Ανάλυση Επιχειρηματικού Αντικτύπου για ISO 27001, NIS2 και DORA

Το ερώτημα ελέγχου που αποκαλύπτει το πραγματικό κενό επιχειρησιακής συνέχειας

Είναι Δευτέρα πρωί και η Maria, Υπεύθυνη Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης FinTech, προετοιμάζεται για συνεδρίαση της Επιτροπής Κινδύνων του Διοικητικού Συμβουλίου. Το θέμα του μηνύματος είναι σύντομο: «Ετοιμότητα για DORA και NIS2: Ανασκόπηση BIA».

Η ομάδα της έχει δημιουργήσει όσα αναμένουν να δουν τα περισσότερα ανώτερα στελέχη. Υπάρχει πιστοποιημένο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) κατά ISO/IEC 27001:2022, εγχειρίδια ενεργειών απόκρισης σε περιστατικά, αποδεικτικά αντιγράφων ασφαλείας, αναφορές ευπαθειών, ερωτηματολόγια προμηθευτών, διαγράμματα αρχιτεκτονικής νέφους και επικαιροποιημένο μητρώο κινδύνων. Οι εταιρικοί πελάτες αποστέλλουν ερωτηματολόγια NIS2. Πελάτες του χρηματοπιστωτικού τομέα ενσωματώνουν ρήτρες DORA στις συμβάσεις. Ο έλεγχος επιτήρησης ISO/IEC 27001:2022 απέχει μόλις έναν μήνα.

Τότε ο εξωτερικός ελεγκτής θέτει το ερώτημα που αλλάζει την ατμόσφαιρα στην αίθουσα:

«Εάν η πλατφόρμα ένταξης πελατών σας δεν είναι διαθέσιμη για 18 ώρες, ποιες ρυθμιζόμενες υπηρεσίες επηρεάζονται, ποιοι προμηθευτές εμπλέκονται, ποια είναι η εγκεκριμένη προτεραιότητα ανάκαμψης και πού βρίσκονται τα τεκμήρια ότι η επιχείρηση αποδέχθηκε το RTO και το RPO;»

Η αίθουσα σιωπά.

Το πρόγραμμα αντιγράφων ασφαλείας λέει ένα πράγμα. Το σχέδιο ανάκαμψης από καταστροφή λέει κάτι άλλο. Η σύμβαση προμηθευτή περιλαμβάνει SLA διαθεσιμότητας, αλλά όχι τεκμήρια δοκιμής ανάκαμψης. Το μητρώο κινδύνων αναφέρει τη διαθεσιμότητα, αλλά δεν εξηγεί γιατί μία υπηρεσία πρέπει να ανακάμψει ταχύτερα από μια άλλη. Η διοίκηση ενέκρινε την πολιτική ασφάλειας, αλλά όχι τον επιχειρηματικό αντίκτυπο του χρόνου διακοπής.

Αυτό είναι το πρόβλημα της Ανάλυσης Επιχειρηματικού Αντικτύπου το 2026.

Η Ανάλυση Επιχειρηματικού Αντικτύπου, ή BIA, δεν είναι πλέον ένα υπολογιστικό φύλλο προσαρτημένο σε σχέδιο επιχειρησιακής συνέχειας. Είναι η γέφυρα τεκμηρίων μεταξύ επιχειρησιακών υπηρεσιών, περιουσιακών στοιχείων ΤΠΕ, προμηθευτών, προτεραιοτήτων ανάκαμψης, RTO/RPO, ορίων περιστατικών, δοκιμών ανθεκτικότητας και λογοδοσίας του Διοικητικού Συμβουλίου. Για οργανισμούς που ευθυγραμμίζουν το ISO/IEC 27001:2022 με την επιχειρησιακή συνέχεια του NIS2 και την ανθεκτικότητα ΤΠΕ του DORA, η BIA είναι το σημείο όπου η συμμόρφωση γίνεται επιχειρησιακή πράξη.

Οι ισχυρότεροι οργανισμοί διαθέτουν ήδη πολλούς από τους σωστούς ελέγχους. Η αδυναμία τους είναι η ιχνηλασιμότητα. Η BIA μετατρέπει διάσπαρτα τεκμήρια σε αφήγημα έτοιμο για έλεγχο: τι έχει σημασία, γιατί έχει σημασία, πόσο γρήγορα πρέπει να ανακάμψει, ποιες εξαρτήσεις το υποστηρίζουν, τι έχει δοκιμαστεί, τι απέτυχε, τι βελτιώθηκε και ποιος ενέκρινε τον υπολειπόμενο κίνδυνο.

Γιατί τα παλιά υπολογιστικά φύλλα BIA αποτελούν πλέον έκθεση σε κίνδυνο

Το NIS2 και το DORA άλλαξαν τον τόνο της συμμόρφωσης στην επιχειρησιακή συνέχεια. Δεν αντιμετωπίζουν την επιχειρησιακή συνέχεια, την ανάκαμψη από καταστροφή, την απόκριση σε περιστατικά, την ανθεκτικότητα προμηθευτών και τη διακυβέρνηση ως ξεχωριστά έγγραφα. Αναμένουν να λειτουργούν ως ενιαίο σύστημα.

Για τις οντότητες NIS2, το Article 21 απαιτεί τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση κινδύνων σε συστήματα δικτύων και πληροφοριών και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου περιστατικών στους αποδέκτες υπηρεσιών και σε άλλες υπηρεσίες. Τα ελάχιστα μέτρα του περιλαμβάνουν ανάλυση κινδύνου, χειρισμό περιστατικών, επιχειρησιακή συνέχεια συμπεριλαμβανομένης της διαχείρισης αντιγράφων ασφαλείας, ανάκαμψη από καταστροφή και διαχείριση κρίσεων, ασφάλεια εφοδιαστικής αλυσίδας, χειρισμό ευπαθειών, αξιολόγηση της αποτελεσματικότητας των ελέγχων, εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων, MFA και ασφαλείς επικοινωνίες.

Το NIS2 Article 20 μεταφέρει το ζήτημα στην αίθουσα του Διοικητικού Συμβουλίου. Τα όργανα διοίκησης πρέπει να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και μπορεί να θεωρηθούν υπεύθυνα για παραβάσεις. Αυτό σημαίνει ότι ένα μη τεκμηριωμένο RTO τεσσάρων ωρών δεν είναι απλώς τεχνική ασυνέπεια. Είναι αδυναμία διακυβέρνησης.

Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και δημιουργεί ένα ενιαίο πλαίσιο της ΕΕ για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, τη διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ, τις συμβατικές απαιτήσεις και την εποπτεία κρίσιμων τρίτων παρόχων ΤΠΕ. Για χρηματοπιστωτικές οντότητες, καθώς και για παρόχους τεχνολογίας που τις υποστηρίζουν μέσω συμβάσεων, το DORA μετατρέπει την επιχειρησιακή ανθεκτικότητα σε δομημένη απαίτηση τεκμηρίων.

Τα DORA Articles 5 και 6 απαιτούν διακυβέρνηση και τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Τα Articles 7 έως 14 καλύπτουν αξιόπιστα και ανθεκτικά συστήματα ΤΠΕ, αναγνώριση περιουσιακών στοιχείων και εξαρτήσεων, προστασία, ανίχνευση, επιχειρησιακή συνέχεια ΤΠΕ, αντίγραφα ασφαλείας, αποκατάσταση, ανάκαμψη, μάθηση μετά από περιστατικά, ευαισθητοποίηση, εκπαίδευση και επικοινωνία κρίσης. Τα Articles 24 έως 26 απαιτούν δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας για χρηματοπιστωτικές οντότητες που δεν είναι πολύ μικρές επιχειρήσεις. Τα Articles 28 έως 30 τυποποιούν τον κίνδυνο τρίτων παρόχων ΤΠΕ, τα μητρώα συμβάσεων υπηρεσιών ΤΠΕ, τις στρατηγικές εξόδου, τα επίπεδα υπηρεσιών, τα δικαιώματα ελέγχου και πρόσβασης και τις απαιτήσεις εφεδρείας.

Το ISO/IEC 27001:2022 παρέχει τη ραχοκοκαλιά του συστήματος διαχείρισης. Οι ρήτρες του απαιτούν από τον οργανισμό να ορίζει το πλαίσιο, τα ενδιαφερόμενα μέρη, τις νομικές και συμβατικές υποχρεώσεις, το πεδίο εφαρμογής, την ηγεσία, την πολιτική, τους ρόλους, την αξιολόγηση κινδύνου, την αντιμετώπιση κινδύνου, τη Δήλωση Εφαρμοσιμότητας, τον επιχειρησιακό σχεδιασμό, την αξιολόγηση επιδόσεων και τη συνεχή βελτίωση.

Ο κρίκος που λείπει είναι συχνά η BIA. Χωρίς αυτήν, τα σχέδια επιχειρησιακής συνέχειας δεν βασίζονται σαφώς στον κίνδυνο, οι στόχοι αντιγράφων ασφαλείας δεν έχουν εγκριθεί από την επιχείρηση, οι προμηθευτές δεν έχουν χαρτογραφηθεί σε κρίσιμες υπηρεσίες και η διοίκηση δεν μπορεί να αποδείξει αξιόπιστα ότι οι αποφάσεις ανθεκτικότητας βασίστηκαν στον επιχειρηματικό αντίκτυπο.

Η BIA ως επίπεδο ενοποίησης για τα τεκμήρια ανθεκτικότητας

Μια υπερασπίσιμη BIA απαντά σε επτά ερωτήματα που θέτουν όλο και συχνότερα ελεγκτές, ρυθμιστικές αρχές, πελάτες και Διοικητικά Συμβούλια:

1. Ποιες επιχειρησιακές υπηρεσίες είναι κρίσιμες;
2. Ποια περιουσιακά στοιχεία ΤΠΕ, αποθετήρια δεδομένων, άνθρωποι, προμηθευτές και υποστηρικτικές παροχές υποστηρίζουν κάθε υπηρεσία;
3. Ποιος είναι ο επιχειρησιακός, χρηματοοικονομικός, νομικός, συμβατικός, πελατειακός, σχετικός με την ασφάλεια και σχετικός με τη φήμη αντίκτυπος μιας διακοπής με την πάροδο του χρόνου;
4. Ποιος είναι ο Μέγιστος Ανεκτός Χρόνος Διακοπής, ή MTD;
5. Ποιοι είναι ο εγκεκριμένος Στόχος Χρόνου Ανάκαμψης, ή RTO, και ο Στόχος Σημείου Ανάκαμψης, ή RPO;
6. Καθιστούν οι ρυθμίσεις αντιγράφων ασφαλείας, πλεονασμού, νέφους, προμηθευτών, στελέχωσης και επικοινωνίας αυτούς τους στόχους εφικτούς;
7. Έχει ο οργανισμός δοκιμάσει τη διαδρομή ανάκαμψης και ανασκοπήσει τα αποτελέσματα;

Η εταιρική Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή της Clarysec P32 Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή διατυπώνει σαφώς την απαίτηση:

Η Ανάλυση Επιχειρηματικού Αντικτύπου (BIA) πρέπει να διενεργείται τουλάχιστον ετησίως για όλες τις κρίσιμες επιχειρησιακές μονάδες και να ανασκοπείται μετά από σημαντικές αλλαγές σε συστήματα, διαδικασίες ή εξαρτήσεις. Τα αποτελέσματα της BIA πρέπει να ορίζουν: 5.2.1. Μέγιστο Ανεκτό Χρόνο Διακοπής (MTD) 5.2.2. Στόχους Χρόνου Ανάκαμψης (RTOs) 5.2.3. Στόχους Σημείου Ανάκαμψης (RPOs) 5.2.4. Κρίσιμες εξαρτήσεις (συστήματα, προμηθευτές, προσωπικό)

Η ρήτρα αυτή δίνει στους ελεγκτές πρακτικό σημείο εκκίνησης. Επίσης αποτρέπει τη συνηθισμένη αστοχία κατά την οποία το σχέδιο επιχειρησιακής συνέχειας, το σχέδιο ανάκαμψης από καταστροφή, το πρόγραμμα αντιγράφων ασφαλείας, το μητρώο προμηθευτών και η διαδικασία απόκρισης σε περιστατικά χρησιμοποιούν το καθένα διαφορετικό ορισμό του «κρίσιμου».

Η ίδια πολιτική απαιτεί ολοκληρωμένη προσέγγιση διαχείρισης:

Ο οργανισμός πρέπει να διατηρεί ένα ολοκληρωμένο Σύστημα Διαχείρισης Επιχειρησιακής Συνέχειας (BCMS), ευθυγραμμισμένο με ISO 22301 και ISO/IEC 27001, διασφαλίζοντας την ενσωμάτωση των εξής: 5.1.1. Ανάλυση Επιχειρηματικού Αντικτύπου (BIA) 5.1.2. Αξιολόγηση κινδύνου ασφάλειας για απειλές επιχειρησιακής συνέχειας 5.1.3. Σχέδια Επιχειρησιακής Συνέχειας (BCP/DRP) 5.1.4. Σχέδια Ανάκαμψης από Καταστροφή ΤΠΕ (DRPs) 5.1.5. Προγράμματα δοκιμών και ασκήσεων 5.1.6. Τεκμηρίωση και συνεχής βελτίωση

Αυτή είναι η διαφορά μεταξύ συμμόρφωσης βάσει λίστας ελέγχου και ανθεκτικότητας έτοιμης για έλεγχο. Η BIA δεν είναι μεμονωμένο έγγραφο. Γίνεται μέρος της αλυσίδας τεκμηρίων του ISMS και του BCMS.

Πώς το ISO/IEC 27001:2022 μετατρέπει τη BIA σε ελεγκτικά τεκμήρια

Το ISO/IEC 27001:2022 δεν απαιτεί από κάθε οργανισμό να χρησιμοποιεί τη φράση «Ανάλυση Επιχειρηματικού Αντικτύπου» σε κάθε ρήτρα, αλλά οι απαιτήσεις του καθιστούν τα τεκμήρια BIA ιδιαίτερα πολύτιμα.

Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί εσωτερικά και εξωτερικά ζητήματα, ενδιαφερόμενα μέρη, νομικές και ρυθμιστικές υποχρεώσεις, συμβατικές απαιτήσεις, διεπαφές, εξαρτήσεις και το πεδίο εφαρμογής του ISMS. Η BIA είναι συχνά το πιο πρακτικό τεκμήριο για αυτές τις διεπαφές και εξαρτήσεις. Δείχνει ποια υπηρεσία νέφους, ποιος επεξεργαστής πληρωμών, ποιος πάροχος ταυτότητας, ποιος πάροχος τηλεπικοινωνιών, ποια διαχειριζόμενη υπηρεσία ασφάλειας, ποιο κέντρο δεδομένων ή ποια εξωτερική ομάδα υποστήριξης καθιστά δυνατή μια κρίσιμη υπηρεσία.

Οι ρήτρες 5.1 έως 5.3 απαιτούν ηγεσία από την Ανώτατη Διοίκηση, παροχή πόρων, επικοινωνία, ανάθεση ρόλων και αναφορά. Η BIA παρέχει στην ηγεσία επιχειρησιακή βάση για επενδύσεις στην επιχειρησιακή συνέχεια. Χωρίς αυτήν, οι στόχοι RTO και RPO είναι τεχνικές επιθυμίες, όχι εγκεκριμένες επιχειρησιακές απαιτήσεις.

Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν επαναλήψιμη αξιολόγηση κινδύνου και αντιμετώπιση κινδύνου ασφάλειας πληροφοριών. Ο οργανισμός πρέπει να αναγνωρίζει κινδύνους για την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, να αναλύει συνέπειες και πιθανότητα, να καθορίζει επίπεδα κινδύνου, να ιεραρχεί την αντιμετώπιση, να επιλέγει ελέγχους, να συγκρίνει τους επιλεγμένους ελέγχους με το Παράρτημα A, να παράγει Δήλωση Εφαρμοσιμότητας, να δημιουργεί σχέδιο αντιμετώπισης κινδύνων και να λαμβάνει έγκριση από τον ιδιοκτήτη κινδύνου. Η BIA ενισχύει την πλευρά των «συνεπειών» στην αξιολόγηση κινδύνου. Εξηγεί γιατί μια διακοπή δύο ωρών σε ένα σύστημα είναι ανεκτή, ενώ μια διακοπή δύο ωρών σε άλλο δημιουργεί βλάβη πελατών, ρυθμιστική έκθεση, παραβίαση σύμβασης ή σοβαρό αντίκτυπο στα έσοδα.

Το Παράρτημα A παρέχει τον κατάλογο ελέγχων. Για τη BIA και την επιχειρησιακή συνέχεια, οι πιο συναφείς έλεγχοι του ISO/IEC 27001:2022 Παραρτήματος A περιλαμβάνουν:

Στο Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης Zenith Controls, η Clarysec παρουσιάζει τον έλεγχο ISO/IEC 27002:2022 5.30, ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια, ως διορθωτικό έλεγχο με επίκεντρο τη διαθεσιμότητα, χαρτογραφημένο στη λειτουργία κυβερνοασφάλειας Respond, στην επιχειρησιακή δυνατότητα συνέχειας και στον τομέα ασφάλειας ανθεκτικότητας. Ο έλεγχος 5.29, ασφάλεια πληροφοριών κατά τη διακοπή, παρουσιάζεται ως προληπτικός και διορθωτικός, προστατεύοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Ο έλεγχος 8.13, αντίγραφα ασφαλείας πληροφοριών, παρουσιάζεται ως διορθωτικός, υποστηρίζοντας την ακεραιότητα και τη διαθεσιμότητα μέσω ανάκαμψης.

Η διάκριση αυτή έχει σημασία. Μια BIA δεν πρέπει να ρωτά μόνο «Μπορούμε να επαναφέρουμε;». Πρέπει επίσης να ρωτά «Μπορούμε να παραμείνουμε ασφαλείς κατά τη διακοπή;». Κατά τη διάρκεια συμβάντος ransomware, διακοπής υπηρεσίας νέφους, αστοχίας προμηθευτή ή περιστατικού κέντρου δεδομένων, ο οργανισμός εξακολουθεί να χρειάζεται έλεγχο πρόσβασης, καταγραφή, παρακολούθηση, διατήρηση τεκμηρίων, ασφαλείς επικοινωνίες και δικλίδες προστασίας δεδομένων.

Το πρακτικό μοντέλο τεκμηρίων BIA

Μια ισχυρή BIA συνδέει την επιχειρησιακή γλώσσα με τεχνικά τεκμήρια. Η Clarysec συνήθως δομεί το μοντέλο τεκμηρίων σε πέντε επίπεδα.

Αυτό το μοντέλο τεκμηρίων λειτουργεί επειδή ακολουθεί τον τρόπο σκέψης των ελεγκτών. Πρώτα ρωτούν τι είναι κρίσιμο. Έπειτα ρωτούν τι το υποστηρίζει. Στη συνέχεια ρωτούν ποιος ενέκρινε τον στόχο ανάκαμψης. Μετά ρωτούν εάν οι τεχνικές ρυθμίσεις και οι ρυθμίσεις προμηθευτών μπορούν να επιτύχουν τον στόχο. Τέλος, ρωτούν εάν ο οργανισμός έχει δοκιμάσει και βελτιώσει τη δυνατότητα.

Το NIST CSF 2.0 είναι χρήσιμο ως επίπεδο επικοινωνίας. Η μέθοδος CSF Profiles ενθαρρύνει τους οργανισμούς να ορίσουν πεδίο εφαρμογής, να συλλέξουν εισροές όπως πολιτικές, προτεραιότητες επιχειρησιακού κινδύνου, μητρώα BIA, απαιτήσεις κυβερνοασφάλειας, πρότυπα, διαδικασίες, δικλίδες ασφαλείας και ρόλους εργασίας, να δημιουργήσουν τρέχοντα και επιθυμητά προφίλ, να αναλύσουν κενά, να παραγάγουν ιεραρχημένο σχέδιο ενεργειών, να υλοποιήσουν το σχέδιο και να επικαιροποιήσουν το προφίλ. Αυτό είναι σχεδόν ακριβώς ο τρόπος με τον οποίο μια BIA πρέπει να τροφοδοτεί έναν οδικό χάρτη διασταυρούμενης συμμόρφωσης.

Άσκηση BIA μίας εβδομάδας που δημιουργεί πραγματικά τεκμήρια

Ας υποθέσουμε ότι ένας πάροχος SaaS υποστηρίζει πελάτες χρηματοπιστωτικών υπηρεσιών. Η πλατφόρμα του υποστηρίζει την ένταξη πελατών, την επαλήθευση εγγράφων και τις ειδοποιήσεις πελατών. Δεν είναι ο ίδιος τράπεζα, αλλά οι πελάτες του αποστέλλουν συμβατικά αιτήματα που απορρέουν από το DORA και ερωτηματολόγια προμηθευτών NIS2.

Μια στοχευμένη άσκηση μίας εβδομάδας μπορεί να δημιουργήσει γρήγορα χρήσιμα τεκμήρια.

Ημέρα 1: Αναγνώριση κρίσιμων υπηρεσιών και χρονικών παραθύρων αντικτύπου

Ξεκινήστε από τις υπηρεσίες, όχι από τους διακομιστές. Συμμετέχουν επιχειρησιακοί ιδιοκτήτες, Πληροφορική, ασφάλεια, νομική λειτουργία, υποστήριξη, προστασία δεδομένων και διαχείριση προμηθευτών.

Αυτή η πλαισίωση είναι σημαντική. Οι ρυθμιστικές αρχές και οι πελάτες αναγνωρίζουν υπηρεσίες και λειτουργίες. Οι εφαρμογές έχουν σημασία επειδή υποστηρίζουν αυτές τις υπηρεσίες.

Ημέρα 2: Χαρτογράφηση εξαρτήσεων

Για κάθε υπηρεσία, χαρτογραφήστε εφαρμογές, βάσεις δεδομένων, υποδομή, υπηρεσίες νέφους, παρόχους ταυτότητας, παρακολούθηση, εργαλεία αντιγράφων ασφαλείας, ανθρώπους, προμηθευτές και υποστηρικτικές παροχές.

Εδώ αρχίζει η BIA να παράγει αξία. Αποκαλύπτει την αόρατη διαδρομή ανάκαμψης, συμπεριλαμβανομένων των εξαρτήσεων που συχνά παραλείπονται σε ένα τεχνικό σχέδιο DR.

Ημέρα 3: Έγκριση MTD, RTO και RPO

Ο επιχειρησιακός ιδιοκτήτης προτείνει το MTD. Η Πληροφορική και η ασφάλεια επικυρώνουν εάν τα προτεινόμενα RTO και RPO είναι τεχνικά εφικτά. Η διοίκηση εγκρίνει τους τελικούς στόχους.

Για μικρότερους οργανισμούς, η Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή - SME της Clarysec P32S Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή - SME παρέχει την ίδια πειθαρχία σε απλούστερη γλώσσα. Απαιτεί σχέδια BCP/DR που καθορίζουν την προσέγγιση για την αποκατάσταση ουσιωδών λειτουργιών:

Ο Γενικός Διευθυντής (GM) πρέπει να εγκρίνει και να διατηρεί Σχέδια Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή (BCP/DRP) που καθορίζουν σαφώς την προσέγγιση του οργανισμού για την αποκατάσταση ουσιωδών λειτουργιών.

Απαιτεί επίσης το σχέδιο να περιλαμβάνει:

ιεραρχημένες υπηρεσίες και συστήματα (κρίσιμες επιχειρησιακές λειτουργίες)

Και:

Στόχους Χρόνου Ανάκαμψης (RTOs) και Στόχους Σημείου Ανάκαμψης (RPOs) για κάθε σύστημα

Το ζητούμενο δεν είναι η υπερβολική τεκμηρίωση. Το ζητούμενο είναι η ιχνηλασιμότητα, η έγκριση και τα τεκμήρια ότι οι στόχοι ανάκαμψης βασίζονται σε πραγματικό επιχειρηματικό αντίκτυπο.

Ημέρα 4: Συμφιλίωση των αντιγράφων ασφαλείας με τον επιχειρηματικό αντίκτυπο

Πολλοί οργανισμοί αποτυγχάνουν εδώ. Η BIA μπορεί να ορίζει RPO τεσσάρων ωρών, ενώ τα αντίγραφα ασφαλείας εκτελούνται κάθε 24 ώρες. Ή το εργαλείο αντιγράφων ασφαλείας προστατεύει τις βάσεις δεδομένων παραγωγής, αλλά όχι τη ρύθμιση παραμέτρων, τα μυστικά, τα αποθετήρια infrastructure-as-code, την αποθήκευση αντικειμένων, τις εγγραφές DNS, τις ρυθμίσεις ταυτότητας ή τη ρύθμιση παραμέτρων του API gateway.

Η Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης της Clarysec P15 Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης απαιτεί Κύριο Χρονοδιάγραμμα Αντιγράφων Ασφαλείας συνδεδεμένο με τα αποτελέσματα της BIA:

Πρέπει να τηρείται και να ανασκοπείται ετησίως Κύριο Χρονοδιάγραμμα Αντιγράφων Ασφαλείας. Πρέπει να προσδιορίζει: 5.1.1 Συχνότητα αντιγράφων ασφαλείας (για παράδειγμα, ημερήσια αυξητικά αντίγραφα ασφαλείας και εβδομαδιαία πλήρη αντίγραφα ασφαλείας) 5.1.2 Περιόδους διατήρησης ανά σύστημα ή τύπο δεδομένων 5.1.3 Απαιτήσεις κρυπτογράφησης και λεπτομέρειες τοποθεσίας αποθήκευσης 5.1.4 Στόχους RTO/RPO συνδεδεμένους με τα αποτελέσματα αξιολόγησης επιχειρηματικού αντικτύπου

Αυτή η ρήτρα είναι πολύτιμη για τον έλεγχο. Υποχρεώνει τον σχεδιασμό αντιγράφων ασφαλείας να αντανακλά τον επιχειρηματικό αντίκτυπο, όχι την ευκολία αποθήκευσης.

Ημέρα 5: Δοκιμή μίας διαδρομής ανάκαμψης και άνοιγμα διορθωτικών ενεργειών

Μην δοκιμάζετε τα πάντα ταυτόχρονα. Επιλέξτε μία κρίσιμη υπηρεσία και εκτελέστε στοχευμένη δοκιμή ανάκαμψης. Επαναφέρετε τη βάση δεδομένων. Αναδημιουργήστε τη ρύθμιση παραμέτρων της εφαρμογής. Επικυρώστε την αυθεντικοποίηση. Επιβεβαιώστε ότι τα αρχεία καταγραφής είναι διαθέσιμα. Ελέγξτε τη δυνατότητα ειδοποίησης πελατών. Καταγράψτε τον χρόνο που απαιτήθηκε, την απώλεια δεδομένων, τα ελαττώματα, τις αποφάσεις και τις διορθωτικές ενέργειες.

Στο Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint, η φάση Controls in Action, Step 23, αφορά οργανωτικούς ελέγχους, συμπεριλαμβανομένης της ετοιμότητας ΤΠΕ για επιχειρησιακή συνέχεια. Θέτει το ερώτημα που πρέπει να θέτει κάθε ομάδα ελέγχου:

Μπορούν τα συστήματά σας να υποστηρίξουν τους στόχους επιχειρησιακής συνέχειας όταν τα φώτα τρεμοπαίζουν, όταν τα δίκτυα πέφτουν, όταν συμβαίνει καταστροφή;

Το ίδιο βήμα δίνει πρακτική οδηγία:

Επαληθεύστε ότι οι στόχοι χρόνου ανάκαμψης (RTO) και οι στόχοι σημείου ανάκαμψης (RPO) για κρίσιμα συστήματα ευθυγραμμίζονται με τις προσδοκίες επιχειρησιακής συνέχειας (5.30). Διενεργήστε τουλάχιστον μία τεχνική δοκιμή ανάκαμψης ή προσομοίωση μεταγωγής σε εφεδρικό σύστημα και τεκμηριώστε τα αποτελέσματα.

Αυτή είναι η διαφορά μεταξύ του να διαθέτει κάποιος BIA και του να διαθέτει υπερασπίσιμα τεκμήρια BIA. Ο στόχος δεν είναι μόνο τεκμηριωμένος. Έχει δοκιμαστεί.

Χαρτογράφηση τεκμηρίων BIA σε NIS2, DORA, GDPR, NIST και COBIT 2019

Μια καλά δομημένη BIA γίνεται περιουσιακό στοιχείο διασταυρούμενης συμμόρφωσης. Ένα σύνολο τεκμηρίων μπορεί να απαντήσει σε πολλά ερωτήματα.

Το GDPR συχνά παραβλέπεται στις συζητήσεις για BIA. Ωστόσο, το GDPR Article 5 απαιτεί τα δεδομένα προσωπικού χαρακτήρα να υποβάλλονται σε επεξεργασία με ακεραιότητα και εμπιστευτικότητα, συμπεριλαμβανομένης της προστασίας από τυχαία απώλεια, καταστροφή ή ζημία με κατάλληλα τεχνικά ή οργανωτικά μέτρα. Η λογοδοσία απαιτεί από τον υπεύθυνο επεξεργασίας να αποδεικνύει τη συμμόρφωση. Εάν μια πλατφόρμα δεδομένων προσωπικού χαρακτήρα δεν μπορεί να αποκατασταθεί εντός εγκεκριμένου και δοκιμασμένου χρονικού πλαισίου, ο κίνδυνος προστασίας δεδομένων επηρεάζει τη διαθεσιμότητα, την ακεραιότητα, την αξιολόγηση παραβίασης και την εμπιστοσύνη των πελατών.

Η αναφορά περιστατικών NIS2 προσθέτει άλλη μία διάσταση. Το Article 23 απαιτεί τα σημαντικά περιστατικά να κοινοποιούνται χωρίς αδικαιολόγητη καθυστέρηση, συμπεριλαμβανομένης έγκαιρης προειδοποίησης εντός 24 ωρών, ειδοποίησης περιστατικού εντός 72 ωρών και τελικής αναφοράς εντός ενός μήνα. Η BIA βοηθά στην ταξινόμηση της σοβαρότητας, επειδή ορίζει τις επηρεαζόμενες υπηρεσίες, τους αποδέκτες υπηρεσιών, την επιχειρησιακή διακοπή και τον πιθανό διασυνοριακό αντίκτυπο.

Η ταξινόμηση περιστατικών DORA λαμβάνει επίσης υπόψη επηρεαζόμενους πελάτες ή συναλλαγές, διάρκεια, γεωγραφική έκταση, απώλειες δεδομένων, κρισιμότητα των επηρεαζόμενων υπηρεσιών και οικονομικό αντίκτυπο. Αυτά είναι πεδία BIA. Εάν η BIA είναι αδύναμη, η ταξινόμηση περιστατικών γίνεται υποκειμενική τη χειρότερη δυνατή στιγμή.

Η επιχειρησιακή συνέχεια προμηθευτών είναι το σημείο όπου η BIA συναντά τη συμβατική πραγματικότητα

Για NIS2 και DORA, η επιχειρησιακή συνέχεια προμηθευτών δεν είναι πλέον προαιρετική. Το NIS2 Article 21 περιλαμβάνει ασφάλεια εφοδιαστικής αλυσίδας και απαιτεί προσοχή σε ευπάθειες προμηθευτών, ποιότητα και ανθεκτικότητα προϊόντων, πρακτικές κυβερνοασφάλειας προμηθευτών και διαδικασίες ασφαλούς ανάπτυξης. Το DORA απαιτεί ο κίνδυνος τρίτων παρόχων ΤΠΕ να τελεί υπό διαχείριση εντός του πλαισίου κινδύνων ΤΠΕ, συμπεριλαμβανομένων μητρώων συμβάσεων υπηρεσιών ΤΠΕ, δέουσας επιμέλειας, κινδύνου συγκέντρωσης, στρατηγικών εξόδου, δικαιωμάτων ελέγχου και πρόσβασης, υποστήριξης σε περιστατικά, επιπέδων υπηρεσιών και απαιτήσεων εφεδρείας.

Η εταιρική Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή απαιτεί:

Εξαρτήσεις τρίτων μερών και εφοδιαστικής αλυσίδας 6.5.1. Οι συμβάσεις με κρίσιμους προμηθευτές πρέπει να περιλαμβάνουν υποχρεώσεις επιχειρησιακής συνέχειας και δεσμεύσεις χρόνου ανάκαμψης. 6.5.2. Οι βασικοί πάροχοι υπηρεσιών πρέπει, κατόπιν αιτήματος, να αποδεικνύουν περιοδικές δοκιμές επιχειρησιακής συνέχειας και συμμετοχή σε ασκήσεις περιστατικών.

Η έκδοση SME απαιτεί επίσης:

σημεία επικοινωνίας για τη συνέχεια προμηθευτών

Αυτό το μικρό πεδίο μπορεί να αποδειχθεί καθοριστικό σε πραγματικό περιστατικό. Εάν το σχέδιο ανάκαμψης λέει «επικοινωνήστε με την υποστήριξη του παρόχου υπηρεσιών νέφους», αλλά κανείς δεν γνωρίζει τη διαδρομή κλιμάκωσης, την αναφορά σύμβασης, τη διαδικασία σοβαρότητας ή την επαφή εκτός ωραρίου, το RTO είναι πλασματικό.

Ο πίνακας αυτός δεν αντικαθιστά τη διαχείριση κινδύνου προμηθευτών. Καθιστά τον κίνδυνο προμηθευτών επιχειρησιακά εφαρμόσιμο.

Πώς θα ελέγξουν οι ελεγκτές τη BIA σας

Ένας ελεγκτής ISO/IEC 27001:2022 συνήθως ξεκινά από το πεδίο εφαρμογής, το πλαίσιο, την αξιολόγηση κινδύνου, την αντιμετώπιση κινδύνου, τη Δήλωση Εφαρμοσιμότητας, τους ελέγχους του Παραρτήματος A, τις τεκμηριωμένες πληροφορίες, τον επιχειρησιακό σχεδιασμό, την αξιολόγηση επιδόσεων και τη βελτίωση. Θα συγκρίνει τη BIA με την αξιολόγηση κινδύνου και το SoA. Εάν περιλαμβάνονται οι A.5.30, A.5.29 ή A.8.13, θα ζητήσει τεκμήρια υλοποίησης και δοκιμών.

Ένας αξιολογητής DORA θα εστιάσει σε κρίσιμες ή σημαντικές λειτουργίες, περιουσιακά στοιχεία ΤΠΕ, εξαρτήσεις από τρίτους παρόχους ΤΠΕ, δοκιμές ανθεκτικότητας, ταξινόμηση περιστατικών, συμβατικές απαιτήσεις, στρατηγικές εξόδου και εποπτεία από το όργανο διοίκησης. Θα αναμένει η BIA να ευθυγραμμίζεται με το πλαίσιο διαχείρισης κινδύνων ΤΠΕ, τη στρατηγική ψηφιακής επιχειρησιακής ανθεκτικότητας, τα σχέδια επιχειρησιακής συνέχειας ΤΠΕ, τα σχέδια απόκρισης και ανάκαμψης και το πρόγραμμα δοκιμών.

Ένας επόπτης NIS2 θα ζητήσει μέτρα επιχειρησιακής συνέχειας, διαχείριση αντιγράφων ασφαλείας, ανάκαμψη από καταστροφή, διαχείριση κρίσεων, ασφάλεια εφοδιαστικής αλυσίδας, έγκριση διακυβέρνησης και ικανότητα αναφοράς σημαντικών περιστατικών. Η BIA πρέπει να αποδεικνύει ότι αυτά τα μέτρα βασίζονται στον αντίκτυπο υπηρεσιών και σε εγκεκριμένες προτεραιότητες.

Ένας αξιολογητής NIST CSF 2.0 θα ρωτήσει πώς η BIA ενημερώνει το Current Profile, το Target Profile, την ανάλυση κενών και το σχέδιο ενεργειών. Θα εξετάσει τα αποτελέσματα Govern για νομικές, ρυθμιστικές και συμβατικές αποφάσεις, καθώς και αποφάσεις κινδύνου, ρόλων, πολιτικής, εποπτείας και κινδύνου προμηθευτών. Θα εξετάσει επίσης τα αποτελέσματα Identify, Protect, Detect, Respond και Recover.

Ένας ελεγκτής COBIT 2019 ή τύπου ISACA θα εστιάσει συνήθως στη διακυβέρνηση. Ποιος είναι ιδιοκτήτης της υπηρεσίας; Ποιος αποδέχθηκε τον κίνδυνο; Είναι οι στόχοι ευθυγραμμισμένοι με τους εταιρικούς στόχους; Παρακολουθούνται οι προμηθευτές; Είναι ισορροπημένα τα οφέλη, οι κίνδυνοι και οι πόροι; Παρακολουθούνται οι διορθωτικές ενέργειες έως το κλείσιμο;

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης της Clarysec Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης καθιστά τη BIA μέρος του κύκλου σχεδιασμού ελέγχων:

Πρέπει να καταρτίζεται και να εγκρίνεται ετησίως Σχέδιο Ελέγχων βάσει κινδύνου, λαμβάνοντας υπόψη: 5.2.1 Τα αποτελέσματα των πιο πρόσφατων αξιολογήσεων κινδύνου και της Ανάλυσης Επιχειρηματικού Αντικτύπου (BIA) 5.2.2 Προηγούμενα ευρήματα ελέγχου και κατάσταση διορθωτικών ενεργειών 5.2.3 Αλλαγές σε διαδικασίες, υποδομή πληροφορικής, συστήματα ή προμηθευτές 5.2.4 Εξωτερικές υποχρεώσεις όπως DORA Article 25 ή συμβάσεις πελατών

Αυτό είναι βήμα ωριμότητας που πολλοί οργανισμοί παραλείπουν. Η BIA δεν πρέπει να βρίσκεται εκτός της λειτουργίας διασφάλισης. Πρέπει να κατευθύνει το σχέδιο ελέγχων.

Συνήθεις αστοχίες BIA που εντοπίζονται σε πραγματικές αξιολογήσεις

Οι ίδιες αδυναμίες εμφανίζονται επανειλημμένα.

Πρώτον, η BIA απαριθμεί εφαρμογές, όχι υπηρεσίες. Οι πελάτες και οι ρυθμιστικές αρχές ενδιαφέρονται για τη διακοπή υπηρεσιών. Οι εφαρμογές έχουν σημασία επειδή υποστηρίζουν αυτές τις υπηρεσίες.

Δεύτερον, οι στόχοι RTO και RPO αντιγράφονται από πρότυπα. Ένα RTO τεσσάρων ωρών μπορεί να ακούγεται λογικό, μέχρι μια δοκιμή επαναφοράς να δείξει ότι απαιτούνται εννέα ώρες για την αναδημιουργία της ενοποίησης ταυτότητας, την ανάκτηση ρύθμισης παραμέτρων, την επαναφορά δεδομένων, την επικύρωση ακεραιότητας και την επανενεργοποίηση της παρακολούθησης.

Τρίτον, τα αντίγραφα ασφαλείας δεν συνδέονται με τον επιχειρηματικό αντίκτυπο. Η συχνότητα, η διατήρηση, η κρυπτογράφηση, η τοποθεσία αποθήκευσης, η προτεραιότητα αποκατάστασης και οι δοκιμές πρέπει να αντανακλούν εγκεκριμένους στόχους ανάκαμψης.

Τέταρτον, οι προμηθευτές αντιμετωπίζονται ως στοιχεία ερωτηματολογίου, όχι ως εξαρτήσεις ανάκαμψης. Οι δεσμεύσεις επιχειρησιακής συνέχειας προμηθευτών, οι επαφές κλιμάκωσης, τα τεκμήρια ανάκαμψης και η συμμετοχή σε ασκήσεις περιστατικών πρέπει να συνδέονται με κρίσιμες υπηρεσίες.

Πέμπτον, λείπει η έγκριση από τη διοίκηση. Σύμφωνα με NIS2 και DORA, η λογοδοσία της διοίκησης είναι ρητή. Σύμφωνα με το ISO/IEC 27001:2022, η ηγεσία, οι ρόλοι, η έγκριση από τον ιδιοκτήτη κινδύνου και η αναφορά επιδόσεων αποτελούν βασικές απαιτήσεις.

Έκτον, οι δοκιμές είναι υπερβολικά στενές. Η επαναφορά ενός αρχείου είναι χρήσιμη, αλλά δεν αποδεικνύει ανάκαμψη υπηρεσίας. Μια διαδρομή ανάκαμψης κρίσιμης υπηρεσίας μπορεί να περιλαμβάνει DNS, ταυτότητα, μυστικά, infrastructure-as-code, API gateways, παρακολούθηση, καταγραφή, κλιμάκωση προμηθευτών, επικοινωνία πελατών και ανασκόπηση προστασίας δεδομένων.

Το Zenith Blueprint, στη φάση Controls in Action, Step 19, αποτυπώνει την προσδοκία ελέγχου για τα αντίγραφα ασφαλείας:

Δοκιμάζετε τα αντίγραφα ασφαλείας σας;

Η απάντηση πρέπει να είναι «ναι, με τεκμήρια», και αυτά τα τεκμήρια πρέπει να συνδέονται πίσω στη BIA.

Το πακέτο τεκμηρίων BIA για ετοιμότητα ελέγχου

Ένα πρακτικό πρόγραμμα BIA πρέπει να παράγει συνοπτικό πακέτο τεκμηρίων που μπορεί να χρησιμοποιηθεί για ελέγχους, δέουσα επιμέλεια πελατών, αναφορά προς το Διοικητικό Συμβούλιο και βελτίωση ανθεκτικότητας.

Αυτό το πακέτο αφηγείται μια συνεκτική ιστορία. Καθιστά επίσης την ανθεκτικότητα μετρήσιμη.

Επόμενο βήμα: μετατρέψτε τη BIA σας σε τεκμήρια συμμόρφωσης

Η Maria δεν χρειάζεται μεγαλύτερο υπολογιστικό φύλλο. Χρειάζεται μια ζωντανή αλυσίδα τεκμηρίων.

Ξεκινήστε με μία κρίσιμη υπηρεσία. Χαρτογραφήστε τα περιουσιακά στοιχεία ΤΠΕ, τα δεδομένα, τους ανθρώπους, τους προμηθευτές και τις υποστηρικτικές παροχές της. Εγκρίνετε MTD, RTO και RPO. Συμφιλιώστε το πρόγραμμα αντιγράφων ασφαλείας. Ελέγξτε τις δεσμεύσεις ανάκαμψης προμηθευτών. Εκτελέστε μία δοκιμή ανάκαμψης. Καταγράψτε κενά. Επικαιροποιήστε το σχέδιο αντιμετώπισης κινδύνων. Παρουσιάστε το αποτέλεσμα στη διοίκηση.

Έπειτα επαναλάβετε.

Η Clarysec μπορεί να βοηθήσει στην επιτάχυνση αυτής της διαδικασίας χρησιμοποιώντας την Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή, την Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή - SME, την Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης, την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, το Zenith Blueprint και το Zenith Controls.

Η BIA σας δεν πρέπει να είναι ανενεργό τεκμήριο που δημιουργήθηκε για έναν έλεγχο. Πρέπει να είναι η επιχειρησιακή απόδειξη ότι οι σημαντικότερες υπηρεσίες σας μπορούν να αντέξουν μια διακοπή, να ανταποκριθούν στις προσδοκίες πελατών και ρυθμιστικών αρχών και να ανακάμψουν εντός ορίων που η ηγεσία σας έχει πράγματι εγκρίνει.

Εάν ο οργανισμός σας προετοιμάζεται για έλεγχο επιτήρησης ISO/IEC 27001:2022, διασφάλιση πελατών NIS2, ανασκοπήσεις τρίτων παρόχων ΤΠΕ βάσει DORA ή αναφορά ανθεκτικότητας σε επίπεδο Διοικητικού Συμβουλίου, ξεκινήστε καθιστώντας τη BIA υπερασπίσιμη. Κατεβάστε τις πολιτικές συνέχειας και ελέγχου της Clarysec, ανασκοπήστε τον οδικό χάρτη υλοποίησης Zenith ή ζητήστε αξιολόγηση τεκμηρίων ανθεκτικότητας για να μετατρέψετε διάσπαρτους ελέγχους σε ένα ενιαίο αφήγημα έτοιμο για έλεγχο.