WingsGRC

Inženjering security operacija za regulirane industrije.

Gradimo SOC operacije, IAM lifecycle i detection sisteme koji kontinuirano proizvode DORA i GDPR compliance evidenciju — ne sastavlja je na dan revizije. AI primjenjujemo tamo gdje mjerljivo smanjuje opterecenje analitičara.

Pogledajte usluge Kontaktirajte nas
300+
Mission-critical sistema isporucenih u ranijim ulogama
15+ god.
Kombinovano iskustvo u enterprise security i AI
DORA · GDPR · EU AI Act
Compliance-native pristup od prvog dana
Track record kroz prethodne produkcijske engagemente
50+ god.
kumulativno enterprise security i AI inzenjersko iskustvo
1.400+
zaposlenih pod unified IAM-om u regulisanim okruzenjima
20+
zemalja · multi-jurisdikcijske regulatorne operacije
Frameworki isporuceni u produkciji DORA Cl. 17, 23, 28, 30 · GDPR Cl. 28, 33 · ISO 27001 Annex A · MITRE ATT&CK · EU AI Act
*Radimo pod NDA frameworkima uskladenim s GDPR Clankom 28 standardnim ugovornim klauzulama, sa regulisanim finansijskim entitetima i ICT third-party provajderima. Ne identifikujemo javno organizacije s kojima saradujemo. Sve metrike iznad odrazavaju mjerljive ishode iz prethodnih engagementa dokumentovanih u CV-jevima tima.
Gdje je pritisak najjaci u 2026.

Operativna realnost za regulirane security timove.

43%
EU finansijskih sigurnosnih incidenata potice od kompromitovanih ili pretjerano privilegovanih identiteta. IAM je mjesto gdje napadi pocinu — ne gdje zavrse.
Verizon DBIR 2024
168
dana srednje vrijeme detekcije upada u finansijskom sektoru. Praznina koju manuelni SOC triage rijetko zatvori, bez obzira na compliance ulaganja.
IBM Cost of a Data Breach Report 2024
200+
SaaS platformi koje regulisani finansijski tim mora upravljati. Svaka je rizik pri onboardingu i offboardingu bez automatizovanog identity lifecyclea.
Industrijski prosjek, mid-market EU fintech
DORA primjena pocela je 17. januara 2025. Prvi nadzorni ciklus pocinje krajem 2026. Organizacije koje kontinuirano proizvode security operativnu evidenciju ulaze u taj ciklus branjene. One koje se oslanjaju na periodicne izvjestaje ulaze dajuci objasnjenja.
Razlika koja je bitna
Organizacije koje ulazu u compliance alate sticu kapacitet dokumentacije. Organizacije koje ulazu u security operacije proizvode compliance evidenciju kao kontinuirani output. Ta dva ulaganja nisu zamjenjiva — i samo jedno od njih zatvara stvarnu izlozenost.
Sta radimo

Operativci, ne savjetnici. Izgradeno u produkciji.

01

Operativci, ne teoreticari

Nas tim je gradio AI i security platforme unutar jedne od najzahtjevnijih regulisanih industrija na svijetu — globalnog finteha. Isporucivali smo u produkciju, ne u slide deckove.

02

Security i compliance nisu dodaci

DORA, GDPR i EU AI Act su ugradjeni u svaki engagement od prvog dana. Bez naknadnih prilagodbi, bez iznenadjenja tokom revizije.

03

Mjerljiva isporuka, ne beskrajni retajneri

Svaki engagement ima eksplicitne ugovore, garantovane outpute i definirano ponasanje u slucaju neispunjenja. Znate sta dobijate — i kada.

Kako se sve sklapa

Od sirovih signala do autonomnog odgovora spremnog za reviziju.

Svaka faza je ugovorno obavezujuca, verzionisana i audit-logovana. Nema crnih kutija.

Usluge

Cetiri fokusirane usluge. Nula floskula.

01

Security operacije s AI podrzkom

SOC s LLM zaklj. · Trijaza prijetnji · Autonomna remedijacija

Odluka o trijazi alerta: 1-2 sekunde. Paznja analitičara usmjerena na protivnicku prosudbu — ne na volumen alerta.

Security timovi se dave u alertima — manuelna trijaza traje 4 do 5 sati po alertu, cesto prelazeci smjene prije nego sto se utvrdi adversarijska namjera. Gradimo i unapredjujemo Security Operations Centre s AI slojem koji taj prozor suzava na sekunde.

  • LLM-bazirana analiza prijetnji nasuprot historiji napada i MITRE ATT&CK
  • ML detekcija anomalija kalibrisana na klijentovoj infrastrukturi
  • IoC enrichment pipeline i SIEM integracija (Datadog, Splunk, Elastic)
  • Autonomna remedijacija za unaprijed definisane scenarije
  • DORA Clanak 17 incident evidencija kao kontinuirani pipeline output
02

Detection-as-Code

Inzenjering pokrivenosti · MITRE ATT&CK · Verzionisana pravila · DORA

Pravila detekcije verzionisana i deployovana kao softver. Praznine u pokrivenosti zatvorene sistemski prema MITRE ATT&CK.

Security timovi akumuliraju pravila detekcije koja niko ne odrzava. Praznine se pojavljuju tiho izmedju onoga sto detektujete i onoga sto DORA zahtijeva da prijavite. Pisemo, verzionisemo i deployujemo logiku detekcije prijetnji na isti nacin na koji inzenjeri deployuju softver.

  • Pravila detekcije pisana, testirana i deployovana kroz CI/CD pipeline
  • Pokrivenost mapirana sistemski prema MITRE ATT&CK
  • Pravila uskladjena s DORA ICT kategorijama rizika
  • Nema praznine izmedju operativne detekcije i audit izvjestavanja
03

Compliance kao arhitektura

DORA Cl. 17-23 i 28-30 · GDPR · EU AI Act · Kontinuirana evidencija

Compliance evidencija kao kontinuirani pipeline output — ne sastavlja se retrospektivno kad revizor dodje.

DORA, GDPR i EU AI Act compliance nije dokumentacijski radni tok paralelan s security operacijama. To je strukturni output dobro inzenjerirane security arhitekture. Projektujemo sisteme tako da compliance evidencija nastaje kontinuirano.

  • Automatizovana detekcija, klasifikacija i evidencijski pipeline ICT incidenata
  • Pracenje rizika trece strane (AI-driveni skoring)
  • GDPR automatizacija zadrzavanja podataka i upravljanja pristupom
  • Workflow za obavjestavanje o povredi podataka u roku od 72 sata
04

Identitet, pristup i Zero Trust

ZTNA · IAM · Lifecycle automatizacija · MDM

Provisioning i offboarding: minute, ne dani. Nula zaostalih access revizija. DORA Clanak 9 evidencija odrzava se kontinuirano.

Rastuce organizacije akumuliraju neaktivne naloge, nepregledane privilegije i shadow IT. Automatizujemo cijeli identity lifecycle — od onboardinga do offboardinga, na svakom kriticnom SaaS-u.

  • RBAC framework za Okta, Google Workspace, Microsoft 365
  • Zero Trust Network Access deployment
  • Ansible-bazirana lifecycle automatizacija (provisioning i deprovisioning)
  • Kvartalne access revizije s audit-ready trail-om
Odabrani radovi

Rezultati, anonimizirani. Brojevi, stvarni.

Slucaj 01 · SOC implementacija

SOC s LLM zaklj.

Vodeća EU regulisana trading platforma · 300+ mission-critical sistema · 1.400 zaposlenih

Problem

SOC prima hiljade alerta dnevno. Vise od 70% vremena analitičara trose na manuelnu trijazu, pri cemu svaki alert traje 4-5 sati za klasifikaciju — cesto prelazeći smjene prije utvrdivanja adversarijske namjere. Stvarne prijetnje gube se u buci.

Pristup

LLM-bazirani engine za analizu prijetnji, autonomni remedijacijski pipeline, ML detekcija anomalija kalibrisana na klijentovoj infrastrukturi, IoC enrichment automatizacija, kontejnerizacija na GKE. DORA Clanak 17 evidencijski pipeline izgrađen kao kontinuirani output.

Ishod
1-2 sek.
Odluka o trijazi alerta (s 4-5 sati manuelno)
< 1 min
Vendor revizije (s dana)
5
Vlastitih AI security alata isporucenih
Slucaj 02 · IAM i DORA automatizacija

Zero Trust + Lifecycle automatizacija na skali

Distribuirano vise-jurisdikcijsko fintech okruzenje · 1.400 zaposlenih · 50+ kriticnih aplikacija

Problem

50+ aplikacija bez konzistentnog RBAC-a, provisioning koji traje danima, zaostali nalozi od godina privilege creep-a, ranjivi VPN, fragmentirani MDM. DORA Clanak 9 access audit trail sastavljan manuelno — nema kontinuirane evidencije.

Pristup

Okta-centrisani RBAC framework, Ansible-bazirana lifecycle automatizacija kroz Okta do Google Workspace do kredencijala, Cato Networks ZTNA deployment, Jamf Pro i JumpCloud unifikacija, 50+ SOP-ova za DORA compliance.

Ishod
~2 min
Potpuno ukidanje pristupa od HR okidaca (s dana)
-95%
Greske pri provisioningu
50+
Audit-ready DORA SOP-ova isporucenih
Zasto je ovo tesko rijesiti postojecim alatima

Sta drugi isporucuju. Sta mi isporucujemo.

GRC platforme
Drata · Vanta · AuditBoard
Proizvode dokumentaciju i compliance checkliste. Korisne za pripremu revizije i sastavljanje evidencije.
Sto nedostaje: operativna security evidencija nastala kontinuirano — ne sastavljena na datum revizije.
SOC managed servisi
Alert monitoring provajderi
Osiguravaju smanjenje volumena alerta i L1/L2 trijazu. Korisni za rasterecenje kapaciteta.
Sto nedostaje: inzenjering pokrivenosti detekcije prema MITRE ATT&CK. Smanjenje alerta nije isto sto i zatvaranje praznina u detekciji.
WingsGRC
Inzenjering praksa
Projektujemo i operisemo security i compliance sisteme koji kontinuirano proizvode evidenciju. Komplementarni smo GRC platformama i revizorskim firmama — ne kompetitivni.
Sloj koji oni dokumentuju i o njemu izvjestavaju.
WingsGRC je komplementaran GRC platformama, revizorskim firmama i Big 4 savjetnickim kucama. Gradimo operativni sloj koji one dokumentuju i o njemu izvjestavaju.
Kako sarađujemo

Ulaz s niskim rizikom. Zatim dubina, ako odgovara.

Korak 01

Security operativna procjena

2-4 sedmice · Fiksna naknada

Fokusirana revizija vaseg security i compliance stacka. Identifikujemo 3-5 operativnih praznina s konkretnim prioritetima i isporucujemo pisani izvjestaj sa sekvenciranim akcijskim planom.

Zasto postoji: Eliminisemo kupcev rizik. Umjesto potpisivanja sestocifrenog ugovora na osnovu pitcha, placate malu fiksnu naknadu i odlazite s realnom vrijednosti — odluka postaje laka.

Korak 02

Projektni engagement

2-6 mjeseci · Definisan opseg

Implementacija fiksnog opsega jedne ili vise nasih usluga. Jasni isporucevaci, jasni milestoni, jasni izlazni kriteriji. Inzenjer koji pitchuje posao je inzenjer koji ga gradi i operise.

Korak 03

Retajner

Mjesecno · Opcionalno

Nakon projekta: monitoring, optimizacija, eskalacijska podrska i kvartalne revizije. WingsGRC postaje prosirena ruka vaseg internog tima.

Vendor readiness

Pripremljeni za nabavni proces

Izgradeni za nabavni profil EU regulisanih finansijskih institucija. Ne otkrivamo compliance zahtjeve tokom due diligence procesa.

EU-rezidentna obrada podataka
DORA Cl. 30 ugovorne klauzule
GDPR Cl. 28 DPA predlozak
Pravo na reviziju — standard
Dokumentovana izlazna strategija
SIG Lite / CAIQ Lite spreman
Van opsega

Sta ne radimo

Nas rad je inzenjering. Razumijevanje granica opsega je dio procjene uskladjenosti.

  • Prodaja GRC platform pretplata ili compliance alata
  • L1 SOC managed servisi (alert monitoring bez inzenjeringa detekcije)
  • Samostalni revizijski ili savjetodavni engagementi bez implementacije
Tim

Tri osnivaca. Jedan playbook. Izgradeno u produkciji.

Boardroom — stratesko security i compliance partnerstvo

WingsGRC su osnovala tri senior inzenjera koji su proveli godine unutar globalnog fintecha s 1.400+ zaposlenih, operacijama u 20+ zemalja i stotinama mission-critical produkcijskih sistema. Nismo ljudi koji su naučili security s YouTube tutoriala — radili smo tamo gdje greske kostaju novac, povjerenje i regulatornu poziciju.

Nasa radna hipoteza: u 2027-2028, security prakse koje ce opstati bice one korisne cak i ako cijeli AI sloj nestane preko noci. Mi inzenjiramo za tu osnovu prvo, zatim dodajemo AI tamo gdje mjerljivo smanjuje opterecenje analitičara. Redoslijed je bitan.

Enterprise Security i Compliance
ZTNA, IAM, SOC infrastruktura, DORA i GDPR implementacija na skali.
AI / LLM implementacija
LLM deployment, agentni AI, ML detekcija anomalija, vlastiti AI security alati.
Platform i Data Engineering
Distribuirani sistemi, NLP runtime-ovi, streaming pipeline-ovi, ML-aware inzenjering.
Kontakt

Razgovarajmo.

Bilo da procjenjujete DORA spremnost, preispitujete security operacije ili evalvirate prilike za automatizaciju — pocnite s 30-minutnim pozivom. Bez prezentacija, bez prodajnog pitcha. Fokusovana diskusija o tome sta pokusavate rijesiti i jesmo li odgovarajuci partner.

Email [email protected]
Sjediste Holandija, Amsterdam · Dostupni globalno
Vrijeme odgovora U roku od 24 sata