbezpieczeństwa

Które z pojawiających się trendów lub technologii w dziedzinie cyberbezpieczeństwa budzą w Tobie największy entuzjazm lub obawy? 

Szczególnie cieszy mnie ogromne zainteresowanie, jakim cieszy się kwestia budowania potencjału w dziedzinie cyberbezpieczeństwa. Obserwujemy, jak znaczne zasoby są przeznaczane na wzmacnianie potencjału poszczególnych państw, aby mogły one lepiej chronić się przed zagrożeniami internetowymi.

Muszę wyrazić uznanie dla kluczowych podmiotów, takich jak Globalne Forum Ekspertów ds. Cyberbezpieczeństwa (GFCE), Bank Światowy, Unia Europejska, Światowe Forum Ekonomiczne, Organizacja Państw Amerykańskich (OAS), Instytut Cyberpokoju i inne, za ich działania w tej dziedzinie.

Wśród zagrożeń, które obecnie najbardziej zaprzątają mi głowę, znajdują się: ryzyko związane z dużymi modelami językowymi (LLM) i sztuczną inteligencją, Internetem rzeczy (np. inteligentnymi urządzeniami, samochodami podłączonymi do sieci, inteligentnymi miastami itp.), kryptografią odporną na ataki kwantowe oraz cyberwojną i cyberszpiegostwem sponsorowanymi przez państwa.

Nie jest wymagana karta kredytowa

Wnioski i porady dla firm

Jaką radę dałby Pan/Pani firmom, a zwłaszcza małym i średnim przedsiębiorstwom, aby lepiej chroniły swoje dane i utrzymywały zaufanie klientów?

Małe i średnie przedsiębiorstwa muszą mieć w swoich szeregach osobę na szczeblu kierowniczym i operacyjnym, która rozumie ryzyko cybernetyczne i traktuje je jako strategiczne ryzyko biznesowe. Mam tu na myśli to, że odpowiedzialności za cyberbezpieczeństwo nie należy przekazywać kierownikowi działu IT ani administratorowi systemu, ponieważ jest to coś znacznie więcej niż tylko ryzyko technologiczne.

Opracowaniem i wdrożeniem planu działania firmy w zakresie cyberbezpieczeństwa powinna zająć się wykwalifikowana i doświadczona osoba. Jeśli w firmie brakuje specjalisty o odpowiednich kompetencjach, warto rozważyć zatrudnienie wirtualnego lub zatrudnionego na zasadzie frakcyjnej dyrektora ds. bezpieczeństwa informacji (CISO), który będzie nadzorował zarządzanie ryzykiem cybernetycznym.

Jak wspomniano w poprzednim komentarzu, organizacje nie mogą traktować zaawansowanych narzędzi jako panaceum ani substytutu skutecznego cyberbezpieczeństwa. Muszą sporządzić wykaz swoich krytycznych systemów i danych („klejnotów korony”) oraz wdrożyć rygorystyczne środki kontroli dostosowane do znaczenia tych systemów i zasobów informacyjnych dla działalności firmy.

Dziękuję Ci, Niel, za podzielenie się swoimi spostrzeżeniami i wiedzą!

Udostępnij

Powiązane treści

A diverse group of hospital governance officers and senior medical staff collaborate in a hospital boardroom, discussing meeting schedules with digital tools.
Rodzaje spotkań

Jak zaplanować posiedzenie zarządu sieci szpitali: przewodnik dla specjalisty ds. zarządzania

Przeczytaj artykuł
A diverse group of IT operations leads from different vendors energetically discussing during a multi-vendor incident review call in a modern urban community space.
Rodzaje spotkań

Jak zaplanować telekonferencję dotyczącą analizy incydentu z udziałem wielu dostawców: przewodnik dla kierownika ds. operacji IT

Przeczytaj artykuł
University coordinators and a teaching assistant discuss course handovers using tablets and schedules in a collaborative campus lounge.
Rodzaje spotkań

Jak zaplanować przekazanie zajęć na uczelni: przewodnik dla koordynatora

Przeczytaj artykuł

Rozwiąż równanie planowania z Doodle