← Späť na aktuality

Ako sa pripraviť na audit alebo kontrolu v oblasti kybernetickej bezpečnosti

Audit alebo kontrola nemajú byť stresovou improvizáciou. Ak organizácia vie, čo má preukázať a má nastavené základné procesy, príprava je zvládnuteľná a oveľa pokojnejšia.

Mnohé organizácie začnú tému auditu riešiť až v momente, keď už je termín blízko. To je jedna z najčastejších chýb. Auditná pripravenosť totiž nevzniká za jeden deň. Je výsledkom toho, že organizácia priebežne vie, čo sa jej týka, má určené zodpovednosti a má základné výstupy v poriadku.

Prvým krokom je urobiť si realistický obraz o aktuálnom stave. Má organizácia aktuálnu dokumentáciu? Vie preukázať, ako riadi riziká? Sú zodpovednosti jasne rozdelené? Vie opísať, ako by riešila incident? Práve tieto otázky často odhalia, kde sú slabé miesta.

Dôležité je pochopiť, že audit sa nepozerá len na text dokumentov. Sleduje aj to, či organizácia rozumie tomu, čo má nastavené, a či to vie preukázať v praxi. Preto je vhodné pripravovať sa nielen formálne, ale aj procesne a komunikačne.

Veľmi pomáha, ak si organizácia ešte pred auditom urobí interné alebo externé predbežné preverenie. Takýto krok odhalí medzery bez zbytočného stresu a umožní ich riešiť v pokojnejšom režime.

Dobrá príprava na audit nespočíva v tom, že vytvoríte čo najviac dokumentov. Spočíva v tom, že viete ukázať, čo je pre vašu organizáciu relevantné, čo ste urobili a ako máte nastavený ďalší postup.