Kad uprava traži jasan odgovor na pitanje koliko je organizacija stvarno spremna za obveze iz ZKS-a, najčešći problem nije manjak dobre volje nego manjak strukture. Upravo zato primjer samoprocjene za ZKS vrijedi više od općeg popisa zahtjeva – pokazuje kako regulatorni tekst pretvoriti u operativan proces, dokazivu procjenu i plan daljnjeg postupanja.
Samoprocjena nije formalnost koju treba “odraditi” prije nadzora. Ona je radni alat za upravu, IT, sigurnost, usklađenost i internu reviziju. Ako je postavljena dobro, daje pregled stvarnog stanja, otkriva gdje nedostaju kontrole i pomaže prioritizirati ulaganja. Ako je postavljena loše, pretvara se u tablicu s optimističnim odgovorima koje kasnije nitko ne može potkrijepiti dokazima.
Što dobar primjer samoprocjene za ZKS mora sadržavati
Dobra samoprocjena ne počinje pitanjem “jesmo li usklađeni”, nego pitanjem “na temelju čega to tvrdimo”. To je ključna razlika između deklarativne i dokazive usklađenosti. U praksi to znači da svaka ocjena treba biti vezana uz konkretan zahtjev, odgovornu osobu, raspoložive dokaze i procjenu zrelosti provedbe.
Za većinu organizacija koristan model uključuje pet elemenata. Prvi je regulatorni zahtjev koji se procjenjuje. Drugi je status usklađenosti, primjerice usklađeno, djelomično usklađeno ili neusklađeno. Treći je opis postojećih mjera. Četvrti su dokazi koji potvrđuju navod. Peti je akcija koja zatvara uočeni jaz, uz rok i vlasnika aktivnosti.
Takav pristup je jednostavan, ali nije trivijalan. Čim se traže dokazi, brzo postaje jasno postoje li stvarne kontrole ili samo pretpostavka da nešto “vjerojatno postoji”. Upravo na toj točki mnoge organizacije otkriju da imaju politike bez operativne provedbe, alate bez definiranih odgovornosti ili procese koji ovise o jednom čovjeku.
Primjer samoprocjene za ZKS na jednom kontrolnom pitanju
Najkorisnije je pogledati kako to izgleda na konkretnom primjeru. Uzmimo područje upravljanja incidentima, koje je redovito među ključnim temama u procjeni usklađenosti.
Kontrolno pitanje
Ima li organizacija formalno definiran i primijenjen postupak za prijavu, klasifikaciju, eskalaciju i rješavanje kibernetičkih incidenata?
Primjer odgovora
Status: Djelomično usklađeno.
Obrazloženje: Organizacija ima usvojenu politiku upravljanja incidentima i operativnu uputu za prijavu incidenata unutar IT odjela. Definirana je osnovna eskalacija prema voditelju IT-a i službeniku za informacijsku sigurnost. Međutim, nisu jasno definirani kriteriji klasifikacije incidenata po ozbiljnosti, nisu obuhvaćeni poslovni vlasnici procesa izvan IT-a, a testiranje postupka nije provođeno u posljednjih 12 mjeseci.
Dokazi: Politika upravljanja incidentima verzija 2.1, evidencija prijavljenih incidenata za tekuću godinu, zapisnik sa zadnje edukacije zaposlenika, organizacijska shema odgovornosti u IT-u.
Uočeni nedostatak: Ne postoji formalna matrica klasifikacije incidenata niti dokaz redovitog testiranja procedure. Uloge poslovnih funkcija, pravne službe i komunikacije nisu dovoljno razrađene.
Preporučena aktivnost: Ažurirati proceduru upravljanja incidentima, definirati klasifikacijsku matricu, uključiti odgovornosti relevantnih poslovnih funkcija i provesti najmanje jednu stolnu vježbu. Rok 60 dana. Vlasnik aktivnosti: CISO uz podršku voditelja IT-a i compliance funkcije.
Ovaj primjer pokazuje bit samoprocjene. Odgovor nije ni previše optimističan ni previše obramben. Priznaje što postoji, jasno navodi što nedostaje i odmah prevodi nalaz u mjerljivu aktivnost. To je format koji uprava može koristiti za odlučivanje, a ne samo za administraciju.
Gdje organizacije najčešće griješe
Najčešća pogreška je poistovjećivanje postojanja dokumenta s usklađenošću. Politika sama po sebi ne znači da je kontrola provedena. Ako nema zapisa, odgovornosti, alata, nadzora ili dokaza o primjeni, procjena će prije ili kasnije ostati bez pokrića.
Drugi čest problem je preširoko odgovaranje. Kad se na kontrolno pitanje odgovori s dvije stranice opisa bez jasnog statusa, nitko ne zna je li nalaz pozitivan ili negativan. Samoprocjena mora biti sažeta, ali dokaziva. Uprava ne treba esej, nego točan pregled stanja i rizika.
Treći problem je da samoprocjenu radi samo IT. To je razumljivo jer je tema tehnička, ali nije dovoljno. ZKS obveze ulaze u područje upravljanja, odgovornosti, kontinuiteta poslovanja, upravljanja dobavljačima, edukacije i izvješćivanja. Ako u procjeni ne sudjeluju i poslovne funkcije, rezultat će biti nepotpun.
Kako strukturirati samoprocjenu da bude korisna upravi
Dobra samoprocjena mora biti čitljiva i onima koji nisu svaki dan u operativi sigurnosti. Zato je korisno organizirati nalaze po područjima kao što su upravljanje, procjena rizika, incidenti, kontinuitet poslovanja, sigurnost dobavnog lanca, kontrola pristupa, ranjivosti i svijest zaposlenika.
Unutar svakog područja preporučljivo je koristiti istu logiku ocjenjivanja. Dosljednost je važnija od savršenog modela. Neke organizacije koriste tri razine, neke pet. Bitno je da svi razumiju što znači pojedina ocjena i da je moguće objasniti zašto je dodijeljena.
Za upravu je posebno korisno kad se uz svako područje prikažu tri informacije: trenutna razina usklađenosti, poslovni rizik ako se jaz ne zatvori i procijenjeni napor za sanaciju. Tek tada procjena postaje alat za prioritizaciju, a ne samo pregled manjkavosti.
Dokazi su razlika između procjene i pretpostavke
Bez upravljanja dokazima samoprocjena brzo postane nepouzdana. Dokumenti su često raspršeni po dijeljenim mapama, poštanskim sandučićima i lokalnim računalima, a verzije se razlikuju. Kad dođe vrijeme za provjeru, tim troši sate na traženje onoga što je navodno već bilo prikupljeno.
Zato je u praksi presudno da uz svaki odgovor postoji vezani dokaz, jasan vlasnik i informacija o aktualnosti dokumenta. Nije isto imate li proceduru staru tri godine bez revizije ili dokument koji je nedavno potvrđen i testiran. Regulatorna spremnost nije statična. Stanje se mijenja kako se mijenjaju sustavi, dobavljači i prijetnje.
Upravo tu digitalni i AI podržani pristup donosi stvarnu operativnu korist. Umjesto ručnog preslagivanja tablica, moguće je voditi procjenu, dokaze, nesukladnosti i plan aktivnosti u jednom kontroliranom okruženju. Za organizacije koje žele brz i strukturiran put do usklađenosti, to je bitna razlika između projekta koji traje tjednima i procesa koji je održiv tijekom cijele godine.
Kada “djelomično usklađeno” nije loš odgovor
Mnoge organizacije imaju otpor prema srednjoj ocjeni jer smatraju da zvuči kao slabost. U stvarnosti je često obrnuto. Odgovor “djelomično usklađeno” može biti znak zrele i poštene procjene, osobito kad su temeljne kontrole postavljene, ali nedostaju formalizacija, testiranje ili potpuna pokrivenost.
Problem nastaje tek ako takva ocjena ostane bez plana. Ako je djelomična usklađenost jasno opisana, potkrijepljena dokazima i povezana s rokovima, ona postaje upravljiv nalaz. Ako ostane neodređena, pretvara se u trajnu sivu zonu iz koje se rizici obično pojave u najgorem trenutku.
Tko treba sudjelovati u izradi samoprocjene
U ozbiljnoj organizaciji samoprocjena za ZKS nije zadatak jedne funkcije. IT i sigurnost obično nose tehnički dio, ali compliance osigurava regulatornu preciznost, interna revizija pomaže s metodologijom i provjerom dokazivosti, a poslovni vlasnici potvrđuju kako kontrole stvarno funkcioniraju u operativi.
Uključivanje uprave također ima smisla, ali ne na razini ispunjavanja pitanja. Uprava treba potvrditi prioritete, toleranciju na rizik i očekivanja glede rokova sanacije. Bez toga samoprocjena može biti točna, ali organizacijski neučinkovita.
Kako izgleda dobar završni rezultat
Najbolji završni rezultat nije savršena tablica, nego jasan pogled na stanje organizacije. To znači da nakon procjene znate koje su kontrole uspostavljene, koje su djelomične, gdje nedostaju dokazi, koji su prioriteti sanacije i tko za što odgovara. Ako taj pregled možete pokazati upravi bez dodatnog tumačenja od sat vremena, procjena je dobro postavljena.
U praksi se najviše cijeni model koji odmah spaja procjenu i provedbu. Kad se iz nalaza automatski formira plan aktivnosti, s odgovornim osobama i rokovima, proces prestaje biti administrativan i postaje upravljački. Upravo takav pragmatičan pristup koriste organizacije koje ne žele višemjesečne implementacije klasičnih GRC sustava, nego operativno rješenje za konkretne regulatorne obveze.
Ako krećete od nule, nemojte pokušavati napisati savršen odgovor na svako pitanje u prvom krugu. Puno je korisnije izraditi poštenu, dokazivu početnu procjenu i zatim je brzo pretvoriti u plan zatvaranja jazova. To je tempo u kojem usklađenost prestaje biti teret, a postaje kontroliran proces koji daje upravi sigurnije odluke i organizaciji veću otpornost.