Ako ste otvorili obrazac i shvatili da pitanje izgleda jednostavno, a odgovor nosi regulatornu težinu, već ste na pravom tragu. Upravo tu najčešće počinje problem s temom kako ispuniti ZKS upitnik – ne u tehničkom unosu podataka, nego u tumačenju što se stvarno pita, koji dokaz stoji iza odgovora i tko u organizaciji može potvrditi njegovu točnost.
ZKS upitnik nije administrativna formalnost. On je praktičan test zrelosti vaše organizacije u području kibernetičke sigurnosti, upravljanja rizicima, internih kontrola i dokazive usklađenosti. Ako se ispunjava površno, rezultat nije samo lošiji dojam na papiru. Posljedica je netočna slika stvarnog stanja, a to kasnije otežava nadzor, internu provjeru i planiranje aktivnosti.
Kako ispuniti ZKS upitnik bez pogrešnog tumačenja
Prvo pravilo je jednostavno: ne odgovarajte prema dojmu, nego prema dokazivom stanju. U praksi to znači da odgovor “da” vrijedi tek kada postoji jasno definirana mjera, dokumentirana procedura ili dokaz provedbe. Ako organizacija “uglavnom” radi nešto, ali to nije formalizirano ili se ne provodi dosljedno, tada odgovor često nije potvrdan, bez obzira na dobru namjeru.
Drugo pravilo je da upitnik ne smije ostati samo na IT odjelu. Pitanja često zahvaćaju upravljačke odgovornosti, procjenu rizika, kontinuitet poslovanja, upravljanje dobavljačima, edukaciju zaposlenika i prijavu incidenata. To znači da za kvalitetno ispunjavanje trebate uključiti više funkcija – sigurnost, IT, pravne poslove, compliance, internu reviziju, upravljanje rizicima i, po potrebi, poslovne vlasnike procesa.
Treće pravilo je razumjeti razliku između postojećeg stanja i planiranog stanja. Ako je kontrola u pripremi, to nije isto kao da je uspostavljena. Regulatorni obrasci ne ocjenjuju namjeru, nego operativnu provedbu.
Što pripremiti prije nego krenete ispunjavati ZKS upitnik
Najviše vremena gubi se kad se upitnik otvori prerano, bez pripreme. Tada svako pitanje vodi u novo traženje dokumenata, dodatne pozive kolegama i naknadne korekcije. Puno je učinkovitije prvo pripremiti osnovni paket dokaza i odgovornosti.
Korisno je krenuti od važećih internih akata i evidencija. To tipično uključuje politike informacijske sigurnosti, procjene rizika, procedure upravljanja incidentima, planove oporavka i kontinuiteta poslovanja, evidencije edukacija, zapise o testiranjima, evidenciju imovine, upravljanje pristupima i relevantne ugovorne obveze prema dobavljačima. Neće svaka organizacija imati sve u istoj razini detalja, ali bez tih izvora odgovori lako postanu procjena umjesto činjenice.
Odmah na početku odredite i vlasnika svake skupine pitanja. Pitanje o prijavi incidenata nije isto što i pitanje o segmentaciji mreže, a pitanje o upravljačkom nadzoru nije isto što i pitanje o tehničkom praćenju. Kada je vlasništvo nejasno, nastaju kontradiktorni odgovori i nepotrebno vraćanje na već ispunjene dijelove.
Najčešća logika pitanja i kako na nju odgovoriti
Velik dio teškoće nije u sadržaju, nego u formulaciji. Pitanje često zvuči binarno, a stvarnost je složenija. Zato je korisno čitati svako pitanje kroz tri filtera: postoji li formalno pravilo, provodi li se u praksi i može li se to dokazati.
Ako, primjerice, postoji politika upravljanja pristupima, ali se recertifikacija prava ne radi periodično, tada odgovor nije potpuno pozitivan. Ako se incidenti tehnički evidentiraju u alatu, ali nema definiranog procesa eskalacije i regulatornog izvještavanja, i dalje postoji praznina. Ako je procjena rizika napravljena prije dvije godine i nije ažurirana nakon značajnih promjena sustava, njezina vrijednost za upitnik može biti ograničena.
Tu se vidi ključna razlika između formalne i stvarne usklađenosti. ZKS upitnik ne traži samo postojanje dokumenta, nego pokazuje je li organizacija operativno sposobna upravljati sigurnosnim obvezama.
Kad odgovor nije potpuno “da” ni potpuno “ne”
Upravo su takve situacije najčešće. Organizacija ima dio procesa, ali ne i cijeli kontrolni okvir. U tom slučaju treba biti oprezan. Preoptimističan odgovor kratkoročno izgleda uredno, ali dugoročno stvara problem jer se kasnije mora braniti dokazima. Konzervativniji pristup obično je sigurniji, pod uvjetom da interno zabilježite što postoji, što nedostaje i što treba doraditi.
To je posebno važno za srednje i velike subjekte kod kojih se ista praksa razlikuje po poslovnim jedinicama. Jedan dio organizacije može imati dobar proces, dok drugi radi ad hoc. Ako se daje jedinstven odgovor na razini cijelog subjekta, mora odražavati ukupno stanje, ne najbolji pojedinačni primjer.
Gdje organizacije najčešće griješe
Najčešća pogreška je zamjena tehničke kontrole poslovnim odgovorom. Primjerice, implementiran alat ne znači automatski da postoji uređen proces. Sustav za nadzor može biti aktivan, ali bez definirane odgovornosti, zapisnika pregleda i praga eskalacije njegova usklađenosna vrijednost ostaje ograničena.
Druga česta pogreška je oslanjanje na usmenu potvrdu. Netko u timu zna da se određena aktivnost radi, ali ne postoji zapis, odobrenje, izvještaj ili trag u sustavu. Za internu koordinaciju to ponekad prolazi. Za regulatorni kontekst nije dovoljno.
Treća pogreška je ispunjavanje upitnika kao izoliranog zadatka. Kada se obrazac popuni i spremi bez povezivanja s planom otklanjanja nesukladnosti, propušta se njegova najveća vrijednost. Upitnik bi trebao poslužiti kao osnova za prioritizaciju – što treba urediti odmah, što u sljedećem ciklusu i koje mjere nose najveći učinak na smanjenje rizika.
Kako ispuniti ZKS upitnik brže, a da odgovor ostane vjerodostojan
Brzina je realan zahtjev, posebno u organizacijama koje paralelno vode više regulatornih i operativnih inicijativa. Ali ubrzanje ne smije značiti improvizaciju. Najbolji pristup je strukturirati proces u dva prolaza.
Prvi prolaz služi za grubo mapiranje postojećeg stanja. Tada identificirate gdje postoje jasni dokazi, gdje postoje djelomične kontrole i gdje je stanje nejasno. Drugi prolaz služi za potvrdu odgovora i prikupljanje revizijskih tragova. Takav pristup je znatno učinkovitiji od pokušaja da se sve riješi odjednom.
Pomaže i centralizirano upravljanje dokazima. Kada su politike, zapisnici, potvrde edukacija, evidencije testiranja i procjene rizika raspršeni po više odjela i mapa, svako pitanje traje predugo. Organizacije koje uspostave jedinstveno mjesto za pregled dokaza brže dolaze do točnog odgovora i lakše prate što još nedostaje.
Upravo tu digitalni alati imaju operativnu vrijednost. Ne zato što zamjenjuju stručnu procjenu, nego zato što smanjuju administrativni teret, standardiziraju način rada i omogućuju da se odgovor odmah veže uz dokaz, nesukladnost i akcijski plan. U praksi je to razlika između jednokratnog ispunjavanja obrasca i kontinuirane regulatorne spremnosti.
Što nakon ispunjenog upitnika
Ispunjen obrazac nije kraj posla. On je početak ozbiljnijeg upravljanja usklađenošću. Nakon što odgovorite na pitanja, treba pogledati širu sliku: koje su slabosti sustavne, koje su tehničke, a koje proizlaze iz upravljanja, odgovornosti ili nedostatka formalizacije.
Neke praznine možete zatvoriti relativno brzo, primjerice dopunom procedura, formalnim imenovanjem odgovornih osoba ili uvođenjem redovitih pregleda. Druge će tražiti više vremena, budžeta i koordinacije, poput jačanja upravljanja dobavljačima, segmentacije, testiranja otpornosti ili izrade zrelijeg modela upravljanja incidentima. Bitno je da sve ne tretirate jednako. Prioritet trebaju imati kontrole koje utječu na najveće rizike i regulatorne obveze.
Ako se proces vodi ispravno, ZKS upitnik postaje vrlo koristan alat za upravu, CISO-a, compliance i internu reviziju. Daje zajednički jezik za razgovor o stvarnom stanju sigurnosti i pokazuje gdje organizacija treba ulagati napor da bi bila dokazivo spremna.
Kada ima smisla uključiti platformu ili vanjsku podršku
Ako vaša organizacija ima složenu strukturu, više lokacija, velik broj informacijskih sustava ili stroge zahtjeve za dokazivost, ručni pristup brzo postaje prespor. Isto vrijedi kada se isti skup dokaza koristi za više regulatornih ili revizijskih potreba. Tada nije problem samo ispuniti jedan upitnik, nego održavati konzistentnost odgovora kroz vrijeme.
U takvim okolnostima platforma koja povezuje samoprocjenu, dokaze, AI analizu dokumentacije, upravljanje nesukladnostima i izradu plana daljnjeg postupanja daje mjerljivu prednost. ITrevizija.hr je upravo zato koncipirana kao operativno rješenje za organizacije koje trebaju brz, strukturiran i sigurnosno pouzdan put do usklađenosti, bez višemjesečne implementacije tipične za klasične GRC sustave.
Najvažnije je ipak zadržati zdrav kriterij. Niti alat niti vanjski savjetnik ne mogu vjerodostojno potvrditi ono što organizacija sama ne provodi. Dobra podrška ubrzava, strukturira i pojašnjava proces, ali odgovornost za stvarno stanje kontrola ostaje u organizaciji.
Kad sljedeći put otvorite obrazac, nemojte si postaviti pitanje kako ga što prije završiti. Puno korisnije pitanje glasi: može li svaka tvrdnja u njemu izdržati provjeru, danas i za šest mjeseci. Tu počinje stvarna usklađenost.