Ako uprava traži jasan odgovor na pitanje koliko je organizacija stvarno spremna za regulatorni nadzor, a sigurnosni tim ima desetke dokumenata, procedura i tehničkih mjera raspršenih po različitim sustavima, problem nije samo u sigurnosti. Problem je u dokazivosti. Upravo zato samoprocjena cyber usklađenosti postaje operativni alat, a ne samo još jedna formalnost za internu evidenciju.
Za subjekte koji podliježu zahtjevima iz Zakona o kibernetičkoj sigurnosti, pripadajućih uredbi i NIS2 okvira, pitanje više nije treba li procjenjivati usklađenost, nego kako to učiniti brzo, konzistentno i na način koji se može braniti pred upravom, internom revizijom i regulatorom. Dobra samoprocjena ne služi tome da organizacija sama sebi da prolaznu ocjenu. Služi tome da precizno pokaže gdje su kontrole uspostavljene, gdje su djelomične i gdje postoji stvarni regulatorni rizik.
Što samoprocjena cyber usklađenosti stvarno mora dati
U praksi postoje dvije krajnosti koje stvaraju probleme. Prva je površna procjena, najčešće u obliku tablice s odgovorima da ili ne, bez jasne veze s dokazima. Druga je preširok projekt koji traje mjesecima i troši resurse prije nego što organizacija uopće dobije početnu sliku stanja. Nijedna opcija nije dobra ako postoji obveza pravodobnog i dokumentiranog usklađivanja.
Korisna samoprocjena mora dati tri stvari. Prvo, pregled primjenjivih obveza – jer nisu svi zahtjevi jednako relevantni za svaki subjekt. Drugo, procjenu stvarnog stanja kontrola – ne samo postojanje dokumenata, nego i njihovu operativnu primjenu. Treće, plan daljnjeg postupanja – s prioritetima, odgovornostima i razumljivim redoslijedom aktivnosti.
To je osobito važno u organizacijama koje već imaju određenu razinu informacijskih sigurnosnih politika, ali nemaju mapiranje tih politika na konkretne regulatorne zahtjeve. U takvom okruženju često postoji lažan osjećaj sigurnosti. Dokument postoji, ali nije ažuriran. Kontrola je formalno definirana, ali nije dokaziva. Proces je uveden, ali nije jasno tko ga nadzire i kako se evidentira njegovo provođenje.
Zašto je samoprocjena cyber usklađenosti često netočna
Najčešći razlog nije nedostatak volje, nego nedostatak strukture. Kada se procjena radi ručno, odgovori ovise o interpretaciji pojedinaca. IT smatra da je kontrola uspostavljena jer postoji tehničko rješenje. Usklađenost smatra da nije, jer nema formalizirane procedure. Interna revizija traži dokaz. Uprava traži status. Svatko gleda isti problem iz druge perspektive.
Drugi čest problem je to što se procjena svodi na inventuru dokumenata. To nije dovoljno. Regulatorna usklađenost u području kibernetičke sigurnosti ne procjenjuje se samo prema tome imate li pravilnik, plan ili odluku, nego i prema tome može li se pokazati da se kontrola provodi, prati i po potrebi korigira.
Treći problem je izostanak prioritizacije. Ako izvještaj nabroji dvadeset nedostataka bez razlike između kritičnih i administrativnih, organizacija ne dobiva upravljiv plan. Dobiva popis koji opterećuje timove i često vodi odgađanju. Usklađivanje tada postaje projekt bez fokusa.
Kako izgleda operativno korisna procjena
Dobra procjena počinje opsegom. Potrebno je odrediti koji se subjekt procjenjuje, koje su regulatorne obveze primjenjive, koje funkcije sudjeluju i koji su ključni izvori dokaza. Bez toga se vrlo brzo otvara previše tema odjednom, a rezultat je neujednačen.
Nakon definiranja opsega slijedi mapiranje zahtjeva na kontrole i postojeću dokumentaciju. Tu se vidi stvarna vrijednost strukturiranog pristupa. Umjesto da timovi odgovaraju na apstraktna pitanja, procjena se vodi kroz konkretne domene – upravljanje rizicima, incidenti, pristupi, kontinuitet poslovanja, upravljanje dobavljačima, nadzor, edukacija, tehničke i organizacijske mjere.
Treći korak je validacija dokaza. To je trenutak u kojem procjena prestaje biti deklarativna. Ako organizacija tvrdi da provodi upravljanje pristupima, mora biti jasno gdje su pravila definirana, kako se odobravaju prava, kako se provodi revizija pristupa i kako se taj proces može dokazati. Isto vrijedi za prijavu incidenata, upravljanje ranjivostima ili planove oporavka.
Na kraju dolazi ocjena zrelosti i plan djelovanja. Ovdje nije cilj stvoriti akademski model, nego odrediti što treba napraviti prvo, što može ići u drugoj fazi i što je već dovoljno uspostavljeno. U dobro vođenom procesu rezultat nije samo status usklađenosti, nego i jasan radni plan za sljedećih 30, 90 ili 180 dana.
Gdje organizacije najčešće nalaze nesukladnosti
Većina nesukladnosti ne nastaje zato što organizacija nema nikakve mjere, nego zato što mjere nisu cjelovite ili nisu dovoljno formalizirane. Posebno se to vidi u upravljanju dobavljačima, vođenju evidencija, klasifikaciji imovine, postupanjima kod incidenata i redovitom preispitivanju kontrola.
U reguliranim sektorima dodatni izazov predstavlja koordinacija više funkcija. Sigurnost, pravni tim, usklađenost, poslovne funkcije i IT infrastruktura često rade dobro unutar svojih domena, ali bez jedinstvenog okvira procjene ostaju praznine između odgovornosti. Upravo se u tim prazninama pojavljuju regulatorni problemi.
Treba uzeti u obzir i veličinu organizacije. Srednje veliki subjekti često imaju dovoljno složen sustav da su izloženi značajnim obvezama, ali nemaju veliki interni GRC tim. Veliki subjekti, s druge strane, najčešće imaju više sustava, više lokacija i više vlasnika procesa, pa im je najveći izazov dosljednost i centralizirana preglednost.
AI i automatizacija mijenjaju tempo, ali ne i odgovornost
Sve više organizacija želi ubrzati samoprocjenu korištenjem automatizacije i AI analize dokumentacije. To je razuman smjer, ali samo ako je alat izgrađen oko regulatorne logike, upravljanja dokazima i sigurnosti podataka. Brzina sama po sebi nije vrijednost ako rezultat nije vjerodostojan.
Prava korist automatizacije je u tome što smanjuje administrativno opterećenje, standardizira način procjene i ubrzava identifikaciju praznina. AI može pomoći u prepoznavanju nedostajućih elemenata u dokumentaciji, usporedbi postojećih politika s regulatornim zahtjevima i pripremi izvješća za upravu ili reviziju. No odgovornost za sadržaj i dalje ostaje na organizaciji. Zato je kvaliteta metodologije važnija od atraktivnog sučelja.
U tom kontekstu posebno su važni privatnost podataka, kontrola pristupa i lokacija obrade. Organizacije koje rade s osjetljivim podacima neće olako prepustiti dokumentaciju alatima bez jasnih sigurnosnih jamstava. Zato se kod odabira rješenja ne gleda samo funkcionalnost, nego i način hostinga, enkripcija, auditabilnost i mogućnost zadržavanja kontrole nad podacima.
Kada je samoprocjena dovoljna, a kada treba i stručna podrška
To ovisi o zrelosti organizacije, internim kapacitetima i roku u kojem treba doći do rezultata. Ako organizacija već ima ustrojene sigurnosne procese, jasno vlasništvo nad kontrolama i centraliziranu dokumentaciju, samostalna procjena može biti vrlo učinkovita. U tom slučaju najveća vrijednost je u standardizaciji i brzini.
Ako su dokumenti raspršeni, odgovornosti nejasne ili postoji pritisak regulatornog roka, stručna podrška postaje praktična odluka. Ne zato što timovi ne znaju svoj posao, nego zato što vanjska metodologija i iskustvo ubrzavaju donošenje zaključaka i smanjuju rizik pogrešne interpretacije. Posebno kada treba izraditi plan daljnjeg postupanja koji je realan, branljiv i usklađen s poslovnim prioritetima.
Zato tržište sve više traži platforme koje nisu klasični, teški GRC sustavi, nego operativna rješenja za konkretan regulatorni problem. U tom smislu ITrevizija.hr odgovara potrebama organizacija koje žele brz početak, strukturirano vođenje kroz obveze i preglednu evidenciju dokaza bez dugotrajne implementacije.
Što uprava treba tražiti od rezultata procjene
Upravi nije potreban dokument od stotinu stranica koji nitko neće koristiti. Potreban joj je pouzdan odgovor na tri pitanja: gdje smo sada, koliki je rizik i što radimo dalje. Ako samoprocjena ne može sažeti stanje na toj razini, nije dovoljno upotrebljiva za donošenje odluka.
To ne znači da detalji nisu važni. Naprotiv. Detalji su ključni za revizijski trag i provedbu mjera. Ali izlaz procjene mora biti složen tako da istovremeno služi i operativnim timovima i rukovodstvu. To je razlika između procjene koja ostaje u mapi i procjene koja pokreće stvarne promjene.
Najvrjedniji rezultat nije visoka ocjena, nego jasna slika. Kada organizacija zna koje su joj obveze, koje dokaze ima, koje kontrole treba doraditi i kojim redoslijedom to treba napraviti, usklađivanje prestaje biti nejasan regulatorni teret. Postaje upravljiv proces. A upravo je to trenutak kada samoprocjena cyber usklađenosti počinje donositi stvarnu poslovnu vrijednost.