Ελεγκτικά ώριμη αξιολόγηση κινδύνου ISO 27001 για NIS2 και DORA

Ο καφές στο γραφείο της Σάρα είχε κρυώσει.

Ως Επικεφαλής Ασφάλειας Πληροφοριών σε μια fintech που αναπτυσσόταν ραγδαία, ήταν συνηθισμένη στην πίεση. Η εταιρεία μόλις είχε κερδίσει έναν μεγάλο τραπεζικό συνεργάτη και το ερωτηματολόγιο δέουσας επιμέλειας στην οθόνη της θα έπρεπε να είναι τυπική διαδικασία. Οι πρώτες ερωτήσεις ήταν γνώριμες: παράσχετε τη Δήλωση Εφαρμοσιμότητας ISO/IEC 27001:2022, κοινοποιήστε το πιο πρόσφατο μητρώο κινδύνων, εξηγήστε τη μεθοδολογία αξιολόγησης κινδύνου.

Στη συνέχεια, το ερωτηματολόγιο άλλαξε κατεύθυνση.

Αποδείξτε πώς το πρόγραμμα διαχείρισης κινδύνων σας καλύπτει το DORA. Εξηγήστε την ετοιμότητά σας για την Οδηγία NIS2, συμπεριλαμβανομένης της λογοδοσίας της διοίκησης και των μέτρων για τους κινδύνους της εφοδιαστικής αλυσίδας. Παράσχετε τεκμήρια ότι οι κρίσιμοι προμηθευτές ΤΠΕ αξιολογούνται, παρακολουθούνται και καλύπτονται από σχέδια απόκρισης σε περιστατικά και επιχειρησιακής συνέχειας.

Μέχρι το πρωί της Δευτέρας, το ίδιο ζήτημα είχε ενταχθεί στην ημερήσια διάταξη της Επιτροπής Κινδύνων του διοικητικού συμβουλίου. Έλεγχος πιστοποίησης ISO 27001 σε οκτώ εβδομάδες. Πίεση DORA από πελάτες του χρηματοοικονομικού τομέα. Ερωτήματα ταξινόμησης NIS2 για γραμμή υπηρεσιών που φιλοξενείται στο cloud και επεκτείνεται στην ΕΕ. Το Τμήμα Προμηθειών ανέφερε ότι υπήρχαν ανασκοπήσεις προμηθευτών, αλλά τα τεκμήρια ήταν διασκορπισμένα σε email, φακέλους συμβάσεων και ένα υπολογιστικό φύλλο προμηθευτών. Το Νομικό Τμήμα ανέφερε ότι η κανονιστική χαρτογράφηση βρισκόταν ακόμη σε εξέλιξη. Η Μηχανική ανέφερε ότι το μητρώο κινδύνων ήταν σχεδόν ολοκληρωμένο.

Το διοικητικό συμβούλιο έθεσε τη μόνη ερώτηση που είχε σημασία:

Μπορούμε να αποδείξουμε ότι η αξιολόγηση κινδύνου και το σχέδιο αντιμετώπισης κινδύνων μας επαρκούν;

Αυτό είναι το πραγματικό πρόβλημα για εταιρείες SaaS, fintech, διαχειριζόμενων υπηρεσιών, υπηρεσιών cloud και ψηφιακών πλατφορμών. Όχι αν υπάρχει μητρώο κινδύνων. Όχι αν οι έλεγχοι του Παραρτήματος A έχουν αντιγραφεί σε υπολογιστικό φύλλο. Το ζήτημα είναι αν ο οργανισμός μπορεί να αποδείξει, υπό πίεση ελέγχου και πελατών, ότι η διαδικασία αξιολόγησης κινδύνου ISO 27001 είναι επαναλήψιμη, βασίζεται στον κίνδυνο, εγκρίνεται από τους υπευθύνους κινδύνου, συνδέεται με ενέργειες αντιμετώπισης, χαρτογραφείται σε νομικές υποχρεώσεις και λειτουργεί στην πράξη.

Όταν υλοποιείται σωστά, μία αξιολόγηση κινδύνου ISO 27001 και ένα σχέδιο αντιμετώπισης κινδύνων μπορούν να υποστηρίξουν την πιστοποίηση ISO/IEC 27001:2022, τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας του NIS2 Article 21, τις απαιτήσεις διαχείρισης κινδύνων ΤΠΕ του DORA, την αρχή λογοδοσίας του GDPR, τη διασφάλιση προμηθευτών, την ετοιμότητα αντιμετώπισης περιστατικών και την αναφορά προς το διοικητικό συμβούλιο.

Όταν υλοποιείται πρόχειρα, μετατρέπεται σε ένα υπολογιστικό φύλλο που οι ελεγκτές θα αποδομήσουν σε τριάντα λεπτά.

Αυτός ο οδηγός δείχνει πώς η Clarysec δημιουργεί ελεγκτικά ώριμα τεκμήρια αξιολόγησης κινδύνου και αντιμετώπισης κινδύνων ISO 27001, χρησιμοποιώντας το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων ενός ελεγκτή, τις πολιτικές της Clarysec και το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης.

Γιατί η αξιολόγηση κινδύνου ISO 27001 είναι πλέον κόμβος συμμόρφωσης

Το κανονιστικό τοπίο της ΕΕ συγκλίνει γύρω από μια απλή αρχή: ο κίνδυνος κυβερνοασφάλειας πρέπει να τελεί υπό διακυβέρνηση, να τεκμηριώνεται, να δοκιμάζεται και να έχει σαφή ιδιοκτησία.

Το ISO/IEC 27001:2022 λειτουργεί ήδη με αυτόν τον τρόπο. Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί το πλαίσιο λειτουργίας του, τα ενδιαφερόμενα μέρη, το πεδίο εφαρμογής του ISMS και τις αλληλεπιδράσεις διεργασιών πριν αξιολογήσει τον κίνδυνο. Οι ρήτρες 6.1.2 και 6.1.3 απαιτούν καθορισμένη διαδικασία αξιολόγησης κινδύνου και αντιμετώπισης κινδύνων ασφάλειας πληροφοριών. Οι ρήτρες 8.2 και 8.3 απαιτούν από τον οργανισμό να διενεργεί αξιολογήσεις κινδύνου και να εφαρμόζει το σχέδιο αντιμετώπισης, διατηρώντας τεκμηριωμένες πληροφορίες.

Το NIS2 και το DORA καθιστούν την ίδια λογική βάσει κινδύνου πιο επείγουσα.

Το NIS2 Article 20 απαιτεί από τα διοικητικά όργανα βασικών και σημαντικών οντοτήτων να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και να παρακολουθούν εκπαίδευση στην κυβερνοασφάλεια. Το Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση κινδύνων σε συστήματα δικτύων και πληροφοριών. Τα μέτρα αυτά περιλαμβάνουν ανάλυση κινδύνου, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια της εφοδιαστικής αλυσίδας, ασφαλή ανάπτυξη, χειρισμό ευπαθειών, αξιολόγηση αποτελεσματικότητας, κυβερνοϋγιεινή, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων και πολυπαραγοντική αυθεντικοποίηση ή ασφαλείς επικοινωνίες, όπου ενδείκνυται.

Το DORA ασκεί παρόμοια πίεση στις χρηματοοικονομικές οντότητες. Τα Articles 5 και 6 απαιτούν από το διοικητικό όργανο να ορίζει, να εγκρίνει, να εποπτεύει και να παραμένει υπεύθυνο για τις ρυθμίσεις διαχείρισης κινδύνων ΤΠΕ. Το DORA αναμένει τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, ενσωματωμένο στη συνολική διαχείριση κινδύνων, υποστηριζόμενο από πολιτικές, διαδικασίες, πρωτόκολλα, εργαλεία, Εσωτερικό Έλεγχο, ανάκαμψη, επιχειρησιακή συνέχεια, δοκιμές, διαχείριση περιστατικών και διακυβέρνηση τρίτων μερών ΤΠΕ.

Το συμπέρασμα είναι πρακτικό και αναπόφευκτο: το μητρώο κινδύνων δεν είναι πλέον φύλλο εργασίας της τεχνικής ομάδας. Είναι τεκμήριο διακυβέρνησης.

Η Enterprise Πολιτική Διαχείρισης Κινδύνων της Clarysec καθιστά αυτή την προσδοκία ρητή:

Πρέπει να διατηρείται επίσημη διαδικασία διαχείρισης κινδύνων σύμφωνα με το ISO/IEC 27005 και το ISO 31000, η οποία καλύπτει την αναγνώριση κινδύνων, την ανάλυση, την αξιολόγηση, την αντιμετώπιση, την παρακολούθηση και την επικοινωνία κινδύνου.

Από την Enterprise Πολιτική Διαχείρισης Κινδύνων, ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.1.

Η ίδια πολιτική ορίζει το ελεγκτικά ώριμο αποτέλεσμα:

Πρέπει να διατηρείται κεντρικό, ελεγχόμενο ως προς την έκδοση μητρώο κινδύνων και σχέδιο αντιμετώπισης κινδύνων, που αποτυπώνει την τρέχουσα κατάσταση κινδύνου, την κάλυψη ελέγχων και την πρόοδο μετριασμού.

Από την Enterprise Πολιτική Διαχείρισης Κινδύνων, ενότητα «Στόχοι», ρήτρα πολιτικής 3.3.

Η φράση «τρέχουσα κατάσταση κινδύνου, κάλυψη ελέγχων και πρόοδος μετριασμού» είναι η διαφορά μεταξύ ενός στατικού φακέλου συμμόρφωσης και ενός τεκμηριωμένου προγράμματος κινδύνων που μπορεί να υποστηριχθεί σε έλεγχο.

Ξεκινήστε από το πεδίο εφαρμογής, τις υποχρεώσεις και τα κριτήρια κινδύνου

Πολλές αδύναμες αξιολογήσεις κινδύνου ISO 27001 ξεκινούν από έναν κατάλογο ελέγχων. Αυτό είναι ανάποδη προσέγγιση.

Το ISO 27001 απαιτεί από τον οργανισμό να καθορίσει το πλαίσιο λειτουργίας, τις απαιτήσεις των ενδιαφερόμενων μερών, το πεδίο εφαρμογής του ISMS, τις αρμοδιότητες της ηγεσίας και τον σχεδιασμό κινδύνων πριν από την επιλογή ελέγχων. Το ISO/IEC 27005:2022 το ενισχύει αυτό, συνιστώντας στους οργανισμούς να προσδιορίζουν τις βασικές απαιτήσεις των ενδιαφερόμενων μερών πριν από την αξιολόγηση κινδύνου. Οι απαιτήσεις αυτές μπορεί να προέρχονται από πρότυπα ISO, τομεακές ρυθμίσεις, εθνικούς νόμους, συμβάσεις πελατών, εσωτερικές πολιτικές, προηγούμενες δραστηριότητες αντιμετώπισης κινδύνων και υποχρεώσεις προμηθευτών.

Για μια εταιρεία SaaS ή fintech που δραστηριοποιείται στην ΕΕ, η διαδικασία κινδύνων πρέπει να ξεκινά με απογραφή συμμόρφωσης και υποχρεώσεων.

Για τις ΜΜΕ, η Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης - SME της Clarysec θέτει το σημείο εκκίνησης:

Ο Γενικός Διευθυντής πρέπει να διατηρεί ένα απλό, δομημένο μητρώο συμμόρφωσης που απαριθμεί:

Από την SME Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης, ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.1.1.

Αυτό το απλό μητρώο είναι η γέφυρα μεταξύ συμμόρφωσης και διαχείρισης κινδύνων. Αν αναφέρει ότι εφαρμόζεται το GDPR επειδή γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα της ΕΕ, ότι μπορεί να εφαρμόζεται το NIS2 επειδή ο οργανισμός παρέχει ψηφιακές ή διαχειριζόμενες υπηρεσίες, ή ότι το DORA είναι σχετικό μέσω πελατών του χρηματοοικονομικού τομέα, οι υποχρεώσεις αυτές πρέπει να επηρεάζουν τα κριτήρια κινδύνου και τις προτεραιότητες αντιμετώπισης.

Το Zenith Blueprint είναι σαφές σε αυτό το σημείο στη φάση Διαχείρισης Κινδύνων, Βήμα 10, «Καθορισμός κριτηρίων κινδύνου και μήτρας αντικτύπου»:

Λάβετε επίσης υπόψη τις νομικές/ρυθμιστικές απαιτήσεις στα κριτήρια αποδοχής σας. Ορισμένοι κίνδυνοι μπορεί να είναι μη αποδεκτοί ανεξάρτητα από την πιθανότητα, λόγω της νομοθεσίας.

Από το Zenith Blueprint, φάση Διαχείρισης Κινδύνων, Βήμα 10.

Παρέχει επίσης έναν πρακτικό κανόνα για εργαστήρια:

«Κάθε κίνδυνος που θα μπορούσε να οδηγήσει σε μη συμμόρφωση με εφαρμοστέους νόμους (GDPR κ.λπ.) δεν είναι αποδεκτός και πρέπει να μετριαστεί.»

Από το Zenith Blueprint, φάση Διαχείρισης Κινδύνων, Βήμα 10.

Για την fintech της Σάρα, αυτό αλλάζει το μοντέλο βαθμολόγησης. Μια ευπάθεια API προμηθευτή μπορεί να έχει χαμηλή πιθανότητα, αλλά αν η εκμετάλλευσή της θα μπορούσε να προκαλέσει μείζον περιστατικό σχετιζόμενο με ΤΠΕ κατά DORA, σημαντικό περιστατικό κατά NIS2, αξιολόγηση παραβίασης GDPR, αστοχία SLA πελάτη ή κλιμάκωση σε επίπεδο διοικητικού συμβουλίου, ο αντίκτυπος είναι υψηλός ή κρίσιμος. Η έκθεση συμμόρφωσης γίνεται μέρος της λογικής κινδύνου, όχι ξεχωριστό υπολογιστικό φύλλο.

Δημιουργήστε μητρώο κινδύνων που μπορούν να ελέγξουν οι ελεγκτές

Οι ελεγκτές δεν ρωτούν μόνο ποιοι είναι οι κορυφαίοι κίνδυνοί σας. Ελέγχουν αν η μέθοδός σας είναι καθορισμένη, επαναλήψιμη, ιχνηλάσιμη και εφαρμόζεται.

Θα ρωτήσουν:

• Πώς αναγνωρίσατε αυτούς τους κινδύνους;
• Ποια περιουσιακά στοιχεία, υπηρεσίες, προμηθευτές, τύποι δεδομένων και διεργασίες ήταν εντός πεδίου εφαρμογής;
• Ποια κριτήρια χρησιμοποιήθηκαν για την πιθανότητα και τον αντίκτυπο;
• Ποιος είναι ο υπεύθυνος κάθε κινδύνου;
• Ποιοι υφιστάμενοι έλεγχοι μειώνουν τον κίνδυνο;
• Γιατί επιλέχθηκε η συγκεκριμένη απόφαση αντιμετώπισης;
• Πού βρίσκονται τα τεκμήρια ότι η αντιμετώπιση υλοποιήθηκε;
• Ποιος ενέκρινε τον υπολειπόμενο κίνδυνο;
• Πότε θα επανεξεταστεί ο κίνδυνος;

Η Πολιτική Διαχείρισης Κινδύνων - SME της Clarysec αποτυπώνει την ελάχιστη ελεγκτικά ώριμη καταχώριση κινδύνου:

Κάθε καταχώριση κινδύνου πρέπει να περιλαμβάνει: περιγραφή, πιθανότητα, αντίκτυπο, βαθμολογία, υπεύθυνο και σχέδιο αντιμετώπισης κινδύνων.

Από την SME Πολιτική Διαχείρισης Κινδύνων, ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.1.2.

Για enterprise προγράμματα, το Zenith Blueprint, φάση Διαχείρισης Κινδύνων, Βήμα 11, «Δημιουργία και τεκμηρίωση του μητρώου κινδύνων», διευρύνει τη δομή. Συνιστά στήλες όπως αναγνωριστικό κινδύνου, περιουσιακό στοιχείο, απειλή, ευπάθεια, περιγραφή κινδύνου, πιθανότητα, αντίκτυπος, επίπεδο κινδύνου, υφιστάμενοι έλεγχοι, υπεύθυνος κινδύνου, απόφαση αντιμετώπισης, σχέδιο αντιμετώπισης ή έλεγχοι και κατάσταση.

Μια ισχυρή καταχώριση κινδύνου μοιάζει ως εξής:

Αυτό διαφέρει ουσιωδώς από το «Κίνδυνος τρίτου μέρους, Υψηλός, μετριασμός». Η ελεγκτικά ώριμη έκδοση συνδέει περιουσιακό στοιχείο, απειλή, ευπάθεια, συνέπεια, υφιστάμενους ελέγχους, υπεύθυνο, κανονιστική απαίτηση, τεκμήρια και διακυβέρνηση.

Μετατρέψτε την αντιμετώπιση κινδύνων σε σχέδιο τεκμηρίων

Ένα σχέδιο αντιμετώπισης κινδύνων πρέπει να απαντά σε τέσσερα επιχειρησιακά ερωτήματα:

1. Τι θα κάνουμε;
2. Ποιος το έχει υπό την ευθύνη του;
3. Πότε θα ολοκληρωθεί;
4. Πώς θα αποδείξουμε ότι μείωσε τον κίνδυνο;

Η ρήτρα 6.1.3 του ISO/IEC 27001:2022 απαιτεί από τον οργανισμό να επιλέγει επιλογές αντιμετώπισης, να καθορίζει τους αναγκαίους ελέγχους, να τους συγκρίνει με το Παράρτημα A ώστε να αποφεύγονται παραλείψεις, να παράγει Δήλωση Εφαρμοσιμότητας, να διαμορφώνει σχέδιο αντιμετώπισης και να λαμβάνει έγκριση από τον υπεύθυνο κινδύνου για το σχέδιο και τους υπολειπόμενους κινδύνους. Η ρήτρα 8.3 απαιτεί στη συνέχεια την υλοποίηση του σχεδίου αντιμετώπισης και τη διατήρηση τεκμηριωμένων πληροφοριών για τα αποτελέσματα.

Η Enterprise Πολιτική Διαχείρισης Κινδύνων το καθιστά πρακτικό:

Ο Υπεύθυνος Διαχείρισης Κινδύνων οφείλει να διασφαλίζει ότι οι ενέργειες αντιμετώπισης είναι ρεαλιστικές, χρονικά προσδιορισμένες και χαρτογραφημένες σε ελέγχους του ISO/IEC 27001 Παραρτήματος A.

Από την Enterprise Πολιτική Διαχείρισης Κινδύνων, ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.4.2.

Η πολιτική SME διευκρινίζει επίσης ότι η αποδοχή δεν αποτελεί συντόμευση:

Αποδοχή: Αιτιολογήστε γιατί δεν απαιτείται περαιτέρω ενέργεια και καταγράψτε τον υπολειπόμενο κίνδυνο.

Από την SME Πολιτική Διαχείρισης Κινδύνων, ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.

Η αποδοχή πρέπει να αιτιολογείται έναντι των κριτηρίων, να εγκρίνεται από τον κατάλληλο υπεύθυνο και να παρακολουθείται. Υπό το NIS2 και το DORA, μη εγκεκριμένος υπολειπόμενος κίνδυνος μπορεί να αποτελέσει αστοχία διακυβέρνησης.

Ένα πλήρες σχέδιο αντιμετώπισης πρέπει να περιέχει τα εξής πεδία:

Για το R-042 της Σάρα, το σχέδιο αντιμετώπισης γίνεται κατάλογος ενεργειών διασταυρούμενης συμμόρφωσης.

Αυτό το σχέδιο είναι ισχυρό επειδή δημιουργεί ευθεία γραμμή από ένα σενάριο κινδύνου προς ελέγχους ISO 27001, υποχρεώσεις NIS2, άρθρα DORA, υπευθύνους και τεκμήρια.

Αξιοποιήστε περισσότερο τη Δήλωση Εφαρμοσιμότητας

Η Δήλωση Εφαρμοσιμότητας αντιμετωπίζεται συχνά ως τεκμήριο πιστοποίησης. Πρέπει να είναι κάτι περισσότερο.

Η ρήτρα 6.1.3 του ISO/IEC 27001:2022 απαιτεί η SoA να περιλαμβάνει τους αναγκαίους ελέγχους, την αιτιολόγηση ένταξης, την κατάσταση υλοποίησης και την αιτιολόγηση εξαιρέσεων. Η καθοδήγηση ISO/IEC 27005:2022 ενισχύει την ανάγκη σύγκρισης των επιλεγμένων ελέγχων με το ISO/IEC 27001 Παράρτημα A, ώστε να αποφεύγονται παραλείψεις.

Σε ένα ελεγκτικά ώριμο πρόγραμμα, η SoA γίνεται η γέφυρα μεταξύ αντιμετώπισης κινδύνων και τεκμηρίων διασταυρούμενης συμμόρφωσης. Αν ένα σχέδιο αντιμετώπισης απαιτεί MFA, καταγραφή, παρακολούθηση προμηθευτών, αποκατάσταση αντιγράφων ασφαλείας, ασφαλή ανάπτυξη, κλιμάκωση περιστατικών ή σχεδιασμό εξόδου από υπηρεσία cloud, η SoA πρέπει να δείχνει ότι οι σχετικοί έλεγχοι του Παραρτήματος A έχουν συμπεριληφθεί, αιτιολογηθεί, υλοποιηθεί ή προγραμματιστεί και τεκμηριωθεί.

Αυτό βοηθά επίσης στην αποφυγή μιας κοινής αστοχίας ελέγχου: το μητρώο κινδύνων λέει ένα πράγμα, το σχέδιο αντιμετώπισης λέει άλλο και η SoA σιωπά. Όταν αυτά τα τεκμήρια δεν συμφωνούν, οι ελεγκτές χάνουν γρήγορα την εμπιστοσύνη τους.

Χαρτογράφηση της αντιμετώπισης κινδύνων ISO 27001 σε NIS2, DORA και GDPR

Το ISO 27001 δεν αντικαθιστά το NIS2, το DORA ή το GDPR. Παρέχει έναν δομημένο μηχανισμό για την παραγωγή τεκμηρίων για αυτά.

Το κρίσιμο σημείο είναι να ενσωματωθεί η χαρτογράφηση στη διαδικασία κινδύνων, όχι να προστεθεί εκ των υστέρων.

Η χαρτογράφηση αυτή είναι ιδιαίτερα σημαντική όπου οι κανονισμοί επικαλύπτονται. Το DORA είναι το τομεακό καθεστώς ανθεκτικότητας ΤΠΕ για πολλές χρηματοοικονομικές οντότητες, ενώ το NIS2 μπορεί να παραμένει άμεσα σχετικό για ορισμένους παρόχους, για συντονισμό ή για οντότητες εκτός του πεδίου εφαρμογής του DORA. Μια fintech μπορεί να χρειάζεται το DORA ως κύριο πλαίσιο ανθεκτικότητας ΤΠΕ, ενώ ένας πάροχος διαχειριζόμενων υπηρεσιών που υποστηρίζει αυτή τη fintech μπορεί να αντιμετωπίζει άμεσα υποχρεώσεις NIS2.

Το μητρώο κινδύνων πρέπει να μπορεί να δείχνει και τις δύο πλευρές αυτής της εξάρτησης.

Χρησιμοποιήστε το Zenith Controls ως πυξίδα διασταυρούμενης συμμόρφωσης

Η Clarysec χρησιμοποιεί το Zenith Controls ως οδηγό διασταυρούμενης συμμόρφωσης, ώστε να αποφεύγεται η κοινή αστοχία κατά την οποία οι έλεγχοι ISO, τα κανονιστικά άρθρα και τα ερωτήματα ελέγχου βρίσκονται σε διαφορετικά σύμπαντα. Δεν δημιουργεί ξεχωριστό πλαίσιο ελέγχων. Χαρτογραφεί τις περιοχές ελέγχων ISO/IEC 27001:2022 και ISO/IEC 27002:2022 σε άλλα πρότυπα, προσδοκίες ελέγχου και οπτικές συμμόρφωσης.

Για την αξιολόγηση κινδύνου και την αντιμετώπιση κινδύνων ISO 27001, οι ακόλουθες αναφορές είναι ιδιαίτερα σημαντικές:

Το μάθημα διασταυρούμενης συμμόρφωσης είναι απλό. Αν οι νομικές υποχρεώσεις δεν ενσωματώνονται στη μέθοδο αξιολόγησης κινδύνου, η βαθμολόγησή σας είναι ελλιπής. Αν η βαθμολόγηση είναι ελλιπής, οι προτεραιότητες αντιμετώπισης μπορεί να είναι λανθασμένες. Αν οι προτεραιότητες είναι λανθασμένες, η SoA και η αναφορά προς το διοικητικό συμβούλιο γίνονται αναξιόπιστες.

Το Zenith Blueprint διατυπώνει το ίδιο σημείο στη φάση Διαχείρισης Κινδύνων, Βήμα 14, «Πολιτικές αντιμετώπισης κινδύνων και κανονιστικές διασταυρούμενες αναφορές». Συμβουλεύει τους οργανισμούς να δημιουργούν πίνακα χαρτογράφησης που απαριθμεί βασικές κανονιστικές απαιτήσεις ασφάλειας και αντίστοιχους ελέγχους ή πολιτικές στο ISMS. Αυτό δεν είναι υποχρεωτικό για την πιστοποίηση ISO 27001, αλλά είναι ιδιαίτερα χρήσιμο για να αποδειχθεί ότι η ασφάλεια διοικείται εντός νομικού και συμβατικού πλαισίου.

Τι θα ρωτήσουν διαφορετικοί ελεγκτές

Ένας ελεγκτής πιστοποίησης, αξιολογητής με προσανατολισμό NIS2, πελάτης με προσανατολισμό DORA, αξιολογητής GDPR, αξιολογητής NIST ή επαγγελματίας COBIT μπορεί να εξετάσει τα ίδια τεκμήρια αλλά να θέσει διαφορετικές ερωτήσεις.

Γι’ αυτό έχει σημασία η αρχιτεκτονική τεκμηρίων. Η ίδια καταχώριση κινδύνου πρέπει να είναι ιχνηλάσιμη από τον επιχειρησιακό στόχο προς το περιουσιακό στοιχείο, την απειλή, την ευπάθεια, τον έλεγχο, τον υπεύθυνο, τον κανονιστικό οδηγό, την ενέργεια αντιμετώπισης, το αποτέλεσμα δοκιμής και την απόφαση της διοίκησης.

Οι πολιτικές της Clarysec έχουν σχεδιαστεί για να υποστηρίζουν αυτή την αρχιτεκτονική. Η Enterprise Πολιτική Διαχείρισης Κινδύνων αναφέρει στην ενότητα «Πρότυπα και πλαίσια αναφοράς»:

Article 5: Επιβάλλει τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, το οποίο καλύπτεται πλήρως από τη δομή της παρούσας πολιτικής, συμπεριλαμβανομένης της χαρτογράφησης SoA και των KRIs.

Αυτό μετατρέπει την πολιτική από στατικό έγγραφο σε ελεγκτικό τεκμήριο που δείχνει ότι η διακυβέρνηση κινδύνων ΤΠΕ έχει σχεδιαστεί σκόπιμα με γνώμονα το DORA.

Συνήθη ευρήματα που υπονομεύουν τα προγράμματα κινδύνων

Όταν η Clarysec ανασκοπεί τεκμήρια αξιολόγησης κινδύνου και αντιμετώπισης κινδύνων ISO 27001, εμφανίζονται επανειλημμένα τα ίδια ευρήματα.

Πρώτον, τα κριτήρια κινδύνου αγνοούν τον νομικό, κανονιστικό, συμβατικό, προμηθευτικό και σχετικό με την ιδιωτικότητα αντίκτυπο. Αυτό οδηγεί σε αδύναμη βαθμολόγηση. Μια παραβίαση δεδομένων προσωπικού χαρακτήρα ή αστοχία κρίσιμου προμηθευτή μπορεί να αξιολογηθεί ως Μεσαία επειδή η πιθανότητα είναι χαμηλή, παρότι ο αντίκτυπος σε GDPR, NIS2, DORA ή πελάτη θα έπρεπε να την καταστήσει Υψηλή ή Κρίσιμη.

Δεύτερον, οι υπεύθυνοι κινδύνων είναι γενικοί. Το «IT» δεν είναι υπεύθυνος κινδύνου. Ο υπεύθυνος κινδύνου πρέπει να είναι ρόλος ή πρόσωπο με λογοδοσία για αποφάσεις αντιμετώπισης, προϋπολογισμό, χρονοδιάγραμμα και υπολειπόμενο κίνδυνο.

Τρίτον, τα σχέδια αντιμετώπισης δεν είναι χρονικά προσδιορισμένα. Το «Βελτίωση παρακολούθησης» δεν είναι σχέδιο. Το «Ανάπτυξη ειδοποιήσεων προνομιούχων συνεδριών στο SIEM για λογαριασμούς διαχειριστών παραγωγής έως τις 30 Ιουνίου, υπό την ευθύνη του Διευθυντή SOC, με δοκιμή μέσω προσομοιωμένης διαχειριστικής σύνδεσης και συνημμένα τεκμήρια ειδοποίησης» είναι σχέδιο.

Τέταρτον, η SoA είναι αποσυνδεδεμένη από την αντιμετώπιση. Αν το σχέδιο αντιμετώπισης απαιτεί παρακολούθηση προμηθευτών, δοκιμές αντιγράφων ασφαλείας, κλιμάκωση περιστατικών, MFA ή καταγραφή, η SoA πρέπει να αποτυπώνει τους σχετικούς ελέγχους και την κατάσταση υλοποίησης.

Πέμπτον, ο υπολειπόμενος κίνδυνος δεν εγκρίνεται. Το ISO 27001 απαιτεί έγκριση από τον υπεύθυνο κινδύνου για το σχέδιο αντιμετώπισης και τους υπολειπόμενους κινδύνους. Το NIS2 και το DORA το καθιστούν ακόμη πιο σημαντικό, επειδή η λογοδοσία της διοίκησης είναι ρητή.

Έκτον, ο κίνδυνος προμηθευτή αντιμετωπίζεται ως διοικητική εργασία προμηθειών. Σύμφωνα με το NIS2 Article 21(2)(d) και τα DORA Articles 28 και 30, ο κίνδυνος προμηθευτών και τρίτων μερών ΤΠΕ πρέπει να αποτελεί μέρος της διαχείρισης κινδύνων, όχι ετήσιο ερωτηματολόγιο αποθηκευμένο απομονωμένα.

Έβδομον, δεν υπάρχουν τεκμήρια αποτελεσματικότητας. Η ρήτρα 6.1.1 του ISO 27001 απαιτεί την αξιολόγηση της αποτελεσματικότητας των προγραμματισμένων ενεργειών. Το NIS2 περιλαμβάνει αξιολόγηση αποτελεσματικότητας στο Article 21(2)(f). Το DORA αναμένει δοκιμές και αποκατάσταση. Ένας έλεγχος που υπάρχει αλλά δεν δοκιμάζεται ποτέ αποτελεί αδύναμο τεκμήριο.

Η SME Πολιτική Διαχείρισης Κινδύνων - SME θέτει την προσδοκία με σαφήνεια:

Ο Γενικός Διευθυντής και ο Συντονιστής Κινδύνων πρέπει να διασφαλίζουν ότι οι δραστηριότητες διαχείρισης κινδύνων είναι έτοιμες για έλεγχο. Το μητρώο κινδύνων και οι συναφείς ενέργειες υπόκεινται σε Εσωτερικό Έλεγχο και εξωτερικό έλεγχο.

Από την SME Πολιτική Διαχείρισης Κινδύνων, ενότητα «Εφαρμογή και συμμόρφωση», ρήτρα πολιτικής 8.2.1.

Αναφορά προς το διοικητικό συμβούλιο χωρίς υπερφόρτωση των στελεχών

Το NIS2, το DORA και το ISO 27001 συγκλίνουν όλα προς τη λογοδοσία της διοίκησης, αλλά τα διοικητικά συμβούλια δεν χρειάζονται κάθε γραμμή κινδύνου. Χρειάζονται αναφορές χρήσιμες για τη λήψη αποφάσεων.

Ένα καλό πακέτο κινδύνων για το διοικητικό συμβούλιο πρέπει να δείχνει:

• Υψηλούς και Κρίσιμους κινδύνους ανά τομέα
• Εκπρόθεσμες ενέργειες αντιμετώπισης
• Κανονιστικούς κινδύνους που αφορούν NIS2, DORA, GDPR ή συμβάσεις
• Κινδύνους προμηθευτών που επηρεάζουν κρίσιμες ή σημαντικές υπηρεσίες
• Τάσεις περιστατικών και παρ’ ολίγον συμβάντων
• Υπολειπόμενους κινδύνους που αναμένουν αποδοχή
• Αποτελέσματα δοκιμών αποτελεσματικότητας ελέγχων
• Ουσιώδεις αλλαγές σε πεδίο εφαρμογής, προμηθευτές, τεχνολογία ή νομοθεσία
• Ευρήματα Εσωτερικού Ελέγχου και διορθωτικές ενέργειες

Η Clarysec συνιστά συνήθως μηνιαίες επιχειρησιακές ανασκοπήσεις κινδύνων και τριμηνιαίες ανασκοπήσεις από τη διοίκηση. Οι μηνιαίες ανασκοπήσεις εστιάζουν στην υλοποίηση της αντιμετώπισης. Οι τριμηνιαίες ανασκοπήσεις εστιάζουν στην αποδοχή, τη χρηματοδότηση, την ιεράρχηση, την κανονιστική έκθεση και τις στρατηγικές αποφάσεις κινδύνου.

Αυτός ο ρυθμός υποστηρίζει επίσης τη συνεχή βελτίωση. Οι αξιολογήσεις κινδύνου πρέπει να επικαιροποιούνται όταν συμβαίνουν περιστατικά, αναδύονται ευπάθειες, εισάγονται νέα περιουσιακά στοιχεία, αλλάζει η τεχνολογία, αλλάζουν προμηθευτές, αλλάζει η νομοθεσία, αλλάζουν οι υποχρεώσεις πελατών ή μεταβάλλεται η διάθεση ανάληψης κινδύνου.

Η διαδρομή υλοποίησης της Clarysec

Ένα ενιαίο πρόγραμμα κινδύνων αποφεύγει τα αποσυνδεδεμένα υπολογιστικά φύλλα ISO, NIS2, DORA, GDPR και διασφάλισης πελατών. Η πρακτική διαδρομή είναι:

1. Επιβεβαιώστε το πεδίο εφαρμογής του ISMS, τις υπηρεσίες, τα περιουσιακά στοιχεία, τους προμηθευτές, τις δικαιοδοσίες και τις υποχρεώσεις πελατών.
2. Δημιουργήστε ή επικαιροποιήστε το μητρώο συμμόρφωσης χρησιμοποιώντας την Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης - SME, όπου ενδείκνυται.
3. Ορίστε μεθοδολογία κινδύνου, κριτήρια αποδοχής, κλίμακες πιθανότητας, κλίμακες αντικτύπου και κανόνες κανονιστικού αντικτύπου.
4. Δημιουργήστε το μητρώο κινδύνων χρησιμοποιώντας τη φάση Διαχείρισης Κινδύνων του Zenith Blueprint και την προσέγγιση δημιουργίας μητρώου κινδύνων και SoA της Clarysec.
5. Αναγνωρίστε κινδύνους βάσει περιουσιακών στοιχείων και βάσει σεναρίων, συμπεριλαμβανομένων σεναρίων προμηθευτών, cloud, ιδιωτικότητας, επιχειρησιακής συνέχειας, περιστατικών, ευπαθειών, ασφαλούς ανάπτυξης και πρόσβασης.
6. Βαθμολογήστε τους κινδύνους με κριτήρια που περιλαμβάνουν νομικό, κανονιστικό, συμβατικό, επιχειρησιακό, σχετικό με την ιδιωτικότητα, προμηθευτικό και χρηματοοικονομικό αντίκτυπο.
7. Επιλέξτε επιλογές αντιμετώπισης: μετριασμός, αποφυγή, μεταφορά ή αποδοχή.
8. Χαρτογραφήστε τους αναγκαίους ελέγχους στο ISO/IEC 27001:2022 Παράρτημα A και στην καθοδήγηση ISO/IEC 27002:2022.
9. Δημιουργήστε ή επικαιροποιήστε τη Δήλωση Εφαρμοσιμότητας.
10. Χαρτογραφήστε τις ενέργειες αντιμετώπισης στο NIS2 Article 21, στη διαχείριση κινδύνων ΤΠΕ και στις προσδοκίες τρίτων μερών του DORA, στην αρχή λογοδοσίας του GDPR και στις συμβατικές υποχρεώσεις πελατών.
11. Συλλέξτε τεκμήρια, επικυρώστε την αποτελεσματικότητα ελέγχων και λάβετε έγκριση υπολειπόμενου κινδύνου.
12. Προετοιμάστε πακέτο ελέγχου οργανωμένο ανά κίνδυνο, έλεγχο, κανονισμό και τεκμήριο.
13. Τροφοδοτήστε τα αποτελέσματα στην ανασκόπηση από τη διοίκηση, τον Εσωτερικό Έλεγχο, τις διορθωτικές ενέργειες και τη συνεχή βελτίωση.

Αυτό δεν είναι γραφειοκρατία για χάρη της γραφειοκρατίας. Είναι το λειτουργικό σύστημα για τεκμηριωμένη κυβερνοδιακυβέρνηση που μπορεί να υποστηριχθεί.

Δημιουργήστε ελεγκτικά ώριμο πακέτο αντιμετώπισης κινδύνων

Η ιστορία της Σάρα τελειώνει καλά επειδή σταμάτησε να αντιμετωπίζει το ISO 27001, το NIS2 και το DORA ως ξεχωριστά έργα συμμόρφωσης. Χρησιμοποίησε την αξιολόγηση κινδύνου ISO 27001 ως κεντρική μηχανή, ενσωμάτωσε τις κανονιστικές υποχρεώσεις στα κριτήρια κινδύνου, χαρτογράφησε τις ενέργειες αντιμετώπισης στο Παράρτημα A και στις απαιτήσεις της ΕΕ και συνέλεξε τεκμήρια που μπορούσαν να κατανοήσουν πελάτες, ελεγκτές και το διοικητικό συμβούλιο.

Ο οργανισμός σας μπορεί να κάνει το ίδιο.

Χρησιμοποιήστε το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων ενός ελεγκτή για να ορίσετε κριτήρια κινδύνου, να δημιουργήσετε το μητρώο κινδύνων, να διαμορφώσετε το σχέδιο αντιμετώπισης κινδύνων και να παραπέμψετε διασταυρούμενα σε κανονιστικές απαιτήσεις.

Χρησιμοποιήστε το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης για να συνδέσετε τις περιοχές ελέγχων του ISO/IEC 27001:2022 Παραρτήματος A με οπτικές διακυβέρνησης, νομικής συμμόρφωσης, διασφάλισης και ελέγχου.

Χρησιμοποιήστε την Πολιτική Διαχείρισης Κινδύνων, την Πολιτική Διαχείρισης Κινδύνων - SME και την Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης - SME της Clarysec για να τυποποιήσετε την ιδιοκτησία, τα μητρώα, τις αποφάσεις αντιμετώπισης και τα ελεγκτικά ώριμα τεκμήρια.

Το ταχύτερο πρακτικό επόμενο βήμα είναι να πάρετε τους δέκα κορυφαίους κινδύνους σας και να τους ελέγξετε με πέντε ερωτήσεις:

1. Είναι ο κανονιστικός αντίκτυπος ορατός;
2. Είναι το σχέδιο αντιμετώπισης χρονικά προσδιορισμένο και έχει σαφή ιδιοκτησία;
3. Είναι κάθε ενέργεια αντιμετώπισης χαρτογραφημένη στο Παράρτημα A και στη SoA;
4. Είναι τεκμηριωμένη η συνάφεια με NIS2, DORA, GDPR ή πελάτη, όπου εφαρμόζεται;
5. Υπάρχουν τεκμήρια ότι ο έλεγχος λειτουργεί;

Αν η απάντηση είναι όχι, η Clarysec μπορεί να βοηθήσει να μετατρέψετε το μητρώο κινδύνων σας σε ένα τεκμηριωμένο πρόγραμμα αντιμετώπισης κινδύνων διασταυρούμενης συμμόρφωσης, το οποίο μπορούν να εμπιστευθούν ελεγκτές, ρυθμιστικές αρχές, πελάτες και διοικητικά συμβούλια.