k0nsult.cloud / ai-truth / ipIII / orchestrator / control-effectiveness
Control Effectiveness Score (F11) — czy kontrolki naprawdę działają
Sama obecność kontroli (EDR, WAF, MFA, backup, SIEM, DLP, IAM, human-approval) nie dowodzi, że ona działa. F11 zbiera sygnały skuteczności — czy kontrola generuje zdarzenia, czy wychwytuje test, czy pokrywa zakres — i przekłada je na status wspierający decyzję. To ROADMAP: poniżej opisujemy zamierzony model i dane syntetyczne (przykładowe), nie pomiar z żywego środowiska klienta.
Status funkcji: ROADMAP (F11). Ta strona opisuje planowany moduł oceny skuteczności kontroli.
Wartości w tabeli są syntetyczne — służą pokazaniu formatu wyniku, nie odzwierciedlają żadnego rzeczywistego środowiska.
F11 pozostaje wsparciem decyzji (decision-support): wskazuje, gdzie warto zajrzeć, a nie wydaje oceny zgodności.
Zgodnie z doktryną claim ≤ proof — dopóki moduł nie zbiera realnych sygnałów przez konektory, mówimy o nim jako ROADMAP, nie jako o funkcji LIVE.
8 rodzin kontroli. Jeden sygnał: działa / częściowo / brak sygnału.
Idea F11: dla każdej rodziny kontroli definiujemy obserwowalny sygnał skuteczności (co dałoby się zmierzyć konektorem),
a status wyprowadzamy z tego sygnału — nie z deklaracji, że kontrola „jest wdrożona". Zamiast pytać „czy macie EDR?",
F11 pyta „czy EDR w ostatnich 24h przysłał telemetrię z X% hostów i wychwycił test wykrywalności?".
MODEL SYGNAŁU:
kontrola zadeklarowana→sygnał obserwowalny→pokrycie / świeżość→test wykrywalności→status skuteczności
Tabela kontroli — sygnał skuteczności i status
Legenda statusu: DZIAŁA sygnał obecny i w zakresie · CZĘŚCIOWO sygnał niepełny lub nieaktualny · BRAK SYGNAŁU kontrola zadeklarowana, brak obserwowalnego dowodu działania. Dane poniżej: syntetyczne (przykład formatu).
| Kontrola | Co ma robić | Sygnał skuteczności (obserwowalny) | Status (przykład) |
| EDR |
Detekcja i reakcja na endpointach |
Telemetria z ≥ próg % hostów w ostatnich 24h + wychwycenie testowego wskaźnika wykrywalności (np. EICAR / benign canary) |
DZIAŁA |
| WAF |
Filtrowanie ruchu aplikacyjnego |
Logi blokad/alertów w oknie czasu + poprawna odpowiedź na benign canary request; pokrycie chronionych domen |
CZĘŚCIOWO |
| MFA |
Wieloskładnikowe uwierzytelnianie |
Odsetek kont z wymuszonym MFA + brak kont uprzywilejowanych z wyłączeniem; log wyzwań MFA |
DZIAŁA |
| Backup |
Kopie zapasowe i odtwarzalność |
Ostatni udany backup w RPO + test restore (odtworzenie próbki) w zdefiniowanym oknie |
BRAK SYGNAŁU |
| SIEM |
Zbieranie i korelacja zdarzeń |
Świeżość ingestu (opóźnienie logów) + liczba aktywnych źródeł względem oczekiwanych; reguły korelacji nie „ciche" |
CZĘŚCIOWO |
| DLP |
Ochrona przed wyciekiem danych |
Pokrycie kanałów (mail/web/endpoint) + zdarzenie na benign canary z markerem testowym |
BRAK SYGNAŁU |
| IAM |
Zarządzanie tożsamością i dostępem |
Świeżość deprovisioningu (konta byłych użytkowników wygaszone) + przegląd uprawnień uprzywilejowanych w oknie |
CZĘŚCIOWO |
| Human-approval |
Zatwierdzanie decyzji przez człowieka |
Ślad zatwierdzeń dla akcji krytycznych (kto/kiedy) + brak akcji krytycznych bez zapisu approval |
DZIAŁA |
Skrót wyniku (przykład syntetyczny)
3
DZIAŁA
EDR · MFA · Human-approval
3
CZĘŚCIOWO
WAF · SIEM · IAM
2
BRAK SYGNAŁU
Backup · DLP
8/8
Rodzin kontroli w modelu
każda z nazwanym sygnałem
Powyższe liczby są przykładowe i nie pochodzą z żadnego środowiska. Prawdziwy wynik F11 powstanie dopiero, gdy konektory zaczną dostarczać wymienione sygnały.
Jak F11 wspiera decyzję (decision-support)
1. Priorytetyzacja. „BRAK SYGNAŁU" nie oznacza automatycznie, że kontrola nie działa — oznacza, że nie mamy dowodu jej działania. To wskazówka, gdzie zajrzeć najpierw, a nie werdykt.
2. Rozmowa z zarządem. Zamiast listy narzędzi — jeden ekran „co potwierdzone sygnałem, co nie". Pomaga zadać właściwe pytania właścicielom kontroli.
3. Wejście do innych modułów. Wynik zasila
control-mapping (które obowiązki/ramy dana kontrola wspiera) oraz
third-party-risk (skuteczność kontroli po stronie dostawcy).
4. Granica. F11 nie wydaje oceny zgodności ani nie zastępuje przeglądu przez człowieka. Sygnał „DZIAŁA" mówi tylko tyle, ile pokazuje zmierzony wskaźnik — nie więcej.
Czego F11 NIE robi
To nie jest ocena zgodności. „DZIAŁA" odnosi się do obecności i świeżości obserwowalnego sygnału, a nie do spełnienia wymogu regulacyjnego. Interpretacja wobec DORA/NIS2/RODO/AI Act należy do
control-mapping i wymaga przeglądu przez człowieka.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Nawet komplet statusów „DZIAŁA" nie znaczy, że organizacja jest bezpieczna — znaczy tyle, że dla ośmiu rodzin kontroli mamy świeży sygnał w zakresie. Doktryna claim ≤ proof: deklarujemy dokładnie tyle, ile pokazuje sygnał.
Granica etyczna i prawna. F11 jest narzędziem obrony i zgodności (GRC/blue). Testy wykrywalności ograniczają się do
benign canary (nieszkodliwe markery) w granicach pisemnych
Rules of Engagement —
nie obejmują nieautoryzowanych skanów ani exploitacji. F11 to
wsparcie decyzji, nie porada prawna i nie werdykt o stanie zabezpieczeń.
Powiązane: mapowanie kontrola → obowiązek/rama → /control-mapping ·
skuteczność kontroli u dostawców → /third-party-risk ·
uczciwy rejestr ograniczeń → /known-limitations.