Pravo pitanje nije imate li rizike, nego znate li koji od njih stvarno mogu zaustaviti poslovanje, izazvati regulatorni problem ili otvoriti odgovornost uprave. Upravo zato procjena rizika kibernetičke sigurnosti ne bi smjela biti formalnost za revizijsku mapu, nego radni alat za donošenje odluka, određivanje prioriteta i dokazivanje da organizacija upravlja prijetnjama na razini koja odgovara njezinoj ulozi, sektoru i obvezama.
Za srednje i velike organizacije problem rijetko leži u manjku sigurnosnih aktivnosti. Češće nedostaje struktura. Postoje tehničke kontrole, postoje politike, postoji dio dokumentacije, ali nije jasno koje prijetnje imaju najveći poslovni učinak, gdje su stvarne slabosti i kako to povezati sa zahtjevima zakona, uredbi i internih pravila. Tada procjena prestaje biti analitička vježba i postaje temelj upravljanja.
Što procjena rizika kibernetičke sigurnosti mora dati upravi
Dobra procjena ne završava popisom prijetnji. Ona mora odgovoriti na nekoliko poslovno važnih pitanja. Koji su ključni sustavi i procesi, što bi se dogodilo kada bi bili nedostupni, kompromitirani ili izmijenjeni, kolika je vjerojatnost takvog događaja i jesu li postojeće kontrole dovoljne.
Upravi nije koristan dokument koji samo opisuje opasnosti na visokoj razini. Koristan je rezultat koji pokazuje gdje treba ulagati, što treba hitno zatvoriti, koje mjere su regulatorno nužne i koje odluke više nije razumno odgađati. U tom smislu procjena rizika kibernetičke sigurnosti služi i kao alat odgovornosti. Ako je napravljena površno, teško je dokazati primjereno upravljanje. Ako je napravljena precizno, postaje osnova za plan aktivnosti, budžet i revizijske tragove.
Od čega procjena stvarno kreće
Najčešća pogreška je početak od tehnologije umjesto od poslovnog konteksta. Rizik ne postoji u vakuumu. On se procjenjuje u odnosu na imovinu, procese, ovisnosti i posljedice. Zato prvi korak nije skeniranje ranjivosti, nego razumijevanje što organizacija mora štititi i zašto.
To uključuje ključne poslovne usluge, kritične aplikacije, infrastrukturu, podatke, vanjske dobavljače i osobe koje imaju privilegirani pristup. U reguliranim sektorima posebno je važno mapirati i regulatorne obveze. Nije isto procjenjujete li sustav čija nedostupnost usporava interni rad ili sustav čiji incident može utjecati na pacijente, klijente, financijske transakcije ili kontinuitet ključne usluge.
Kada je taj kontekst jasan, procjena dobiva oblik. Tada je moguće smisleno rangirati prijetnje poput ransomwarea, kompromitacije identiteta, pogrešne konfiguracije, propusta dobavljača, curenja podataka ili neuspjeha segmentacije mreže. Bez te osnove organizacije često troše resurse na ono što je vidljivo, a ne na ono što je stvarno kritično.
Kako izgleda operativno korisna procjena rizika
Operativno korisna procjena spaja tri sloja. Prvi je poslovni učinak. Drugi je sigurnosna izloženost. Treći je usklađenost. Tek kada su ta tri sloja povezana, organizacija dobiva sliku koja se može pretvoriti u akciju.
Poslovni učinak pokazuje koliko bi incident pogodio prihode, kontinuitet, ugovorne obveze, reputaciju i odgovornost prema korisnicima ili građanima. Sigurnosna izloženost pokazuje koliko su prijetnje realne s obzirom na arhitekturu, procese, pristupe i postojeće kontrole. Usklađenost pokazuje postoji li dodatni pritisak iz propisa, sektorskih pravila ili internih standarda.
Tu se često vidi razlika između formalne i zrele procjene. Formalna procjena generira općenite ocjene i završava u PDF-u. Zrela procjena vodi do konkretnih odluka, primjerice da je potrebno zatvoriti višefaktorsku autentikaciju na određenim pristupima, urediti logging i nadzor, ojačati upravljanje dobavljačima ili redefinirati plan odgovora na incidente. Drugim riječima, ne traži samo što je loše, nego što treba napraviti i kojim redoslijedom.
Metodologija je važna, ali nije sama sebi svrha
Mnoge organizacije zapnu na pitanju koju metodologiju koristiti. To jest važno, ali samo do određene mjere. Bitnije je da je pristup dosljedan, dokumentiran i primjeren vrsti subjekta, nego da zvuči impresivno na papiru.
Ako je model previše apstraktan, poslovni vlasnici ga neće koristiti. Ako je previše tehnički, uprava iz njega neće moći donositi odluke. Ako je previše birokratski, procjena će se raditi jednom godišnje radi forme i već sljedeći mjesec izgubiti vrijednost. Dobar model mora biti dovoljno jasan da ga se može ponavljati, dovoljno precizan da podnese reviziju i dovoljno praktičan da iz njega nastane plan daljnjeg postupanja.
To posebno dolazi do izražaja u kontekstu zahtjeva povezanih sa ZKS-om i NIS2 obvezama. Organizacije ne trebaju samo teorijski ispravan okvir, nego dokaziv proces koji povezuje procjenu rizika, nesukladnosti, odgovorne osobe, rokove i revizijske dokaze.
Gdje organizacije najčešće griješe
Najskuplje pogreške obično nisu tehnički najkompleksnije. Često su organizacijske. Jedna od njih je oslanjanje na zastarjelu sliku okruženja. Ako su se u međuvremenu promijenili dobavljači, uvedeni novi sustavi, otvoreni udaljeni pristupi ili proširene ovlasti korisnika, stara procjena više ne odražava stvarni rizik.
Druga je pogreška odvajanje procjene rizika od dokazne dokumentacije. Ako tvrdite da je kontrola uspostavljena, morate moći pokazati politiku, evidenciju, konfiguraciju, zapis ili drugi dokaz. U suprotnom procjena ostaje tvrdnja bez uporišta. To je problem i za internu sigurnost i za regulatornu spremnost.
Treća je pogreška tretiranje svih rizika kao jednako važnih. Nisu. Neki zahtijevaju trenutačnu intervenciju, neki plansko unaprjeđenje, a neki prihvaćanje uz jasan razlog i odobrenje. Kada toga nema, timovi se rasprše, budžet odlazi na manje bitne teme, a kritični propusti ostaju otvoreni.
Procjena rizika kibernetičke sigurnosti i usklađenost
Usklađenost sama po sebi ne jamči sigurnost, ali bez dobre procjene rizika ni usklađenost nije uvjerljiva. Regulatorni zahtjevi sve jasnije očekuju da organizacije razumiju vlastitu izloženost, primjenjuju primjerene mjere i mogu pokazati kako su do tih mjera došle.
To znači da procjena mora biti povezana s upravljačkim odlukama, klasifikacijom imovine, incident response procesima, kontinuitetom poslovanja, upravljanjem dobavljačima i kontrolom pristupa. Ako svaki od tih elemenata postoji odvojeno, bez zajedničke logike, organizacija teško dokazuje da sustavno upravlja rizikom.
Za subjekte koji se pripremaju za regulatorne provjere posebno je važno da rezultat procjene ne ostane samo na razini ocjena nisko, srednje i visoko. Potrebno je imati jasan trag – koji je rizik identificiran, koji je dokaz pregledan, koja je mjera određena, tko je odgovoran i u kojem roku se provodi. Upravo tu digitaliziran i strukturiran pristup donosi stvarnu vrijednost.
Zašto ručni pristup sve teže funkcionira
Tablice, e-mailovi i raspršeni dokumenti mogu poslužiti u malom okruženju, ali kod složenijih organizacija brzo postaju prepreka. Verzije se miješaju, dokazi ostaju po odjelima, status aktivnosti nije jasan, a svaka nova provjera kreće gotovo ispočetka. Problem nije samo neefikasnost, nego i gubitak pouzdanosti.
Kada se procjena vodi kroz strukturiranu platformu, dobiva se preglednost nad obvezama, statusima, dokazima i prioritetima. To je posebno korisno kada treba povezati samoprocjenu, analizu dokumentacije, izradu izvješća i plan korektivnih aktivnosti. U takvom modelu procjena rizika kibernetičke sigurnosti više nije izoliran dokument, nego živi proces kojim se može upravljati.
Za organizacije koje žele ubrzati regulatornu spremnost bez višemjesečnog GRC projekta, takav pristup je često razumniji od gradnje kompleksnog sustava od nule. Ako je pritom osigurana zaštita podataka, kontrola pristupa, EU hosting i mogućnost on-premise implementacije za osjetljivije subjekte, uklanja se i dio opravdanih operativnih prigovora.
Što bi trebao biti rezultat nakon procjene
Nakon procjene organizacija bi trebala imati tri vrlo konkretna izlaza. Prvi je rangirana slika rizika koja razlikuje kritične, značajne i prihvatljive izloženosti. Drugi je plan daljnjeg postupanja s mjerama, nositeljima i rokovima. Treći je skup uredno povezanih dokaza koji podupiru zaključke i olakšavaju internu ili vanjsku provjeru.
Ako jedan od ta tri elementa nedostaje, vrijednost procjene pada. Bez prioriteta nema fokusa. Bez plana nema provedbe. Bez dokaza nema uvjerljivosti. Zato kvalitetna procjena nije samo sigurnosni dokument, nego alat za upravljanje promjenom.
U praksi se najboljim pokazuje pristup koji kombinira regulatornu preciznost, tehnološku podršku i stručnu interpretaciju nalaza. Upravo tu platforme poput ITrevizija.hr imaju smisla – ne zato što zamjenjuju odgovornost organizacije, nego zato što je pretvaraju u strukturiran, pratljiv i operativno izvediv proces.
Najkorisnija procjena nije ona koja izgleda najopsežnije, nego ona nakon koje je jasno što treba napraviti već ovaj tjedan, što treba riješiti u ovom kvartalu i što uprava može s razlogom smatrati prihvatljivim rizikom.