Jak obstát u auditu i regulátora
Evropské regulace dopadají na čím dál víc firem a vedení najednou řeší otázky, na které nikdo nemá odpověď. Tato stránka vysvětluje, co po vás vlastně někdo chce a jak se na to připravit.
Proč to najednou všichni řeší
Bezpečnost bývala věc IT oddělení. Dnes je to věc vedení - a to ze dvou důvodů.
Zaprvé regulace. Evropská pravidla se rozšířila na obory, které dřív nic neřešily. Firma, která desítky let vyráběla, se najednou dozví, že spadá pod povinnosti, o kterých nikdy neslyšela. A odpovědnost je na vedení, ne na správci sítě.
Zadruhé zákazníci. Velké firmy dnes prověřují dodavatele. Přijde dotazník o třiceti otázkách, a když na něj neumíte odpovědět, zakázku nedostanete - bez ohledu na cenu.
Nejde o to mít dokonalé zabezpečení. Jde o to umět doložit, že víte, co máte, jaká jsou rizika a co s nimi děláte. Většina firem to z podstatné části dělá - jen to nemá napsané.
Co po vás vlastně chtějí
Když odhlédnete od paragrafů, každý audit i dotazník se ptá na totéž ve čtyřech rovinách:
- Víte, co máte? Jaké systémy, data a dodavatele. Bez toho nejde nic dalšího.
- Víte, co se může pokazit? A rozhodli jste vědomě, co s tím - ošetřit, pojistit, nebo přijmout.
- Máte to napsané? Kdo má jaká práva, co se děje při incidentu, jak se zálohuje. Pravidlo, které je jen v hlavě, pro auditora neexistuje.
- Umíte to doložit? Že se to opravdu dělá - záznamy, protokoly, testy obnovy.
Jak postupuji
Kde jste dnes
Projdu, co máte, a porovnám to s tím, co po vás bude někdo chtít. Výstupem je rozdílová analýza - seznam toho, co chybí.
Analýza rizik
Sepíšeme, co se může pokazit a jaký by to mělo dopad na byznys. Ne akademicky - cílem je vědět, čeho se bát a čeho ne.
Směrnice a pravidla
Napíšeme dokumenty, které popisují, jak to u vás chodí. Takové, které vaši lidé přečtou a dodrží - ne stostránkový elaborát do archivu.
Doklady
Nastavíme, aby vznikaly záznamy, kterými prokážete, že se pravidla dodržují. Zde firmy u auditu nejčastěji neuspějí.
Podle čeho pracuji
Vycházím z principů ISO/IEC 27001 - mezinárodní normy pro řízení bezpečnosti informací - a ISO/IEC 20000 pro řízení IT služeb. Nejsou to jediné možné rámce, ale mají výhodu: kdo je zná, ví, co od vás čekat. A většina zákaznických dotazníků z nich vychází.
Používám je jako osnovu, ne dogma. U firmy o padesáti lidech nemá smysl budovat systém odpovídající nadnárodní korporaci. Cílem je, abyste obstáli a zároveň se přitom nezatížili administrativou.
Kdy to dává smysl
- Dozvěděli jste se, že na vás dopadá nová regulace, a nevíte, co to znamená.
- Zákazník poslal bezpečnostní dotazník a vy netušíte, jak ho vyplnit.
- Chystáte se na certifikaci a chcete vědět, jak daleko jste.
- Máte pocit, že bezpečnost stojí na jednom člověku a jeho paměti.
Časté otázky
Znamená to, že si musíme pořídit certifikát?
Nemusí. Řada firem potřebuje jen doložit, že pracují podle rozumných principů - třeba zákazníkovi nebo regulátorovi. Certifikace je samostatné rozhodnutí a stojí peníze i čas.
Nezavalí nás to papírováním?
Když se to udělá špatně, ano. Proto rozsah přizpůsobuji velikosti firmy. Dokument, který nikdo nečte, je jen náklad - ne ochrana.
Jsme malá firma. Týká se nás to?
Možná. Kritérium bývá obor a velikost, ale i malý dodavatel velké firmy dostane dotazník. To se dá zjistit během první konzultace.
Máte certifikaci ISO 27001?
Nemám a neuvádím to. Pracuji podle principů těchto norem a připravím vás na audit - samotný certifikát vydává akreditovaný certifikační orgán, ne konzultant.
Čeká vás audit?
Projdeme vaši situaci a řeknu vám, kde jste, co chybí a co řešit jako první. Nezávazně.
Domluvit nezávaznou konzultaci →