Dauguma organizacijų šiandien turi informacijos saugumo politiką, incidentų valdymo procedūras, prieigos kontrolės taisykles ir tiekėjų vertinimo aprašus. Dokumentai parengti, auditas praėtas, sertifikatai gauti.

Tačiau vis dažniau kyla esminis klausimas:

Ar šios kontrolės realiai veikia kasdienėje veikloje, ar tik egzistuoja dokumentuose?

Šiuolaikiniai reglamentai, tokie kaip TIS2 ar DORA, nebepasitenkina formalia dokumentacija. Jie reikalauja įrodymų, kad kontrolės yra taikomos, stebimos ir efektyvios realiomis sąlygomis. Tai reiškia, kad atitiktis turi būti operacinė, o ne deklaratyvi.

Toliau pateikiami penki praktiniai testai, padedantys įsivertinti, ar jūsų kontrolės veikia iš tikrųjų.

1. Incidento testas: ar žinome, ką daryti per pirmą valandą?

Pasirinkite realistinį scenarijų — pavyzdžiui, sistemų sutrikimą ar duomenų nutekėjimą. Užduokite komandai klausimus:

• Kas pirmas atsakingas už sprendimų priėmimą?

• Kas informuoja vadovybę?

• Per kiek laiko incidentas turi būti užregistruotas?

• Ar žinomi išoriniai informavimo terminai?

Jeigu atsakymai priklauso nuo to, kas tą dieną dirba, arba reikia ieškoti procedūrų dokumentuose, tikėtina, kad procesas nėra operaciškai įtvirtintas. Veikianti kontrolė reiškia, kad veiksmai yra aiškūs ir išbandyti, o ne tik aprašyti.

2. Prieigos kontrolės testas: ar privilegijos realiai peržiūrimos?

Paprašykite IT komandos:

• Pateikti privilegijuotų vartotojų sąrašą.

• Nurodyti paskutinės peržiūros datą.

• Parodyti neaktyvias ar nebenaudojamas paskyras.

Jeigu peržiūros nevyksta reguliariai arba nėra įrodymų apie jų atlikimą, prieigos kontrolė veikia tik teoriškai. Dokumentas apie prieigos valdymą savaime nesumažina rizikos — ją mažina nuoseklus ir fiksuojamas procesas.

3. Įrodymų testas: ar galime pateikti duomenis nedelsiant?

Paprašykite komandos parodyti įrodymus, kad, pavyzdžiui, per pastarąjį mėnesį buvo atliktas rizikos vertinimas ar saugumo peržiūra.

Jeigu įrodymų rinkimas užtrunka kelias dienas, tai rodo, kad procesas nėra integruotas į kasdienę veiklą. Operacinė atitiktis reiškia, kad duomenys ir audit trail yra generuojami nuolat, o ne renkami prieš patikrinimą.

4. Tiekėjų kontrolės testas: ar tikime, ar tikriname?

Peržiūrėkite keletą kritinių IT ar SaaS tiekėjų:

• Kada paskutinį kartą buvo įvertinta jų saugumo būklė?

• Ar turite dokumentuotus įrodymus?

• Ar aišku, kur ir kaip tvarkomi jūsų duomenys?

Jeigu tiekėjų vertinimas apsiribojo sutarties pasirašymu prieš kelerius metus, tai signalas, kad kontrolė nėra dinamiška. Nauji reglamentai aiškiai akcentuoja tiekimo grandinės riziką ir nuolatinę jos priežiūrą.

5. Valdybos matomumo testas: ar vadovybė supranta riziką?

Paklauskite vadovybės:

• Kokia šiuo metu yra didžiausia kibernetinė rizika?

• Koks yra incidentų reagavimo laikas?

• Kaip keičiasi rizikos lygis per pastaruosius mėnesius?

Jeigu atsakymai abstraktūs arba paremti tik metinėmis ataskaitomis, tai rodo, kad atitiktis nėra integruota į strateginį lygmenį. Veikianti sistema reiškia, kad rizika ir kontrolės rodikliai yra matomi ir analizuojami nuolat.

Ką daryti, jei testai atskleidžia spragas?

Jeigu bent keli testai rodo silpnas vietas, problema greičiausiai nėra dokumentų trūkumas. Dažniausiai trūksta:

• matuojamų kontrolės rodiklių,

• automatizuoto įrodymų rinkimo,

• aiškios atsakomybės struktūros,

• integracijos tarp saugumo, IT ir verslo valdymo.

Praktinis žingsnis — peržiūrėti kiekvieną politiką ir paklausti:
Kaip šis dokumentas paverčiamas kasdieniu, matuojamu veiksmu?

Politika yra pradžia, ne pabaiga

Dokumentai yra būtini. Tačiau jie tėra pagrindas. Tikrasis klausimas — ar organizacija geba įrodyti, kad kontrolės veikia realiomis sąlygomis.

Reguliatoriai ir partneriai šiandien vertina ne tik tai, ar turite politiką, bet ar galite parodyti veikiančius procesus, aiškų audit trail ir operacinį atsparumą.

Todėl atitiktis neturi būti laikoma metiniu projektu. Ji turi tapti nuolatine organizacijos veiklos dalimi.