Audit kybernetické bezpečnosti – dvě slova, která v mnoha firmách spouštějí zbytečnou paniku. Přitom audit není trestem; je to příležitost zjistit, kde skutečně stojíte, a dostat konkrétní plán na zlepšení. Klíčem je příprava.
Jaké typy auditů existují?
Než začnete s přípravou, musíte vědět, co vás čeká. Kybernetické audity se liší v rozsahu, metodice i v tom, kdo je provádí:
-
Interní audit – provádí vaše vlastní IT nebo bezpečnostní tým, případně interní auditor. Slouží k průběžné kontrole a přípravě na externí audit.
-
Externí audit – provádí nezávislá firma. Výsledky jsou věrohodnější pro regulátory, pojišťovny i obchodní partnery.
-
Certifikační audit (ISO 27001) – provádí akreditovaný certifikační orgán. Výsledkem je mezinárodně uznávaný certifikát.
-
Audit dle NIS2 / ZKB – zaměřen na splnění zákonných povinností. Pro regulované subjekty povinný nebo silně doporučený.
Fáze 1: Příprava 6–8 týdnů před auditem
Inventura aktiv
Tohle je nejdůležitější a nejčastěji přeskakovaný krok. Auditor se vás zeptá: „Co chráníte?" Měli byste znát odpověď.
Co zahrnout do inventury aktiv:
Zmapování procesů a datových toků
Kdo má přístup k jakým datům? Jak data putují systémem? Kde se ukládají zálohy? Sdílíte citlivá data s dodavateli? Tyto otázky budou součástí auditu – je lepší mít odpovědi připravené než je hledat pod tlakem.
Fáze 2: Dokumentace – 4–6 týdnů před auditem
Auditor očekává dokumentaci. Pokud ji nemáte, audit odhalí mezery ještě před tím, než dojde k jakémukoli technickému testování. Klíčové dokumenty:
| Dokument | Co musí obsahovat |
|---|---|
| Bezpečnostní politika | Zásady pro práci s daty, hesla, přístupy, BYOD |
| Analýza rizik | Identifikovaná rizika, jejich hodnocení a způsob zvládání |
| Plán kontinuity (BCP) | Co se stane při výpadku? Kdo co dělá? Jak obnovit provoz? |
| Záznamy o incidentech | Historie bezpečnostních událostí a jejich řešení |
| Záznamy o školení | Kdo byl proškolen, kdy a v čem |
| Přehled uživatelů a přístupů | Kdo má přístup k čemu, princip nejnižšího oprávnění |
Častá chyba
Mnoho firem dokumentaci nemá vůbec, nebo ji vytvoří narychlo těsně před auditem. Auditor pozná rozdíl mezi živou dokumentací a tou, která vznikla minulý týden. Výsledek: neshody, doporučení k nápravě, ztracený čas.
Fáze 3: Technická příprava – 2–3 týdny před auditem
Záplaty a aktualizace
Zkontrolujte, zda jsou všechny systémy aktualizované. Zastaralý software s nezáplatovanými zranitelnostmi je první věc, na kterou se technický audit zaměří. Zvláštní pozornost věnujte:
- Firewallům a síťovým zařízením (EOL firmware bývá velmi frekventovaným nálezem)
- Kamerovým systémům (CCTV) – bývají léta bez aktualizací
- Webovým aplikacím a jejich závislostem
- Operačním systémům pracovních stanic
Revize přístupů
Proveďte rychlý access review – kdo má přístup k čemu? Specificky hledejte:
- Účty propuštěných zaměstnanců (měly by být deaktivovány okamžitě po odchodu)
- Sdílená administrátorská hesla – každý administrátor by měl mít vlastní účet
- Defaultní hesla na síťových zařízeních a kamerách
- Přístupy externích dodavatelů (měly by být časově omezené a minimální)
Test záloh
Zálohy, které jste nikdy neobnovili, nejsou zálohy – jsou to naděje. Před auditem proveďte testovací obnovu alespoň jednoho klíčového systému nebo datové sady. Zaznamenejte výsledek – auditor se na to zeptá.
Fáze 4: Příprava zaměstnanců
Auditor nebude mluvit jen s IT – bude mluvit s managementem, účetními, HR i recepčními. Základní příprava zaměstnanců zahrnuje:
-
Informování o auditu – zaměstnanci by měli vědět, že audit proběhne, co to obnáší a proč je to pro firmu důležité. Překvapení a nervozita nepomáhají.
-
Krátký briefing – připomenutí základních bezpečnostních pravidel: jak hlásit incidenty, co dělat se zásilkami s neznámým USB, kam volat při podezřelém emailu.
-
Kontaktní osoby – určete, kdo bude auditora provázet, kdo zodpoví technické dotazy a kdo zodpoví procesní otázky.
Jak probíhá samotný audit?
Průběh se liší podle rozsahu, ale typický audit vypadá takto:
-
1
Úvodní schůzka – představení rozsahu, harmonogramu a kontaktních osob.
-
2
Přezkoumání dokumentace – auditor prochází vaše politiky, záznamy a analýzy.
-
3
Technické testování – skenování sítě, testování přístupů, kontrola konfigurace systémů.
-
4
Rozhovory – krátké pohovory s klíčovými zaměstnanci o reálném dodržování procesů.
-
5
Závěrečná zpráva – seznam nálezů s hodnocením závažnosti (CVSS nebo vlastní metodika) a doporučenými opatřeními.
Co dělat po auditu?
Audit má hodnotu jen tehdy, když jeho výsledky skutečně implementujete. Nejčastější chybou firem je, že zpráva skončí v šuplíku.
-
Prioritizace nálezů – kritické zranitelnosti řešte do 30 dnů, střední do 90 dnů, nízké v rámci ročního plánu.
-
Přiřaďte vlastníky – každé doporučení musí mít konkrétního zodpovědného člověka a termín.
-
Sledujte plnění – měsíční review pokroku, ideálně s reportem managementu.
-
Plánujte opakování – audit by neměl být jednorázová akce. Doporučujeme roční interní audit a externí audit každé 2–3 roky.
Praktický checklist: co mít připraveno
Dokumentace
- Bezpečnostní politika (podepsaná vedením)
- Analýza rizik – aktuální, ne starší 12 měsíců
- Plán kontinuity provozu (BCP)
- Plán reakce na incidenty
- Záznamy o provedených školeních
- Evidence bezpečnostních incidentů za poslední rok
- Přehled aktiv (HW, SW, data)
- Smlouvy s dodavateli obsahující bezpečnostní klauzule
Technika
- Všechna zařízení mají nainstalované záplaty
- Žádná defaultní hesla na síťových prvcích a kamerách
- Deaktivované účty propuštěných zaměstnanců
- MFA aktivní na kritických systémech
- Zálohy otestované (zkušební obnova)
- Síť segmentovaná (oddělená WiFi pro hosty)
- Přehled otevřených portů a jejich odůvodnění
Pomůžeme vám s přípravou
Audit nemusíte zvládat sami. Nabízíme předauditní přípravu, interní audity i komplexní přípravu na certifikaci ISO 27001 nebo splnění NIS2. Začněte bezplatnou diagnostikou.
Objednat konzultaci zdarma
