Pentru alinierea facilă la NIS2 şi o gestiune mai riguroasă a riscurilor cibernetice, Profi, unul dintre cei mai mari retaileri locali, a derulat un proiect amplu de GRC (Governance, Risk Management, Compliance), împreună cu Safetech Innovations. Parteneriatul a condus la dezvoltarea unei culturi de securitate la nivelul organizaţiei, la adoptarea bunelor practici internaţionale, conformitatea cu cerinţele NIS2, precum şi la o implementare măsurabilă şi scalabilă a măsurilor de protecţie.
Un context complex: mii de puncte de lucru, zeci de mii de angajaţi şi riscuri în continuă expansiune
Profi este una dintre cele mai mari reţele de retail din România, cu peste 1.730 de magazine în mai mult de 700 de localităţi şi aproximativ 28.000 de angajaţi. Compania gestionează peste 55.000 de echipamente terminale, cu o distribuţie extinsă şi complexă la nivel naţional, care în lipsa unui cadru clar de reglementare în materie de securitate cibernetică şi evoluţia rapidă a business-ului generează provocări majore pentru operaţiunile companiei.
„Profi este o companie cu o amprentă uriaşă, ceea ce face ca operaţiunile specifice de securitate cibernetică să genereze provocări de scalabilitate. Mai mult, sectorul, prin specificul şi rata de înnoire a forţei de muncă nu permite o derulare facilă a programelor de conştientizare şi igienă cibernetică. Echipa de management a conştientizat însă riscurile de securitate ceea ce a condus la iniţierea unui proces de gestionare şi mitigare a acestora, atât prin adopţia de tehnologie cât şi prin crearea de politici şi proceduri”, explică Daniel Monoranu, CISO, Profi.
Analiza internă efectuată de Profi a arătat că tehnologia, oricât de performantă, nu este suficientă pentru a construi un sistem solid de protecţie. Organizaţia avea nevoie de o strategie clară, cu obiective măsurabile şi auditate anual. Adoptarea unui cadru GRC (Governance, Risk Management, Compliance) a fost considerată soluţia potrivită, context în care Profi a iniţiat alinierea la NIST CSF şi adoptarea bunelor practici GRC, ca parte integrantă a strategiei de securitate cibernetică. NIST CSF – acronim pentru National Institute of Standards and Technology Cybersecurity Framework – este un standard recunoscut internaţional, care oferă un set clar de principii şi controale pentru identificarea, protejarea, detectarea şi răspunsul la ameninţările cibernetice.
Proiect GRC derulat împreună cu Safetech Innovations
Gestionarea riscurilor cibernetice şi implementarea unui proiect GRC necesită o abordare concentrată, măsurabilă şi detaliată, pe care Profi nu o putea susţine integral intern. Astfel, contractarea unui furnizor extern ca Safetech Innovations a fost soluţia naturală.
”Compania avea nevoie de resurse calificate pentru derularea proiectului GRC, iar la Safetech Innovations am găsit cele mai competente persoane. Spre exemplu, pentru primul rol externalizat de GRC Officer, Safetech Innovations ne-a alocat un expert cu competenţe avansate pe multiple arii de cybersecurity, dar şi cu experienţă reală de CISO – o combinaţie rară şi cu valoare adăugată ridicată”, spune Daniel Monoranu.
Proiectul a urmat o structură clară: analiza iniţială a politicilor şi proceselor existente, definirea obiectivelor (reducerea pierderilor operaţionale, respectarea standardelor de cybersecurity şi consolidarea securităţii cibernetice), analize de risc, inclusiv a soluţiilor utilizate sau cele noi propuse şi a furnizorilor, implementarea modulelor pentru managementul riscului, incidentelor şi conformităţii, instruirea angajaţilor şi, în final, raportarea şi monitorizarea continuă pentru top management.
Pe parcursul proiectului, colaborarea a evoluat cu externalizarea a încă trei roluri către experţi Safetech Innovations, care au preluat definirea controalelor, politicilor şi analiza riscurilor, urmând implementarea efectivă. Pentru Profi, scalabilitatea rapidă a resurselor şi combinaţia dintre flexibilitatea companiei Safetech Innovations şi expertiza ridicată a echipei au fost avantaje majore. „Serviciile de Guvernanţă, Managementul Riscului şi Conformitate (GRC) oferite de Safetech Innovations au un impact direct asupra protejării datelor confidenţiale, diminuării riscurilor şi asigurării conformităţii cu reglementările actuale. Aceste servicii ajută organizaţiile să dezvolte, implementeze şi gestioneze mai eficient sistemele şi strategiile de securitate. Companiile pot apela la Safetech atât pentru consultanţă şi implementare, cât şi pentru externalizarea rolurilor specifice de GRC Officer, aşa cum am procedat şi cu Profi”, detaliază Veronica Răuţă, Manager al Departamentului Servicii de Management al Securităţii, Safetech Innovations.
Extinderea echipei Safetech Innovations a fost generată atât de creşterea maturităţii Profi în securitate cibernetică, cât şi de alinierea la standardele grupului AHOLD. Proiectul include analize de risc pe furnizori şi soluţii, implicare directă în implementarea măsurilor de reducere a riscurilor, precum şi externalizarea unor elemente ale planului de Business Continuity.
Din septembrie 2025, proiectul integrează şi consolidarea culturii de cybersecurity, prin implicarea a doi specialişti Safetech Innovations care derulează activităţi de instruire şi evaluări periodice ale angajaţilor Profi.
Evoluţie pozitivă şi rezultate măsurabile
Proiectul GRC derulat împreună cu Safetech Innovations a avut o evoluţie pozitivă pe cei doi ani de colaborare, toate livrabilele fiind evaluate şi validate în raport cu obiectivele iniţiale. Profi a reuşit să contureze un cadru complet de politici şi proceduri pentru toate ariile specifice GRC. Pe baza acestui cadru, compania a început implementarea proceselor şi atenuarea riscurilor identificate.
„Sarcinile asociate rolului de GRC Officer implică o colaborare strânsă cu echipa beneficiarului, pe toate planurile — de la CISO şi IT până la top management. Este o abordare structurată, menită să asigure gestionarea eficientă a riscurilor, conformitatea cu reglementările şi alinierea politicilor interne la obiectivele de afaceri. Este o relaţie de colaborare care necesită o bună cunoaştere a organizaţiei clientului şi a modului său de lucru, pentru ca rezultatele să fie vizibile şi măsurabile”, explică Veronica Răuţă.
Implementarea GRC din 2023 a reprezentat o pregătire solidă pentru alinierea la NIS2, având în vedere că sectorul de retail şi implicit nici Profi, nu erau anterior reglementate de NIS1 şi nu existau precedente în abordarea unei asemenea reglementări. Încă de la începutul anului 2025, cu sprijinul Safetech Innovations, compania a demarat procesul de remediere a neconcordanţelor identificate, pregătind astfel organizaţia şi pentru conformitatea cu standardul ISO 27001.
În prezent, Profi se raportează la multiple cadre de conformitate: NIST CSF, NIS2, ISO şi PCIDSS. Chiar dacă unele măsuri şi controale se suprapun, această redundanţă contribuie pozitiv la creşterea gradului de securitate. Alinierea la cadrul GRC a fost bine primită la toate nivelurile organizaţiei, atât operaţional, cât şi managerial, fiind un pas important în crearea unei culturi cyber durabile, care generează automatisme comportamentale în rândul utilizatorilor şi administratorilor.
„Derularea proiectului GRC cu Safetech ne-a ajutat să creăm o cultură de securitate cibernetică, la nivel de politici şi proceduri, dar şi ca mentalitate în cadrul organizaţiei. Am reuşit să depăşim reticenţele tehnice şi comportamentale şi să adoptăm un mod de lucru care integrează implicit elementele de securitate. Suntem în plin proces de integrare a securităţii în ADN-ul cultural al organizaţiei, iar colaborarea cu Safetech este unul dintre elementele care fac posibil acest rezultat,” subliniază Daniel Monoranu.
Proiectul a contribuit semnificativ la maturizarea organizaţiei, oferind proceduri şi controale ferme şi posibilitatea de a măsura constant progresul în reducerea nivelului de risc. Evaluările interne prevăd acordarea unui scor trimestrial pentru un set de acţiuni şi măsuri, evaluând modul de lucru, acurateţea şi redundanţa. În urma acestui sistem, în 2025 Profi a înregistrat o creştere semnificativă a scorului, confirmând efortul depus şi evoluţia constantă. Evaluările realizate la nivelul grupului AHOLD au confirmat nivelul de maturitate intern, asigurând direcţia corectă pentru organizaţie.
Autori:
Daniel Monoranu, Chief Information Security Officer, Profi
Veronica Răuţă, Manager Servicii de Management al Securităţii, Safetech Innovations
