K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / control-effectiveness

Control Effectiveness Score (F11) — czy kontrolki naprawdę działają

Sama obecność kontroli (EDR, WAF, MFA, backup, SIEM, DLP, IAM, human-approval) nie dowodzi, że ona działa. F11 zbiera sygnały skuteczności — czy kontrola generuje zdarzenia, czy wychwytuje test, czy pokrywa zakres — i przekłada je na status wspierający decyzję. To ROADMAP: poniżej opisujemy zamierzony model i dane syntetyczne (przykładowe), nie pomiar z żywego środowiska klienta.

Status funkcji: ROADMAP (F11). Ta strona opisuje planowany moduł oceny skuteczności kontroli. Wartości w tabeli są syntetyczne — służą pokazaniu formatu wyniku, nie odzwierciedlają żadnego rzeczywistego środowiska. F11 pozostaje wsparciem decyzji (decision-support): wskazuje, gdzie warto zajrzeć, a nie wydaje oceny zgodności. Zgodnie z doktryną claim ≤ proof — dopóki moduł nie zbiera realnych sygnałów przez konektory, mówimy o nim jako ROADMAP, nie jako o funkcji LIVE.
8 rodzin kontroli. Jeden sygnał: działa / częściowo / brak sygnału.

Idea F11: dla każdej rodziny kontroli definiujemy obserwowalny sygnał skuteczności (co dałoby się zmierzyć konektorem), a status wyprowadzamy z tego sygnału — nie z deklaracji, że kontrola „jest wdrożona". Zamiast pytać „czy macie EDR?", F11 pyta „czy EDR w ostatnich 24h przysłał telemetrię z X% hostów i wychwycił test wykrywalności?".

MODEL SYGNAŁU: kontrola zadeklarowanasygnał obserwowalnypokrycie / świeżośćtest wykrywalnościstatus skuteczności

Tabela kontroli — sygnał skuteczności i status

Legenda statusu: DZIAŁA sygnał obecny i w zakresie · CZĘŚCIOWO sygnał niepełny lub nieaktualny · BRAK SYGNAŁU kontrola zadeklarowana, brak obserwowalnego dowodu działania. Dane poniżej: syntetyczne (przykład formatu).

KontrolaCo ma robićSygnał skuteczności (obserwowalny)Status (przykład)
EDR Detekcja i reakcja na endpointach Telemetria z ≥ próg % hostów w ostatnich 24h + wychwycenie testowego wskaźnika wykrywalności (np. EICAR / benign canary) DZIAŁA
WAF Filtrowanie ruchu aplikacyjnego Logi blokad/alertów w oknie czasu + poprawna odpowiedź na benign canary request; pokrycie chronionych domen CZĘŚCIOWO
MFA Wieloskładnikowe uwierzytelnianie Odsetek kont z wymuszonym MFA + brak kont uprzywilejowanych z wyłączeniem; log wyzwań MFA DZIAŁA
Backup Kopie zapasowe i odtwarzalność Ostatni udany backup w RPO + test restore (odtworzenie próbki) w zdefiniowanym oknie BRAK SYGNAŁU
SIEM Zbieranie i korelacja zdarzeń Świeżość ingestu (opóźnienie logów) + liczba aktywnych źródeł względem oczekiwanych; reguły korelacji nie „ciche" CZĘŚCIOWO
DLP Ochrona przed wyciekiem danych Pokrycie kanałów (mail/web/endpoint) + zdarzenie na benign canary z markerem testowym BRAK SYGNAŁU
IAM Zarządzanie tożsamością i dostępem Świeżość deprovisioningu (konta byłych użytkowników wygaszone) + przegląd uprawnień uprzywilejowanych w oknie CZĘŚCIOWO
Human-approval Zatwierdzanie decyzji przez człowieka Ślad zatwierdzeń dla akcji krytycznych (kto/kiedy) + brak akcji krytycznych bez zapisu approval DZIAŁA

Skrót wyniku (przykład syntetyczny)

3
DZIAŁA
EDR · MFA · Human-approval
3
CZĘŚCIOWO
WAF · SIEM · IAM
2
BRAK SYGNAŁU
Backup · DLP
8/8
Rodzin kontroli w modelu
każda z nazwanym sygnałem

Powyższe liczby są przykładowe i nie pochodzą z żadnego środowiska. Prawdziwy wynik F11 powstanie dopiero, gdy konektory zaczną dostarczać wymienione sygnały.

Jak F11 wspiera decyzję (decision-support)

1. Priorytetyzacja. „BRAK SYGNAŁU" nie oznacza automatycznie, że kontrola nie działa — oznacza, że nie mamy dowodu jej działania. To wskazówka, gdzie zajrzeć najpierw, a nie werdykt.
2. Rozmowa z zarządem. Zamiast listy narzędzi — jeden ekran „co potwierdzone sygnałem, co nie". Pomaga zadać właściwe pytania właścicielom kontroli.
3. Wejście do innych modułów. Wynik zasila control-mapping (które obowiązki/ramy dana kontrola wspiera) oraz third-party-risk (skuteczność kontroli po stronie dostawcy).
4. Granica. F11 nie wydaje oceny zgodności ani nie zastępuje przeglądu przez człowieka. Sygnał „DZIAŁA" mówi tylko tyle, ile pokazuje zmierzony wskaźnik — nie więcej.

Czego F11 NIE robi

To nie jest ocena zgodności. „DZIAŁA" odnosi się do obecności i świeżości obserwowalnego sygnału, a nie do spełnienia wymogu regulacyjnego. Interpretacja wobec DORA/NIS2/RODO/AI Act należy do control-mapping i wymaga przeglądu przez człowieka.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Nawet komplet statusów „DZIAŁA" nie znaczy, że organizacja jest bezpieczna — znaczy tyle, że dla ośmiu rodzin kontroli mamy świeży sygnał w zakresie. Doktryna claim ≤ proof: deklarujemy dokładnie tyle, ile pokazuje sygnał.
Granica etyczna i prawna. F11 jest narzędziem obrony i zgodności (GRC/blue). Testy wykrywalności ograniczają się do benign canary (nieszkodliwe markery) w granicach pisemnych Rules of Engagement — nie obejmują nieautoryzowanych skanów ani exploitacji. F11 to wsparcie decyzji, nie porada prawna i nie werdykt o stanie zabezpieczeń.

Powiązane: mapowanie kontrola → obowiązek/rama → /control-mapping · skuteczność kontroli u dostawców → /third-party-risk · uczciwy rejestr ograniczeń → /known-limitations.