Dokument postoji, ali odgovara li doista konkretnom zahtjevu? Je li aktualan, odobren, primjenjiv na pravi sustav i potkrijepljen zapisima o provedbi? Upravo tu AI analiza dokaza mijenja način na koji organizacije upravljaju usklađenošću s obvezama iz Zakona o kibernetičkoj sigurnosti, Uredbe o kibernetičkoj sigurnosti i NIS2 regulative. Ne zamjenjuje stručnu prosudbu, ali uklanja velik dio ručnog pretraživanja, uspoređivanja i administrativnog rada koji usporava sigurnosne i revizijske timove.
Za upravu, CISO-a, voditelja usklađenosti ili internog revizora problem rijetko nije nedostatak dokumenata. Problem je što se dokumentacija nalazi u više spremišta, različitih je verzija, nije povezana s kontrolama i često ne pruža jasan odgovor na pitanje: možemo li dokazati da obvezu provodimo?
Zašto dokazi postaju usko grlo usklađenosti
Usklađenost nije popis politika spremljenih u mapi. Ona traži dokaziv odnos između regulatornog zahtjeva, interne kontrole, odgovorne osobe, dokumentiranog dokaza i stvarne provedbe. Primjerice, politika upravljanja pristupima može potvrditi da je organizacija definirala pravila. Izvještaji o periodičnim pregledima korisničkih ovlasti, zapisnici o odobrenjima i evidencije deaktiviranih računa pokazuju provodi li se politika u praksi.
Ta razlika postaje posebno važna tijekom nadzora, interne revizije ili incidenta. Revizor ne procjenjuje samo postoji li dokument, nego njegov sadržaj, relevantnost, datum, vlasništvo, povezanost s traženom mjerom i kvalitetu provedbenog traga. Ako je odgovor raspršen kroz e-poštu, tablice, mrežne diskove i alate za upravljanje projektima, priprema može potrošiti stotine radnih sati godišnje.
Ručno upravljanje takvim procesom nosi i operativne rizike. Timovi mogu previdjeti zastarjeli dokument, pogrešno povezati dokaz s kontrolom ili prihvatiti izjavu kao dokaz bez provjerljivog zapisa. Rezultat je privid usklađenosti – stanje u kojem organizacija vjeruje da je zahtjev pokriven, ali to ne može uvjerljivo pokazati.
Kako AI analiza dokaza radi u praksi
AI analiza dokaza polazi od strukturiranog pitanja: što određeni regulatorni zahtjev ili kontrola traži dokazati? Nakon što se dokument, zapisnik, izvještaj, procedura ili drugi prilog učita u sustav, AI može analizirati njegov sadržaj i procijeniti njegovu povezanost s tim zahtjevom.
Korisna analiza ne završava oznakom da je dokument relevantan. Ona treba izdvojiti dijelove teksta koji podupiru procjenu, prepoznati nedostajuće elemente i dati obrazloženu osnovu za daljnju provjeru. Ako dokument opisuje proces upravljanja incidentima, sustav može utvrditi spominje li se klasifikacija incidenata, eskalacija, odgovornosti, rokovi, komunikacija i naknadna analiza. Time stručna osoba ne kreće od prazne stranice, nego od strukturiranog nalaza koji može potvrditi, dopuniti ili odbiti.
Važno je razlikovati analizu sadržaja od automatskog donošenja konačne odluke. AI može brzo usporediti velik broj dokumenata s unaprijed definiranim kriterijima, prepoznati obrasce i označiti moguća odstupanja. Međutim, konačna ocjena usklađenosti mora ostati pod nadzorom osobe koja razumije kontekst organizacije, opseg sustava i stvarnu primjenu kontrole. Isti dokument može biti dovoljan za manji subjekt s jednostavnijom infrastrukturom, a nedostatan za organizaciju koja upravlja kritičnim uslugama ili osjetljivim podacima.
Od dokumenta do provjerljive tvrdnje
Kvalitetan proces povezuje svaki dokaz s konkretnom obvezom i statusom. Tako se umjesto općenite tvrdnje da organizacija ima politiku sigurnosti dobiva provjerljiva slika: politika postoji, vlasnik je imenovan, odobrena je određenog datuma, obuhvaća tražena područja, postoji dokaz komunikacije zaposlenicima i definiran je rok za njezin pregled.
Takva struktura omogućuje i jasnije upravljanje neusklađenostima. Kada analiza pokaže da nedostaje periodični pregled, nije dovoljno označiti kontrolu kao djelomično ispunjenu. Potrebno je otvoriti aktivnost, odrediti vlasnika, rok, prioritet i očekivani dokaz zatvaranja. Usklađenost tada postaje upravljiv operativni proces, a ne jednokratna priprema za nadzor.
Što AI može otkriti, a što ne smije pretpostaviti
Najveća vrijednost AI-a je brzina obrade i dosljednost početne provjere. Može identificirati dokumente koji su potencijalno relevantni, izdvojiti reference na kontrole, uočiti nedostatak ključnih pojmova, usporediti verzije te upozoriti na sadržaj koji je očito zastario ili nepotpun. Kod velikog broja dokaza to značajno smanjuje vrijeme potrebno za trijažu.
No, AI ne može pouzdano zaključiti da se proces doista provodi samo zato što procedura postoji. Politika bez evidencije provedbe nije potpuni dokaz. Jednako tako, zapis o provedenoj aktivnosti ne potvrđuje nužno da je aktivnost obavljena kvalitetno, u pravom opsegu i u skladu s odobrenom procedurom.
Zato analiza mora obuhvatiti najmanje tri razine: dokumentiranu namjeru, dokaz provedbe i dokaz nadzora. Prva razina odgovara na pitanje jesu li pravila definirana. Druga potvrđuje izvršava li se aktivnost. Treća pokazuje prati li organizacija učinkovitost kontrole, prepoznaje li odstupanja i poduzima li korektivne mjere.
Poseban oprez potreban je kod tehničkih dokaza. Konfiguracijski izvještaj, zapis iz sigurnosnog alata ili snimka zaslona mogu biti relevantni, ali njihova vrijednost ovisi o izvoru, vremenu nastanka, cjelovitosti i mogućnosti provjere. AI može pomoći kategorizirati i opisati takav materijal, no stručnjak mora procijeniti njegovu vjerodostojnost i kontekst.
Sigurnost podataka nije dodatna opcija
Dokazi usklađenosti često sadržavaju osjetljive podatke: opise mrežne arhitekture, informacije o ranjivostima, zapise o incidentima, podatke o dobavljačima, korisničkim ovlastima ili internim procesima. Slanje takve dokumentacije u nekontrolirana okruženja stvara novi rizik upravo u procesu kojim organizacija pokušava povećati sigurnost.
Zato pri odabiru rješenja treba provjeriti gdje se podaci pohranjuju i obrađuju, tko im može pristupiti, kako se upravlja ovlastima te postoje li mjere zaštite na razini pojedinih polja i zapisa. EU hosting, interni AI modeli, enkripcija i precizna kontrola pristupa nisu marketinške stavke. Oni su preduvjet da analiza dokaza ne ugrozi povjerljivost poslovanja.
Za zahtjevnije subjekte važna može biti i mogućnost on-premise implementacije. Pravi izbor ovisi o regulatornim obvezama, klasifikaciji podataka, internoj sigurnosnoj arhitekturi i politici upravljanja dobavljačima. Standardizirani SaaS pristup može biti optimalan za brzi početak, dok organizacije s posebnim zahtjevima mogu tražiti viši stupanj kontrole nad okruženjem.
Kako uvesti AI analizu bez stvaranja novog administrativnog sloja
Najčešća pogreška je pokušati najprije prikupiti i savršeno urediti svu povijesnu dokumentaciju. To često odgađa projekt mjesecima. Učinkovitiji pristup je započeti s regulatornim obvezama najvećeg prioriteta, postojećim dokazima i jasnim vlasnicima kontrola.
Prvo se definira opseg procjene: koji sustavi, poslovne funkcije i zakonski zahtjevi ulaze u početni ciklus. Zatim se dokazi povezuju s kontrolama, a AI analiza pomaže procijeniti njihovu relevantnost i potpunost. Nalazi se pretvaraju u neusklađenosti ili aktivnosti s rokovima, nakon čega se prati provedba i prikuplja dokaz zatvaranja.
Takav ciklus daje upravi pregled stvarnog stanja, a operativnim timovima konkretan popis sljedećih koraka. Umjesto pitanja gdje su svi dokumenti, organizacija može odgovoriti koje su obveze pokrivene, gdje postoje praznine, tko ih rješava i kada će biti zatvorene.
Platforma ITrevizija.hr pristupa tom procesu kroz povezivanje AI upravljanja dokazima, analize dokumentacije, procjene usklađenosti, upravljanja neusklađenostima i automatiziranog izvješćivanja. Cilj nije uvesti još jedan složeni GRC projekt, nego stvoriti dokaziv, pregledan i održiv put prema regulatornoj spremnosti.
Najbolji trenutak za uspostavu takvog procesa nije neposredno prije nadzora. Počnite s jednom prioritetnom obvezom, provjerite kvalitetu postojećih dokaza i uvedite ritam redovitog pregleda. Kada su dokazi povezani s odgovornostima i aktivnostima, usklađenost prestaje biti hitan administrativni zadatak i postaje mjerljiv dio upravljanja rizikom.