Audítor si sadne a začne: "Ukážte mi váš proces schvaľovania zmien." Potom: "Ukážte mi časy odozvy na incidenty za posledný kvartál." Potom: "Ukážte mi, kto má momentálne admin prístup k produkčným systémom." Ak tieto otázky pošlú váš tím prehrabávať sa e-mailovými vláknami a tabuľkami, audit už ide zle. GLPI dokáže na všetky odpovedať -- ak viete, kde hľadať a ako exportovať dôkazy.
Na čo sa audítori skutočne pýtajú
ISO 27001
Audity ISO 27001 sa zameriavajú na riadenie informačnej bezpečnosti. Dôkazy, ktoré GLPI dokáže poskytnúť:
- Záznamy o riadení prístupu -- kto má aké GLPI profily a oprávnenia, s históriou zmien (Administration > Users, Administration > Profiles)
- Záznamy o riadení zmien -- každý tiket typu "Change" s jeho schvaľovacím workflow, poznámkami k implementácii a post-implementačnou revíziou
- Štatistiky incidentov -- priemerný čas riešenia, incidenty podľa kategórie, opakujúce sa incidenty, miera eskalácie
- Inventár aktív -- kompletný zoznam IT aktív s vlastníctvom, lokáciou a stavom
NIS2
NIS2 kladie dôraz na časové rámce hlásenia incidentov a bezpečnosť dodávateľského reťazca. Z GLPI:
- Časové rámce hlásenia incidentov -- časové pečiatky ukazujúce, kedy bol incident detekovaný, nahlásený a vyriešený. Životný cyklus tiketu v GLPI zachytáva všetko toto, ak váš workflow obsahuje stavové prechody pre detekciu a hlásenie.
- Register aktív s informáciami o dodávateľoch -- GLPI sleduje výrobcu, dodávateľa a detaily servisnej zmluvy pre každé aktívum
- Dokumentácia posúdenia rizík -- hoci GLPI nie je nástroj na riadenie rizík, tikety označené kategóriami súvisiacimi s rizikami môžu slúžiť ako dôkaz identifikácie a ošetrenia rizík
Ako exportovať dôkazy z GLPI
Uložené vyhľadávania do CSV
Vytvorte vyhľadávací dopyt v GLPI (napr. všetky change tikety za posledných 12 mesiacov s ich stavom schválenia), potom exportujte výsledky ako CSV alebo PDF. Uložte vyhľadávanie na opätovné použitie -- pri ďalšom audite ho spustite znova s aktualizovanými dátumovými filtrami. Toto je najjednoduchšia metóda a pokrýva väčšinu potrieb auditných dôkazov.
Modul štatistík
Vstavaný modul štatistík GLPI (Assistance > Statistics) generuje reporty o časoch riešenia tiketov, percentách dodržiavania SLA a objemoch tiketov podľa kategórie. Exportujte ich priamo. Audítori preferujú grafy s číslami, nie surové dáta.
REST API pre automatizovaný zber dôkazov
Pre opakujúce sa audity automatizujte zber dôkazov pomocou REST API GLPI. Skript dokáže na plán stiahnuť dáta o tiketoch, oprávneniach používateľov a záznamoch o aktívach, naformátovať ich do štandardizovaného reportu a uložiť na zdieľaný disk. Keď audítor príde, balík dôkazov je už pripravený.
Príklady API endpointov:
/apirest.php/Ticket-- všetky tikety s filtrami na typ, dátum, stav/apirest.php/User-- zoznam používateľov s priradeniami profilov/apirest.php/Computer-- inventár aktív/apirest.php/Change-- záznamy o zmenách s dátami o schválení
Zostavenie kontrolného zoznamu na prípravu auditu
Vytvorte kontrolný zoznam špecifický pre váš auditný rámec a namapujte každú položku na dátový zdroj v GLPI:
- Dôkazy o riadení prístupu: uložené vyhľadávanie používateľov + profilov, exportované mesačne
- Dôkazy o riadení zmien: uložené vyhľadávanie change tiketov so stavom schválenia
- Dôkazy o reakcii na incidenty: export štatistík o časoch riešenia incidentov
- Dôkazy o správe aktív: kompletný export aktív s vlastníctvom a stavom životného cyklu
- Dôkazy o dodržiavaní SLA: report štatistík SLA za auditované obdobie
Tento kontrolný zoznam spúšťajte štvrťročne, nie len pred auditom. Štvrťročné exporty odhalia problémy s kvalitou dát včas -- ak change tikety nedostávajú podpisy schválenia, chcete to vedieť teraz, nie keď na to poukáže audítor.
Mať dáta vs. prezentovať ich
GLPI obsahuje surové dáta. Ale audítori nechcú CSV súbor s 5 000 riadkami. Chcú zhrnutie s kľúčovými metrikami, pár podpornými detailmi a možnosťou ísť hlbšie, ak niečo vyzerá podozrivo. Dáta exportujte z GLPI, potom ich naformátujte: jednostranové zhrnutie kľúčových metrík na začiatku, detailné tabuľky ako prílohy a jasné popisky vysvetľujúce, čo každý export obsahuje a ktorú kontrolu podporuje. Päť minút strávených formátovaním môže spraviť rozdiel medzi hladkým auditom a týždňom doplňujúcich otázok.