Audit není problém. Chybějící důkazy ano.
Mnoho organizací se obává auditu kybernetické bezpečnosti. Ve skutečnosti však auditor většinou nehledá chyby. Hledá důkazy, že procesy skutečně fungují.
Blížící se audit často znamená hektické dohledávání dokumentů, zápisů a e-mailů. Ve většině případů však nejde o problém samotného auditu. Problémem je absence průběžně vedených důkazů.
Co auditor skutečně kontroluje
Auditor nechce vidět pouze dokumentaci.
Zajímá ho především:
- jak jsou řízena rizika,
- kdo je za co odpovědný,
- jak organizace řeší incidenty,
- jak probíhá kontrola plnění opatření.
Nejčastější nedostatky
Mezi nejčastější nálezy patří:
- neaktuální dokumentace,
- nejasné odpovědnosti,
- nedoložené kontroly,
- chybějící historie rozhodnutí.
Auditní stopa jako základ
Každé rozhodnutí by mělo být dohledatelné.
Kdo jej provedl.
Kdy jej provedl.
Proč bylo přijato.
Právě auditní stopa představuje jeden z nejdůležitějších prvků moderního systému řízení bezpečnosti.
Audit jako příležitost
Dobře připravená organizace nevnímá audit jako hrozbu. Audit se stává příležitostí ověřit, že procesy skutečně fungují a že investice do bezpečnosti přinášejí očekávané výsledky.
