NIS2 READY

Vyskúšať

Články & Blog

Späť

Ako sa pripraviť na externý audit

Účinná príprava na audit spočíva v preukázaní skutočných, fungujúcich opatrení v praxi – nielen v prezentácii zásad na papieri.

,

Audity sú viac než len kontrola dodržiavania predpisov – overujú, či vaše bezpečnostné opatrenia skutočne fungujú aj v praxi. V Európe zostávajú ransomware a útoky na dostupnosť hlavnými problémami. Audítori sa preto zameriavajú na oblasti: zavádzanie aktualizácií (patchovanie) , testovanie obnovy, kontroly prístupu a monitorovanie. Správa ENISA o hrozbách potvrdzuje, že ide stále o tie isté opakujúce sa slabé články v oblasti kyberbezpečnosti, ktoré kontrolujú aj regulačné orgány.

Porušenia bezpečnosti sú finančne nákladné. Napríklad štúdia firmy IBM z roku 2025 odhaduje priemerné globálne náklady na jeden bezpečnostný incident na 4,4 milióna USD, pričom v niektorých krajinách presahujú priemerné globálne náklady na jeden incident 5 miliónov USD. Preto audítori skúmajú, ako rýchlo organizácie dokážu incidenty odhaliť, zastaviť a zotaviť sa z nich.

Poučenie je jednoduché: pri audite najlepšie obstojí organizácia, ktorá vie incidenty rýchlo odhaliť, konzistentne ich zvládať a účinne pritom využívať automatizáciu.

Regulačné orgány sa zameriavajú na stále rovnaké základné princípy. Aktivity na vynucovanie GDPR  najčastejšie uvádzajú tieto pochybenia: „nedostatočné technické a organizačné opatrenia“, čo zvyčajne vypovedá o slabom patch manažmente, nedostatočnej kontrole prístupov, nedostatočných alebo chýbajúcich protokoloch o prihlasovaní alebo nedostatočnom mechanizme obnovy. Zavedené bezpečnostné kontroly by mali preukazovať, že opatrenia fungujú, a nielen to, že politiky existujú na papieri.

Začnite určením rozsahu a potom sa napojte na uznávanú normu

Vytvorte si zoznam systémov, aplikácií, cloudových služieb, lokalít a tried údajov vo vašej organizácii. Každému z nich priraďte technického vlastníka a zaznamenajte kritickosť pre podnikanie a či sa spracúvajú osobné údaje. Uistite, že každý kľúčový proces má jasného vlastníka, aby boli zodpovednosti jasné.

Potom postavte svoju prípravu na základe známeho rámca. Aj keď nechcete certifikáciu, zmapovanie dôkazov podľa normy ISO/IEC 27001:2022 poskytuje audítorom jasný referenčný bod: aktíva, identita a prístup, bezpečnosť prevádzky, riadenie incidentov, dodávatelia a kontinuita. Nezabudnite priložiť sumár hodnotenia rizík a vyhlásenie o uplatniteľnosti – audítori očakávajú, že uvidia, ako sa zvolené kontrolné postupy viažu na zistené riziká. Vďaka tomu bude váš auditový balík prehľadný a zníži sa zbytočné opakované dohľadávanie dôkazov počas ich preskúmavania.

Ak podnikáte v EÚ, zosúlaďte svoj proces riešenia incidentov s očakávaniami NIS2. Buďte pripravení preukázať, že ste schopní dodržať regulačné termíny pre hlásenie incidentov (napríklad: včasné varovanie do 24 hodín, oznámenie do 72 hodín a záverečná správa do jedného mesiaca v prípade vážnych incidentov). Uchovajte jeden upravený príklad alebo výstup z cvičenia, aby ste mohli preukázať načasovanie, úlohy a odovzdávanie informácii.

Vytvorte si jednoduchý auditový balík, ktorý ukáže fungovanie kontrolných postupov.

  • Zbierajte dôkazy o tom, že kontrolné postupy fungujú podľa plánu a nielen PDF dokumenty s politikami. Audítori zvyčajne požadujú tieto dôkazy:
  • Aktíva a slabé miesta: inventár serverov, koncových bodov, cloudových účtov a stav 90-dňových opráv kritických systémov.
  • Kontrola prístupu: zoznam oprávnených účtov, pokrytie MFA, posledná štvrťročná kontrola prístupu a lístky pre nových zamestnancov, zamestnancov, ktorí menia pracovné miesto, a zamestnancov, ktorí odchádzajú.
  • Zálohovanie a obnova: plány, výsledky posledného testu obnovy, ciele RTO/RPO a uloženie mimo lokality (offsite).
  • Prihlasovanie a monitoring: miesto uloženia protokolov, doba uchovávania, vzorové upozornenia a záznam incidentov s uvedením vyšetrovania a uzavretia.
  • Riadenie zmien: niekoľko zmien so schváleniami a plánom vrátenia, vrátane jednej núdzovej zmeny.
  • Reakcia na incidenty: príručka, zoznam pohotovostných pracovníkov a jeden preskúmaný prípad s uvedením zistenia, triedenia, obmedzenia a získaných skúseností.
  • Dodávatelia: kritickí dodávatelia, bezpečnostné doložky v zmluvách a aktuálne artefakty zabezpečenia.
  • Zvyšovanie povedomia a školenia: dôkazy o pravidelnom bezpečnostnom školení, výsledky simulácie phishingu a miera dokončenia zo strany používateľov.

Toto usporiadanie odráža skupiny kontrolných mechanizmov ISO 27001, tým pádom je v súlade s témami NIS2 týkajúcimi sa riadenia rizík, riešenia incidentov a dohľadu nad dodávateľským reťazcom.

Chyby opravíte ľahko ešte pred auditom

Začnite s jednoduchými, ale veľmi dôležitými úlohami, ktoré audítori takmer vždy kontrolujú. Odstráňte nepoužívané administrátorské účty a zapnite MFA pre diaľkový a oprávnený prístup. Opravte kritické zraniteľnosti kľúčových systémov. Overte, či zálohy bežia úspešne a dajú sa obnoviť. Uistite sa, že protokoly z kritických systémov prúdia do vášho SIEM. A nakoniec, aktualizujte alebo odstráňte akýkoľvek nepodporovaný (koniec životnosti) softvér, pretože zastarané verzie sú častým nálezom pri auditoch.

Tieto základné veci sú často slabými miestami v prípadoch GDPR a je ľahké ich preukázať a vytvoriť z nich silné dôkazy. Dopredu urobte interný audit alebo posúdenie medzier, aby ste zistili a opravili typické slabé miesta. Zníži sa tým počet prekvapení v deň auditu.

Nacvičte si postup

Spravte 60- až 90-minútové cvičenie s vlastníkmi systémov. Začnite s živými konzolami a potom ukážte exportované dôkazy uložené v audítorskej zložke. Odpovede majte stručné a vecné. Ak skenovanie z minulého mesiaca odhalilo vážne zistenia, ukážte plán nápravy a graf trendov, namiesto toho, aby ste sa ich snažili skrývať. Audítori oceňujú transparentnosť a stále zlepšovanie podľa lístkov a časových značiek.

Pripravte si krátky prehľad na úrovni vedenia: vedúci pracovníci by mali byť schopní za pár minút vysvetliť, ako organizácia riadi bezpečnosť, riziká a dodržiavanie predpisov. Informujte dotknutých zamestnancov a vedenie o pláne auditu a o tom, čo sa od nich počas procesu očakáva – tým sa zabezpečí, že všetci budú pripravení a nedôjde k zmätkom na poslednú chvíľu.

Zohľadnite miesto, kde pôsobíte

Do svojho audítorského balíka pridajte krátku stránku „miestny kontext“. Napíšte pravidlá, ktoré platia pre vašu organizáciu, kto dohliada na dodržiavanie predpisov, interné audity alebo certifikačné cykly a termíny hlásenia incidentov.  V prípade významných incidentov ukážte dodržiavanie požadovaných termínov hlásenia a ako dôkaz si nechajte upravený (anonymizovaný) príklad alebo výstup z cvičenia.

Sledujte upozornenia od vášho národného CSIRT a ukážte, ako reagujete. Nechajte si jeden aktuálny bulletin a váš postup: vyhľadajte slabiny, nainštalujte opravy a potom ich overte. Napríklad v marci 2024 vydal slovenský SK-CERT varovanie týkajúce sa backdooru XZ Utils (závažný backdoor skrytý v široko používanom softvérovom komponente). Ak by ho útočníci zneužili, mohli by mať kontrolu nad postihnutými systémami. Dôkaz toho, ako ste skontrolovali svoje systémy, aplikovali opravu a potvrdili opravu, vytvára silný audítorský dôkaz. Ukazuje to, že keď národný orgán vydá varovanie, vaša organizácia reaguje rýchlo a efektívne.

Ak pôsobíte na Slovensku, zdôraznite zákonnú povinnosť auditu. Prevádzkovatelia základných služieb musia do dvoch rokov od registrácie absolvovať audit kybernetickej bezpečnosti. V roku 2021 Národný bezpečnostný úrad uviedol, že 164 subjektov nesplnilo túto povinnosť, a varoval pred sankciami. Uveďte svoju kategóriu, termín a dôkaz o splnení.

Ako postupovať v deň auditu

Nestačí len opísať vaše kontrolné mechanizmy, ale treba aj ich predviesť. Začnite s živým zobrazením nástrojov, ktoré používate. Preveďte audítora jedným komplexným príkladom, napríklad ako sa žiada o nový administrátorský účet, zaregistruje sa s MFA, štvrťročne sa kontroluje a nakoniec sa odstráni. Ak sa jedná o osobné údaje, prepojte bezpečnostné opatrenia priamo s povinnosťami GDPR.

Na záver mu ukážte jednostránkový protokol zlepšení, v ktorom budú nedávne opravy s odkazmi na lístky a dátumami. To ukáže, že vaše kontroly fungujú nielen počas auditu, ale aj mimo neho. Taktiež nezabudnite mať pripravené výsledky posledného interného auditu alebo manažérskeho preskúmania – audítori vždy najskôr kontrolujú práve tieto dokumenty. Dôkladná príprava vám nielen pomôže prejsť auditom, ale aj posilní vašu bezpečnostnú pozíciu v praxi.

pripravte sa NA AUDIT s TAZILLA