Audit kybernetickej bezpečnosti nie je trest — je to príležitosť. Príležitosť potvrdiť, že vaše opatrenia fungujú, a identifikovať oblasti na zlepšenie predtým, než sa stanú problémom.
Interný preaudit
Pred externým auditom vykonajte interný preaudit. Prejdite si všetky oblasti požadované zákonom a vyhláškou:
- Dokumentácia — sú všetky politiky a smernice aktuálne, schválené a dostupné?
- Technické opatrenia — sú implementované a funkčné? Máte dôkazy?
- Procesy — fungujú v praxi tak, ako sú popísané v dokumentácii?
- Záznamy — máte logy, reporty a zápisnice preukazujúce dodržiavanie opatrení?
Čo audítor hodnotí
Audítor porovnáva váš skutočný stav s požiadavkami. Hľadá dôkazy, nie sľuby. Nebude sa pýtať „máte firewall?“ ale „ukážte mi pravidlá firewallu a kto ich naposledy skontroloval.“
Časté nedostatky
- Dokumentácia existuje, ale nikto ju nepozná a nepoužíva.
- Technické opatrenia sú nasadené, ale nie sú monitorované.
- Zálohy sa robia, ale nikdy sa netestovala obnova.
- Školenia prebehli, ale chýbajú záznamy o účasti.
Pristupujte k auditu ako k partnerskému procesu. Otvorená komunikácia s audítorom a ochota riešiť zistenia sú cennejšie než snaha predstierať dokonalý stav.
Tento článok je súčasťou série Poradca manažéra kybernetickej bezpečnosti. Stiahnite si kompletného sprievodcu v PDF.