Governance, Risk & Compliance (GRC)

Ako prebieha reálny bezpečnostný audit

Posted by author-avatar
0

Bezpečnostný audit je moment, keď sa prestáva hovoriť o tom, čo by malo fungovať, a začne sa overovať, čo naozaj funguje.

Za tie roky som videl organizácie, ktoré mali perfektne pripravenú dokumentáciu, ale nevedeli preukázať základné procesy. A naopak, firmy, ktoré nemali všetko formálne dokonalé, ale mali bezpečnosť reálne pod kontrolou.

Audit veľmi rýchlo odhalí, do ktorej skupiny patríte.

Čo audit v skutočnosti overuje

Audit neoveruje, či máte dokumenty.
Overuje, či váš systém riadenia bezpečnosti funguje.

To znamená:

  • či máte definované procesy
  • či sú implementované
  • či sa reálne používajú
  • či existujú dôkazy

Najčastejšia chyba je predstava, že audit je „kontrola dokumentácie“.

Nie je.
Je to kontrola reality.

Ako audit prebieha v praxi

Audit má niekoľko fáz, ktoré sa opakujú takmer v každej organizácii.

1. Príprava a rozsah

Na začiatku sa definuje:

  • čo je predmetom auditu
  • ktoré systémy a procesy sú zahrnuté
  • aký štandard sa audituje (ISO 27001, interný audit, regulácia)

Už v tejto fáze sa často ukáže prvý problém:

organizácia nevie presne definovať svoje aktíva a rozsah.

2. Dokumentácia

Nasleduje kontrola dokumentácie:

  • bezpečnostné politiky
  • smernice
  • procesy
  • evidencie

Tu organizácie často pôsobia pripravené.

Problém je, že audit týmto nekončí.

3. Overenie implementácie

Toto je najdôležitejšia časť auditu.

Audítor ide do reality a overuje:

  • či sú procesy reálne používané
  • či majú ľudia priradené zodpovednosti
  • či opatrenia fungujú

Typické otázky:

  • Ako riadite prístupy?
  • Kto schvaľuje oprávnenia?
  • Ako riešite incident?
  • Ako evidujete zmeny?

A najmä:

ukážte dôkaz.

4. Testovanie a dôkazy

Audit stojí na dôkazoch, nie na tvrdeniach.

To znamená:

  • logy
  • záznamy o incidentoch
  • schválenia prístupov
  • evidencie zmien
  • výstupy z monitoringu

Ak neviete preukázať, že proces funguje, z pohľadu auditu neexistuje.

5. Zistenia a odporúčania

Na konci auditu vzniknú:

  • nezhody
  • odporúčania
  • oblasti na zlepšenie

Audit nie je cieľ.
Je to nástroj na zlepšenie.


Warning: Trying to access array offset on false in /data/c/f/cf1200bd-3cc4-4ad0-9165-6f57f1586d63/adcore.eu/web/wp-content/themes/woodmart/inc/integrations/elementor/elements/class-image.php on line 278

Najčastejšie problémy, ktoré vidíme

Z praxe sa opakujú tie isté chyby:

  • dokumentácia neodpovedá realite
  • procesy nie sú implementované
  • chýbajú dôkazy
  • zodpovednosti nie sú jasné
  • riadenie rizík je formálne

Veľa z týchto problémov vzniká preto, že organizácie riešia bezpečnosť kvôli auditu, nie kvôli sebe.

Kde organizácie najčastejšie zlyhávajú a prečo samotná dokumentácia nestačí, rozoberám detailnejšie v článku 5 vecí, ktoré som videl zlyhať pri auditoch.

Audit a riadenie rizík

Bez riadenia rizík nemá audit zmysel.

Audítor sa pozerá na to:

  • či viete identifikovať riziká
  • či ich vyhodnocujete
  • či na ne reagujete

Ak máte risk register, ktorý sa neaktualizuje alebo nie je prepojený na opatrenia, audit to veľmi rýchlo odhalí.

Ako nastaviť riadenie rizík tak, aby fungovalo aj v praxi, popisujem podrobnejšie v článku Riadenie kybernetických rizík efektívne: prečo potrebujete nástroje ako Asign.

Najväčší mýtus o audite

Často počúvam:

„Chceme prejsť auditom.“

To je nesprávny cieľ.

Správny cieľ je mať systém, ktorý funguje.

Ak funguje, audit prejdete.
Ak nie, audit to len odhalí.

Audit nie je jednorazová aktivita

Veľa organizácií sa pripravuje na audit až tesne pred ním.

To nefunguje.

Bezpečnosť musí byť:

  • priebežná
  • riadená
  • udržiavaná

Audit je len moment, kedy sa to overuje.

Slovenská realita

Z praxe vidím tri typy organizácií:

  • tie, ktoré audit „prežijú“
  • tie, ktoré audit zvládnu
  • tie, ktoré audit neriešia stresovo

Rozdiel medzi nimi je v tom, či majú systém pod kontrolou.

Ako k tomu pristupujem ako audítor

Pri audite ma nezaujíma, čo je napísané v dokumente.

Zaujíma ma:

  • či procesy fungujú v praxi
  • či sú pochopené ľuďmi
  • či existujú dôkazy
  • či je systém udržateľný

Pri práci s klientmi sa preto nesústredím len na prípravu na audit, ale na nastavenie systému, ktorý obstojí aj bez neho.

Audit je potom len potvrdenie reality.

Záver

Reálny bezpečnostný audit nie je o checklistoch.

Je o tom, či máte kontrolu nad svojou bezpečnosťou.

Ak áno, audit je formalita.
Ak nie, audit to odhalí.

A práve preto má zmysel pripraviť sa správne – nie kvôli audítorovi, ale kvôli fungovaniu organizácie.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *