Úvod / Služby / Bezpečnost a compliance
Služba 04

Jak obstát u auditu i regulátora

Evropské regulace dopadají na čím dál víc firem a vedení najednou řeší otázky, na které nikdo nemá odpověď. Tato stránka vysvětluje, co po vás vlastně někdo chce a jak se na to připravit.

Proč to najednou všichni řeší

Bezpečnost bývala věc IT oddělení. Dnes je to věc vedení - a to ze dvou důvodů.

Zaprvé regulace. Evropská pravidla se rozšířila na obory, které dřív nic neřešily. Firma, která desítky let vyráběla, se najednou dozví, že spadá pod povinnosti, o kterých nikdy neslyšela. A odpovědnost je na vedení, ne na správci sítě.

Zadruhé zákazníci. Velké firmy dnes prověřují dodavatele. Přijde dotazník o třiceti otázkách, a když na něj neumíte odpovědět, zakázku nedostanete - bez ohledu na cenu.

Nejde o to mít dokonalé zabezpečení. Jde o to umět doložit, že víte, co máte, jaká jsou rizika a co s nimi děláte. Většina firem to z podstatné části dělá - jen to nemá napsané.

Co po vás vlastně chtějí

Když odhlédnete od paragrafů, každý audit i dotazník se ptá na totéž ve čtyřech rovinách:

  • Víte, co máte? Jaké systémy, data a dodavatele. Bez toho nejde nic dalšího.
  • Víte, co se může pokazit? A rozhodli jste vědomě, co s tím - ošetřit, pojistit, nebo přijmout.
  • Máte to napsané? Kdo má jaká práva, co se děje při incidentu, jak se zálohuje. Pravidlo, které je jen v hlavě, pro auditora neexistuje.
  • Umíte to doložit? Že se to opravdu dělá - záznamy, protokoly, testy obnovy.

Jak postupuji

01

Kde jste dnes

Projdu, co máte, a porovnám to s tím, co po vás bude někdo chtít. Výstupem je rozdílová analýza - seznam toho, co chybí.

02

Analýza rizik

Sepíšeme, co se může pokazit a jaký by to mělo dopad na byznys. Ne akademicky - cílem je vědět, čeho se bát a čeho ne.

03

Směrnice a pravidla

Napíšeme dokumenty, které popisují, jak to u vás chodí. Takové, které vaši lidé přečtou a dodrží - ne stostránkový elaborát do archivu.

04

Doklady

Nastavíme, aby vznikaly záznamy, kterými prokážete, že se pravidla dodržují. Zde firmy u auditu nejčastěji neuspějí.

Podle čeho pracuji

Vycházím z principů ISO/IEC 27001 - mezinárodní normy pro řízení bezpečnosti informací - a ISO/IEC 20000 pro řízení IT služeb. Nejsou to jediné možné rámce, ale mají výhodu: kdo je zná, ví, co od vás čekat. A většina zákaznických dotazníků z nich vychází.

Používám je jako osnovu, ne dogma. U firmy o padesáti lidech nemá smysl budovat systém odpovídající nadnárodní korporaci. Cílem je, abyste obstáli a zároveň se přitom nezatížili administrativou.

Kdy to dává smysl

  • Dozvěděli jste se, že na vás dopadá nová regulace, a nevíte, co to znamená.
  • Zákazník poslal bezpečnostní dotazník a vy netušíte, jak ho vyplnit.
  • Chystáte se na certifikaci a chcete vědět, jak daleko jste.
  • Máte pocit, že bezpečnost stojí na jednom člověku a jeho paměti.

Časté otázky

Znamená to, že si musíme pořídit certifikát?

Nemusí. Řada firem potřebuje jen doložit, že pracují podle rozumných principů - třeba zákazníkovi nebo regulátorovi. Certifikace je samostatné rozhodnutí a stojí peníze i čas.

Nezavalí nás to papírováním?

Když se to udělá špatně, ano. Proto rozsah přizpůsobuji velikosti firmy. Dokument, který nikdo nečte, je jen náklad - ne ochrana.

Jsme malá firma. Týká se nás to?

Možná. Kritérium bývá obor a velikost, ale i malý dodavatel velké firmy dostane dotazník. To se dá zjistit během první konzultace.

Máte certifikaci ISO 27001?

Nemám a neuvádím to. Pracuji podle principů těchto norem a připravím vás na audit - samotný certifikát vydává akreditovaný certifikační orgán, ne konzultant.

Čeká vás audit?

Projdeme vaši situaci a řeknu vám, kde jste, co chybí a co řešit jako první. Nezávazně.

Domluvit nezávaznou konzultaci →