Ελεγκτικά τεκμήρια υπολογιστικού νέφους για ISO 27001, NIS2 και DORA

Η Maria, Επικεφαλής Ασφάλειας Πληροφοριών σε μια ταχέως αναπτυσσόμενη εταιρεία χρηματοοικονομικής ανάλυσης, είχε έξι εβδομάδες πριν συμπέσουν τρεις προθεσμίες. Ο έλεγχος επιτήρησης ISO 27001:2022 ήταν ήδη προγραμματισμένος. Το NIS2 είχε φέρει την εταιρεία σε νέο επίπεδο λογοδοσίας της διοίκησης ως σημαντική οντότητα. Το DORA επρόκειτο να δοκιμάσει αν οι λειτουργίες fintech της εταιρείας μπορούσαν να αποδείξουν ψηφιακή επιχειρησιακή ανθεκτικότητα. Ταυτόχρονα, ένας μεγάλος εταιρικός πελάτης κρατούσε σε εκκρεμότητα μια σύμβαση μέχρι η ομάδα της να περάσει μια λεπτομερή ανασκόπηση διασφάλισης ασφάλειας.

Η εταιρεία δεν ήταν ανασφαλής. Εκτελούσε φόρτους εργασίας παραγωγής σε AWS και Azure, χρησιμοποιούσε Microsoft 365 και αρκετές κρίσιμες πλατφόρμες SaaS, επέβαλλε MFA, δημιουργούσε αντίγραφα ασφαλείας δεδομένων, σάρωνε για ευπάθειες και συνέλεγε αρχεία καταγραφής υπολογιστικού νέφους. Το πρόβλημα ήταν η απόδειξη.

Τα τεκμήρια ήταν διασκορπισμένα σε στιγμιότυπα οθόνης Slack, σελίδες wiki προγραμματιστών, εξαγωγές από κονσόλες υπολογιστικού νέφους, φακέλους προμηθειών, νομικές συμβάσεις και προφορικές διαβεβαιώσεις από ιδιοκτήτες πλατφορμών. Όταν ένας ελεγκτής ρωτούσε «δείξτε μου πώς ελέγχετε το περιβάλλον υπολογιστικού νέφους σας», ένας σύνδεσμος προς τη σελίδα συμμόρφωσης του παρόχου υπηρεσιών υπολογιστικού νέφους δεν θα αρκούσε. Τα πιστοποιητικά του παρόχου αποδείκνυαν τους ελέγχους του παρόχου. Δεν αποδείκνυαν την πλευρά της Maria στο μοντέλο κοινής ευθύνης.

Εκεί αποτυγχάνουν πολλά προγράμματα ελεγκτικών τεκμηρίων ασφάλειας υπολογιστικού νέφους. Όχι επειδή λείπουν οι έλεγχοι, αλλά επειδή ο οργανισμός δεν μπορεί να αποδείξει, με δομημένο και ιχνηλάσιμο τρόπο, ποιες ευθύνες ανήκουν στον πάροχο, ποιες στον πελάτη, πώς έχουν διαμορφωθεί οι έλεγχοι SaaS και IaaS, πώς εφαρμόζονται οι δεσμεύσεις των προμηθευτών και πώς διατηρούνται τα τεκμήρια για ελεγκτές, ρυθμιστικές αρχές και πελάτες.

Η συμμόρφωση στο υπολογιστικό νέφος δεν είναι πλέον τεχνικό παράρτημα. Για έναν πάροχο SaaS υπό NIS2, μια χρηματοοικονομική οντότητα υπό DORA ή οποιονδήποτε οργανισμό ISO 27001:2022 που χρησιμοποιεί IaaS, PaaS και SaaS, η διακυβέρνηση υπολογιστικού νέφους αποτελεί μέρος του πεδίου εφαρμογής του ISMS, του σχεδίου αντιμετώπισης κινδύνων, του κύκλου ζωής προμηθευτών, της διαδικασίας διαχείρισης περιστατικών, της λογοδοσίας ιδιωτικότητας και της ανασκόπησης της διοίκησης.

Ο πρακτικός στόχος είναι απλός: να δημιουργηθεί μία αρχιτεκτονική τεκμηρίων υπολογιστικού νέφους, έτοιμη για ρυθμιστικό και εποπτικό έλεγχο, η οποία απαντά σε ερωτήματα ISO 27001:2022, NIS2, DORA, GDPR, διασφάλισης πελατών και εσωτερικού ελέγχου χωρίς να αναδημιουργούνται τεκμήρια για κάθε πλαίσιο.

Το υπολογιστικό νέφος είναι πάντα εντός πεδίου εφαρμογής, ακόμη και όταν η υποδομή έχει ανατεθεί εξωτερικά

Η πρώτη παγίδα ελέγχου είναι η υπόθεση ότι η υποδομή που έχει ανατεθεί εξωτερικά βρίσκεται εκτός ISMS. Δεν βρίσκεται. Η εξωτερική ανάθεση αλλάζει το όριο ελέγχου· δεν αφαιρεί τη λογοδοσία.

Το ISO/IEC 27001:2022 απαιτεί από τον οργανισμό να ορίζει το πλαίσιο λειτουργίας του, τα ενδιαφερόμενα μέρη, το πεδίο εφαρμογής του ISMS, τις διεπαφές, τις εξαρτήσεις και τις διεργασίες. Σε μια επιχείρηση που λειτουργεί πρωτίστως σε περιβάλλον υπολογιστικού νέφους, ο πάροχος ταυτότητας, ο λογαριασμός φιλοξενίας στο υπολογιστικό νέφος, το CRM, η πλατφόρμα ηλεκτρονικού ταχυδρομείου, η αποθήκη δεδομένων, ο αγωγός CI/CD, το εργαλείο διαχείρισης αιτημάτων και η υπηρεσία αντιγράφων ασφαλείας αποτελούν συχνά βασική επιχειρησιακή υποδομή.

Το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint της Clarysec διατυπώνει αυτό το σημείο στη φάση Θεμελίωση και Ηγεσία ISMS, Βήμα 2, Ανάγκες Ενδιαφερόμενων Μερών και Πεδίο Εφαρμογής ISMS:

«Αν αναθέτετε την υποδομή πληροφορικής σας σε πάροχο υπηρεσιών υπολογιστικού νέφους, αυτό δεν την εξαιρεί από το πεδίο εφαρμογής· αντίθετα, συμπεριλαμβάνετε τη διαχείριση αυτής της σχέσης και τα περιουσιακά στοιχεία υπολογιστικού νέφους στο πεδίο εφαρμογής, επειδή η ασφάλεια των δεδομένων σας στο υπολογιστικό νέφος είναι δική σας ευθύνη.»

Αυτή η δήλωση αποτελεί άγκυρα ελέγχου. Το πεδίο εφαρμογής σας δεν πρέπει να λέει «το AWS εξαιρείται επειδή το διαχειρίζεται η Amazon». Πρέπει να λέει ότι τα πληροφοριακά περιουσιακά στοιχεία και οι διεργασίες που σχετίζονται με υπηρεσίες φιλοξενούμενες σε AWS είναι εντός πεδίου εφαρμογής, συμπεριλαμβανομένης της διαχείρισης ελέγχων ασφάλειας υπολογιστικού νέφους, ταυτότητας, καταγραφής, κρυπτογράφησης, αντιγράφων ασφαλείας, διασφάλισης προμηθευτών και απόκρισης σε περιστατικά.

Για το ISO 27001:2022, αυτό υποστηρίζει τις ρήτρες 4.1 έως 4.4 σχετικά με το πλαίσιο, τα ενδιαφερόμενα μέρη, το πεδίο εφαρμογής και τις διεργασίες του ISMS. Για το NIS2, υποστηρίζει τις προσδοκίες του Article 21 για ανάλυση κινδύνου, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή απόκτηση και συντήρηση, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων, κρυπτογραφία, αποτελεσματικότητα ελέγχων και MFA όπου ενδείκνυται. Για το DORA, υποστηρίζει την αρχή ότι οι χρηματοοικονομικές οντότητες παραμένουν υπεύθυνες για τον κίνδυνο ΤΠΕ ακόμη και όταν οι υπηρεσίες ΤΠΕ ανατίθενται εξωτερικά.

Το ερώτημα δεν είναι αν ο πάροχος υπηρεσιών υπολογιστικού νέφους σας είναι ασφαλής. Το ερώτημα είναι αν διοικείτε τη χρήση του παρόχου, αν διαμορφώνετε σωστά τη δική σας πλευρά, αν παρακολουθείτε την υπηρεσία, αν διαχειρίζεστε τις δεσμεύσεις των προμηθευτών και αν διατηρείτε τεκμήρια.

Η κοινή ευθύνη πρέπει να γίνει κοινή τεκμηρίωση

Οι πάροχοι υπηρεσιών υπολογιστικού νέφους εξηγούν την κοινή ευθύνη. Οι ελεγκτές εξετάζουν αν την εφαρμόσατε στην πράξη.

Στο IaaS, ο πάροχος συνήθως ασφαλίζει τις φυσικές εγκαταστάσεις, τη βασική υποδομή και τον hypervisor. Ο πελάτης ελέγχει την ταυτότητα, τη διαμόρφωση των φόρτων εργασίας, τη σκλήρυνση λειτουργικών συστημάτων, την ασφάλεια εφαρμογών, την ταξινόμηση δεδομένων, τις ρυθμίσεις κρυπτογράφησης, τους κανόνες δικτύου, την καταγραφή, τα αντίγραφα ασφαλείας, την εφαρμογή διορθώσεων και την απόκριση σε περιστατικά.

Στο SaaS, ο πάροχος ελέγχει το μεγαλύτερο μέρος των λειτουργιών της πλατφόρμας, αλλά ο πελάτης εξακολουθεί να ελέγχει τη διαμόρφωση του μισθωτή, τους χρήστες, τους διαχειριστικούς ρόλους, τις ενσωματώσεις, την κοινοποίηση δεδομένων, τη διατήρηση, τις επιλογές καταγραφής και τις διαδικασίες κλιμάκωσης.

Το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης Zenith Controls της Clarysec αντιμετωπίζει τον έλεγχο ISO/IEC 27002:2022 5.23, Ασφάλεια πληροφοριών κατά τη χρήση υπηρεσιών υπολογιστικού νέφους, ως κεντρικό έλεγχο διακυβέρνησης υπολογιστικού νέφους με προληπτική πρόθεση σε όλο το εύρος της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας. Συνδέει τις υπηρεσίες υπολογιστικού νέφους με σχέσεις προμηθευτών, ασφαλή μεταφορά πληροφοριών, αποθετήριο περιουσιακών στοιχείων, πρόληψη απώλειας δεδομένων, ασφάλεια τερματικών σημείων και δικτύου, καθώς και πρακτικές ασφαλούς ανάπτυξης.

Μια βασική ερμηνεία του Zenith Controls αναφέρει:

«Οι πάροχοι υπηρεσιών υπολογιστικού νέφους (CSPs) λειτουργούν ως κρίσιμοι προμηθευτές και, επομένως, εφαρμόζονται όλοι οι έλεγχοι σχετικά με την επιλογή προμηθευτών, τη σύναψη συμβάσεων και τη διαχείριση κινδύνων υπό το 5.19. Ωστόσο, το 5.23 προχωρά περισσότερο, αντιμετωπίζοντας ειδικούς κινδύνους υπολογιστικού νέφους, όπως η πολυμίσθωση, η διαφάνεια ως προς την τοποθεσία δεδομένων και τα μοντέλα κοινής ευθύνης.»

Αυτή η διάκριση είναι κρίσιμη. Τα πιστοποιητικά προμηθευτών από μόνα τους δεν ικανοποιούν το Παράρτημα A.5.23. Χρειάζεστε τεκμήρια από την πλευρά του πελάτη που αποδεικνύουν ότι η υπηρεσία υπολογιστικού νέφους διοικείται, διαμορφώνεται, παρακολουθείται και ανασκοπείται.

Αυτή είναι η διαφορά ανάμεσα στο να διαθέτετε ελέγχους υπολογιστικού νέφους και στο να διαθέτετε ελέγχους υπολογιστικού νέφους έτοιμους για έλεγχο.

Ξεκινήστε με ένα Μητρώο Υπηρεσιών Υπολογιστικού Νέφους που μπορούν να χρησιμοποιήσουν οι ελεγκτές

Ο ταχύτερος τρόπος να βελτιώσετε την ετοιμότητα ελέγχου υπολογιστικού νέφους είναι να δημιουργήσετε ένα πλήρες Μητρώο Υπηρεσιών Υπολογιστικού Νέφους. Δεν πρέπει να είναι κατάλογος προμηθειών ή εξαγωγή οικονομικών στοιχείων. Πρέπει να συνδέει τις υπηρεσίες υπολογιστικού νέφους με δεδομένα, ιδιοκτήτες, περιοχές, πρόσβαση, συμβάσεις, κρισιμότητα, κανονιστική συνάφεια και τεκμήρια.

Η Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους για ΜΜΕ Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους για ΜΜΕ της Clarysec παρέχει μια συμπαγή και φιλική προς τον έλεγχο βασική γραμμή στη ρήτρα 5.3:

«Πρέπει να τηρείται Μητρώο Υπηρεσιών Υπολογιστικού Νέφους από τον πάροχο πληροφορικής ή τον Γενικό Διευθυντή. Πρέπει να καταγράφει: 5.3.1 Το όνομα και τον σκοπό κάθε εγκεκριμένης υπηρεσίας υπολογιστικού νέφους 5.3.2 Το υπεύθυνο άτομο ή την υπεύθυνη ομάδα (Ιδιοκτήτης Εφαρμογής) 5.3.3 Τους τύπους δεδομένων που αποθηκεύονται ή υποβάλλονται σε επεξεργασία 5.3.4 Τη χώρα ή την περιοχή όπου αποθηκεύονται τα δεδομένα 5.3.5 Τα δικαιώματα πρόσβασης χρηστών και τους διαχειριστικούς λογαριασμούς 5.3.6 Στοιχεία σύμβασης, ημερομηνίες ανανέωσης και σημεία επικοινωνίας υποστήριξης»

Για εταιρικά περιβάλλοντα, η Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους της Clarysec θεσπίζει την ευρύτερη εντολή:

«Η παρούσα πολιτική θεσπίζει τις υποχρεωτικές απαιτήσεις του οργανισμού για την ασφαλή, συμμορφούμενη και υπεύθυνη χρήση υπηρεσιών υπολογιστικού νέφους σε μοντέλα παροχής Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) και Software-as-a-Service (SaaS).»

Η Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους απαιτεί κεντρικοποιημένο μητρώο υπό την ευθύνη του Επικεφαλής Ασφάλειας Πληροφοριών και εγκεκριμένες βασικές γραμμές ρυθμίσεων για περιβάλλοντα υπολογιστικού νέφους. Το μητρώο αυτό γίνεται η βάση τεκμηρίων για πολλές υποχρεώσεις ταυτόχρονα.

Για το ISO 27001:2022, υποστηρίζει το αποθετήριο περιουσιακών στοιχείων, τη διακυβέρνηση χρήσης υπολογιστικού νέφους, τις σχέσεις προμηθευτών, τον έλεγχο πρόσβασης, τις νομικές και συμβατικές απαιτήσεις, την αντιμετώπιση κινδύνου και τις τεκμηριωμένες πληροφορίες. Για το NIS2, υποστηρίζει την ασφάλεια εφοδιαστικής αλυσίδας, τη διαχείριση περιουσιακών στοιχείων, την ανάλυση κινδύνου, τον χειρισμό περιστατικών και τη συνέχεια. Για το DORA, υποστηρίζει τη χαρτογράφηση περιουσιακών στοιχείων ΤΠΕ και εξαρτήσεων, τα μητρώα τρίτων μερών ΤΠΕ, τη χαρτογράφηση κρίσιμων ή σημαντικών λειτουργιών και την ανάλυση κινδύνου συγκέντρωσης. Για το GDPR, προσδιορίζει αν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα, πού βρίσκονται, ποιος πάροχος ενεργεί ως εκτελών την επεξεργασία και ποιοι όροι μεταφοράς ή επεξεργασίας δεδομένων εφαρμόζονται.

Αν το μητρώο δεν προσδιορίζει κατηγορίες δεδομένων και περιοχές, τα τεκμήρια ιδιωτικότητας και ανθεκτικότητας θα είναι ελλιπή. Αν δεν προσδιορίζει Ιδιοκτήτες Εφαρμογών, οι ανασκοπήσεις δικαιωμάτων πρόσβασης θα μένουν χωρίς σαφή ιδιοκτησία. Αν δεν προσδιορίζει συμβάσεις και ημερομηνίες ανανέωσης, οι ρήτρες ασφάλειας προμηθευτών δεν μπορούν να ελεγχθούν αποτελεσματικά.

Μετατρέψτε το ISO 27001:2022 σε κορμό τεκμηρίων υπολογιστικού νέφους

Το ISO 27001:2022 είναι ο καλύτερος κορμός για τα τεκμήρια υπολογιστικού νέφους, επειδή συνδέει το επιχειρησιακό πλαίσιο, τον κίνδυνο, τους ελέγχους, τα επιχειρησιακά τεκμήρια, την παρακολούθηση και τη βελτίωση.

Οι βασικές απαιτήσεις του ISO 27001:2022 που σχετίζονται με το υπολογιστικό νέφος περιλαμβάνουν:

• Ρήτρες 4.1 έως 4.4 για το πλαίσιο, τα ενδιαφερόμενα μέρη, το πεδίο εφαρμογής του ISMS, τις διεπαφές, τις εξαρτήσεις και τις διεργασίες.
• Ρήτρες 5.1 έως 5.3 για την ηγεσία, την πολιτική, τους ρόλους, τις αρμοδιότητες και τη λογοδοσία.
• Ρήτρες 6.1.1 έως 6.1.3 για την αξιολόγηση κινδύνου, την αντιμετώπιση κινδύνου, τη σύγκριση με το Παράρτημα A, τη Δήλωση Εφαρμοσιμότητας και την αποδοχή υπολειπόμενου κινδύνου.
• Ρήτρα 7.5 για ελεγχόμενες τεκμηριωμένες πληροφορίες.
• Ρήτρες 8.1 έως 8.3 για τον επιχειρησιακό σχεδιασμό, την εκτέλεση αξιολόγησης κινδύνου και την εκτέλεση αντιμετώπισης κινδύνου.
• Ρήτρες 9.1 έως 9.3 για την παρακολούθηση, τη μέτρηση, τον εσωτερικό έλεγχο και την ανασκόπηση της διοίκησης.
• Ρήτρα 10 για μη συμμόρφωση, διορθωτικά μέτρα και συνεχή βελτίωση.

Οι έλεγχοι του Παραρτήματος A που φέρουν το μεγαλύτερο βάρος τεκμηρίων υπολογιστικού νέφους περιλαμβάνουν A.5.19 Ασφάλεια πληροφοριών στις σχέσεις με προμηθευτές, A.5.20 Αντιμετώπιση της ασφάλειας πληροφοριών στις συμφωνίες με προμηθευτές, A.5.21 Διαχείριση της ασφάλειας πληροφοριών στην εφοδιαστική αλυσίδα ΤΠΕ, A.5.22 Παρακολούθηση, ανασκόπηση και διαχείριση αλλαγών των υπηρεσιών προμηθευτών, A.5.23 Ασφάλεια πληροφοριών κατά τη χρήση υπηρεσιών υπολογιστικού νέφους, A.5.24 έως A.5.27 διαχείριση περιστατικών, A.5.29 Ασφάλεια πληροφοριών κατά τη διάρκεια διαταραχής, A.5.30 Ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια, A.5.31 Νομικές, καταστατικές, κανονιστικές και συμβατικές απαιτήσεις, A.5.34 Ιδιωτικότητα και προστασία PII, A.5.36 Συμμόρφωση με πολιτικές, κανόνες και πρότυπα ασφάλειας πληροφοριών, A.8.8 Διαχείριση τεχνικών ευπαθειών, A.8.9 Διαχείριση διαμόρφωσης, A.8.13 Αντίγραφα ασφαλείας πληροφοριών, A.8.15 Καταγραφή, A.8.16 Δραστηριότητες παρακολούθησης, A.8.24 Χρήση κρυπτογραφίας, A.8.25 Ασφαλής κύκλος ζωής ανάπτυξης, A.8.29 Δοκιμές ασφάλειας κατά την ανάπτυξη και αποδοχή και A.8.32 Διαχείριση αλλαγών.

Στο Zenith Blueprint, η φάση Έλεγχοι σε Λειτουργία, Βήμα 23, εξηγεί τις υπηρεσίες υπολογιστικού νέφους με γλώσσα που έχει απήχηση στους ελεγκτές:

«Η μετάβαση σε υπηρεσίες υπολογιστικού νέφους εισάγει βαθιές αλλαγές στο μοντέλο εμπιστοσύνης. Δεν ελέγχετε πλέον τον διακομιστή, την περίμετρο δικτύου ή τον hypervisor. Συχνά, δεν γνωρίζετε καν πού βρίσκονται φυσικά τα δεδομένα. Αυτό που ελέγχετε, και αυτό που επιβάλλει ο συγκεκριμένος έλεγχος, είναι η διακυβέρνηση αυτής της σχέσης, η ορατότητα σε αυτό που χρησιμοποιείτε και οι προσδοκίες ασφάλειας που θέτετε στους παρόχους σας.»

Μια ισχυρή καταχώριση στη Δήλωση Εφαρμοσιμότητας για το A.5.23 δεν πρέπει να αναφέρει μόνο «Εφαρμόζεται, πιστοποιημένος πάροχος υπολογιστικού νέφους». Πρέπει να εξηγεί γιατί εφαρμόζεται ο έλεγχος, ποιους κινδύνους αντιμετωπίζει, πώς υλοποιείται και πού αποθηκεύονται τα τεκμήρια.

Προσθέστε μια στήλη τοποθεσίας τεκμηρίων στη SoA ή στο σύστημα παρακολούθησης ελέγχων. Οι ελεγκτές δεν πρέπει να χρειάζεται να αναζητούν αποδεικτικά στοιχεία σε email, συστήματα αιτημάτων και κοινόχρηστους δίσκους.

Χρησιμοποιήστε ένα μοντέλο τεκμηρίων για ISO 27001:2022, NIS2 και DORA

Το NIS2 και το DORA απαιτούν τεκμηριωμένη, βάσει κινδύνου κυβερνοασφάλεια υπό την καθοδήγηση της διοίκησης. Η επικάλυψη είναι σημαντική, αλλά η εποπτική πίεση είναι διαφορετική.

Το NIS2 εφαρμόζεται σε πολλές βασικές και σημαντικές οντότητες στην ΕΕ, συμπεριλαμβανομένων παρόχων ψηφιακών υποδομών, παρόχων διαχειριζόμενων υπηρεσιών, παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας, τραπεζών, υποδομών χρηματοπιστωτικών αγορών και ψηφιακών παρόχων. Το Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων ανάλυσης κινδύνου, χειρισμού περιστατικών, επιχειρησιακής συνέχειας, ασφάλειας εφοδιαστικής αλυσίδας, ασφαλούς απόκτησης και συντήρησης, χειρισμού ευπαθειών, αξιολόγησης αποτελεσματικότητας ελέγχων, κυβερνοϋγιεινής, εκπαίδευσης, κρυπτογραφίας, ελέγχου πρόσβασης, διαχείρισης περιουσιακών στοιχείων και MFA ή ασφαλών επικοινωνιών όπου ενδείκνυται.

Για τα ελεγκτικά τεκμήρια ασφάλειας υπολογιστικού νέφους, το NIS2 εξετάζει αν οι κίνδυνοι υπολογιστικού νέφους και προμηθευτών αντιμετωπίζονται ως μέρος του κινδύνου παροχής υπηρεσιών. Εισάγει επίσης δομημένη αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης έγκαιρης προειδοποίησης εντός 24 ωρών, κοινοποίησης περιστατικού εντός 72 ωρών και τελικής αναφοράς εντός ενός μήνα.

Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 σε πολλές χρηματοοικονομικές οντότητες της ΕΕ και δημιουργεί ενιαίες απαιτήσεις για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά μείζονων περιστατικών ΤΠΕ, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, την ανταλλαγή πληροφοριών και τον κίνδυνο ΤΠΕ τρίτων μερών. Για χρηματοοικονομικές οντότητες που εμπίπτουν επίσης στο NIS2, το DORA αντιμετωπίζεται ως η τομεακή ενωσιακή νομική πράξη για επικαλυπτόμενες επιχειρησιακές υποχρεώσεις.

Για το υπολογιστικό νέφος, το DORA είναι άμεσο. Οι χρηματοοικονομικές οντότητες παραμένουν υπεύθυνες για τον κίνδυνο ΤΠΕ όταν οι υπηρεσίες ανατίθενται εξωτερικά. Χρειάζονται στρατηγικές τρίτων μερών ΤΠΕ, μητρώα συμβάσεων, προσυμβατικές αξιολογήσεις, δέουσα επιμέλεια, δικαιώματα ελέγχου και πρόσβασης, εναύσματα λύσης, ανάλυση κινδύνου συγκέντρωσης, ελέγχους υπεργολαβικής ανάθεσης και δοκιμασμένες στρατηγικές εξόδου.

Το Zenith Controls χαρτογραφεί τον έλεγχο ISO/IEC 27002:2022 5.23 στο EU NIS2 Article 21 και στα DORA Articles 28 έως 31. Επισημαίνει επίσης υποστηρικτικά πρότυπα, όπως το ISO/IEC 27017 για ρόλους ασφάλειας υπολογιστικού νέφους και παρακολούθηση, το ISO/IEC 27018 για προστασία PII σε δημόσιο περιβάλλον υπολογιστικού νέφους, το ISO/IEC 27701 για διαχείριση ιδιωτικότητας σε σχέσεις με εκτελούντες την επεξεργασία σε περιβάλλον υπολογιστικού νέφους, το ISO/IEC 27036-4 για παρακολούθηση υπηρεσιών υπολογιστικού νέφους και συμφωνίες προμηθευτών, και το ISO/IEC 27005 για αξιολόγηση κινδύνου υπολογιστικού νέφους.

Η πρακτική συνέπεια είναι απλή. Μην δημιουργείτε ξεχωριστές δέσμες τεκμηρίων για ISO 27001:2022, NIS2, DORA και GDPR. Δημιουργήστε μία αρχιτεκτονική τεκμηρίων υπολογιστικού νέφους με χαρτογραφήσεις ανά πλαίσιο.

Οι συμβάσεις προμηθευτών είναι τεκμήρια ελέγχου, όχι νομικά αρχεία

Τα ελεγκτικά τεκμήρια υπολογιστικού νέφους συχνά καταρρέουν στο επίπεδο των συμβάσεων. Η ασφάλεια έχει ένα ερωτηματολόγιο προμηθευτή. Το Νομικό Τμήμα έχει την MSA. Οι Προμήθειες έχουν την ημερομηνία ανανέωσης. Ο Υπεύθυνος Προστασίας Δεδομένων έχει την DPA. Κανείς δεν έχει ενιαία εικόνα για το αν η συμφωνία περιλαμβάνει τις ρήτρες ασφάλειας που απαιτούνται από ISO 27001:2022, NIS2, DORA και GDPR.

Η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ της Clarysec αναφέρει στη ρήτρα 5.3:

«Οι συμβάσεις πρέπει να περιλαμβάνουν υποχρεωτικές ρήτρες που καλύπτουν: 5.3.1 Εμπιστευτικότητα και μη γνωστοποίηση 5.3.2 Υποχρεώσεις ασφάλειας πληροφοριών 5.3.3 Χρονοδιαγράμματα κοινοποίησης παραβιάσεων δεδομένων, π.χ. εντός 24–72 ωρών 5.3.4 Δικαιώματα ελέγχου ή διαθεσιμότητα τεκμηρίων συμμόρφωσης 5.3.5 Περιορισμούς περαιτέρω υπεργολαβικής ανάθεσης χωρίς έγκριση 5.3.6 Όρους λύσης, συμπεριλαμβανομένης της ασφαλούς επιστροφής ή καταστροφής δεδομένων»

Για συνέπεια ελέγχου, μετατρέψτε αυτές τις ρήτρες σε μήτρα ανασκόπησης συμβάσεων. Το ISO 27001:2022 Παράρτημα A.5.20 αναμένει οι απαιτήσεις ασφάλειας να συμφωνούνται με τους προμηθευτές. Το GDPR Article 28 απαιτεί όρους εκτελούντος την επεξεργασία που καλύπτουν εμπιστευτικότητα, μέτρα ασφάλειας, συνδρομή, υπεργολάβους επεξεργασίας, διαγραφή ή επιστροφή δεδομένων και υποστήριξη ελέγχου. Το DORA Article 30 απαιτεί λεπτομερείς συμβατικές διατάξεις για παρόχους ΤΠΕ τρίτων μερών, συμπεριλαμβανομένων περιγραφών υπηρεσιών, τοποθεσίας δεδομένων, ασφάλειας, συνδρομής σε περιστατικά, συνεργασίας με αρχές, δικαιωμάτων ελέγχου, δικαιωμάτων πρόσβασης, λύσης και μεταβατικών ρυθμίσεων. Η ασφάλεια εφοδιαστικής αλυσίδας του NIS2 χρειάζεται επίσης δεσμευτική συνεργασία προμηθευτών.

Το Zenith Controls χαρτογραφεί τον έλεγχο ISO/IEC 27002:2022 5.20 σε συμφωνίες προμηθευτών και σημειώνει συνδέσεις με το 5.19 σχέσεις προμηθευτών, 5.14 μεταφορά πληροφοριών, 5.22 παρακολούθηση προμηθευτών, 5.11 επιστροφή περιουσιακών στοιχείων και 5.36 συμμόρφωση.

Το βασικό σημείο είναι η εφαρμογή στην πράξη. Αν μια σύμβαση υπολογιστικού νέφους παρέχει πρόσβαση σε αναφορές SOC 2, οι ελεγκτές μπορεί να ρωτήσουν αν λάβατε την αναφορά, ανασκοπήσατε τις εξαιρέσεις, παρακολουθήσατε την αποκατάσταση και επαναξιολογήσατε τον κίνδυνο. Αν η σύμβαση υπόσχεται κοινοποίηση παραβίασης, μπορεί να ρωτήσουν αν το playbook περιστατικών περιλαμβάνει τη διαδρομή επικοινωνίας με τον προμηθευτή και τα σημεία απόφασης για ρυθμιστική αναφορά. Αν οι αλλαγές υπεργολάβων απαιτούν έγκριση ή ειδοποίηση, μπορεί να ρωτήσουν αν οι ειδοποιήσεις υπεργολάβων επεξεργασίας ανασκοπούνται πριν από την αποδοχή.

Μια σύμβαση χωρίς τεκμήρια ανασκόπησης είναι αρχείο. Μια σύμβαση συνδεδεμένη με κίνδυνο προμηθευτή, καταχωρίσεις παρακολούθησης και ροές εργασιών περιστατικών είναι έλεγχος.

Η καταγραφή και η διαμόρφωση SaaS είναι συχνά τυφλά σημεία ελέγχου

Τα ευρήματα υπολογιστικού νέφους συχνά προέρχονται από SaaS, όχι από IaaS. Οι ομάδες υποδομής έχουν συνήθως τεχνικούς ιδιοκτήτες, αγωγούς καταγραφής, βασικούς ελέγχους και αρχεία αλλαγών. Οι πλατφόρμες SaaS είναι κατακερματισμένες σε πωλήσεις, ανθρώπινο δυναμικό, οικονομικά, customer success, μάρκετινγκ και λειτουργίες. Καθεμία μπορεί να επεξεργάζεται ευαίσθητα ή ρυθμιζόμενα δεδομένα.

Η Πολιτική Καταγραφής και Παρακολούθησης για ΜΜΕ Πολιτική Καταγραφής και Παρακολούθησης για ΜΜΕ της Clarysec το αντιμετωπίζει άμεσα στη ρήτρα 5.5:

«5.5 Υπηρεσίες υπολογιστικού νέφους και καταγραφή τρίτων μερών 5.5.1 Για πλατφόρμες όπου η καταγραφή δεν βρίσκεται υπό άμεσο έλεγχο της πληροφορικής, π.χ. SaaS ηλεκτρονικού ταχυδρομείου, ισχύουν οι ακόλουθες απαιτήσεις: 5.5.1.1 Η καταγραφή πρέπει να ενεργοποιείται και να διαμορφώνεται όπου είναι διαθέσιμη 5.5.1.2 Οι ειδοποιήσεις πρέπει να δρομολογούνται στον εξωτερικό πάροχο υπηρεσιών πληροφορικής 5.5.1.3 Οι συμβάσεις πρέπει να απαιτούν από τους παρόχους να διατηρούν αρχεία καταγραφής για τουλάχιστον 12 μήνες και να παρέχουν πρόσβαση κατόπιν αιτήματος»

Για εταιρικά περιβάλλοντα, η Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους προσθέτει:

«Οι υπηρεσίες υπολογιστικού νέφους πρέπει να ενσωματώνονται στο SIEM του οργανισμού για συνεχή παρακολούθηση.»

Η απαίτηση αυτή μετακινεί το SaaS από «εργαλείο επιχειρησιακής χρήσης» σε «παρακολουθούμενο πληροφοριακό σύστημα». Τα τεκμήρια πρέπει να περιλαμβάνουν εξαγωγές ρυθμίσεων καταγραφής, απόδειξη σύνδεσης SIEM, κανόνες ειδοποίησης, αιτήματα αρχικής αξιολόγησης ειδοποιήσεων, ρυθμίσεις διατήρησης και ανασκοπήσεις διαχειριστικής πρόσβασης.

Για κρίσιμα SaaS, προετοιμάστε τεκμήρια για δημιουργία λογαριασμών διαχειριστή, ύποπτες συνδέσεις, μαζικές λήψεις, δημόσια κοινοποίηση, απενεργοποίηση MFA, δημιουργία διακριτικών API, δραστηριότητα εξωτερικών επισκεπτών και κλιμάκωση προνομίων. Για IaaS, προετοιμάστε CloudTrail ή ισοδύναμη καταγραφή επιπέδου ελέγχου, αρχεία καταγραφής πρόσβασης σε αποθηκευτικούς πόρους, αλλαγές IAM, αρχεία καταγραφής ροών όπου ενδείκνυται, ευρήματα CSPM, σαρώσεις ευπαθειών, τεκμήρια εφαρμογής διορθώσεων, ρυθμίσεις κρυπτογράφησης, κατάσταση αντιγράφων ασφαλείας, ανασκοπήσεις ομάδων ασφάλειας δικτύου και αιτήματα αλλαγών.

Η μεθοδολογία ελέγχου του Zenith Controls για τον έλεγχο 5.23 σημειώνει ότι ένας έλεγχος τύπου ISO/IEC 27007 μπορεί να επιθεωρήσει δικαιώματα AWS S3 bucket, κρυπτογράφηση, πολιτικές IAM και καταγραφή CloudTrail. Ένας ελεγκτής με προσανατολισμό COBIT μπορεί να ανασκοπήσει διαμορφώσεις ειδοποιήσεων, ελέγχους DLP, χρήση Microsoft 365 Secure Score και αρχεία καταγραφής διαχείρισης αλλαγών. Η οπτική NIST SP 800-53A μπορεί να δοκιμάσει τη διαχείριση λογαριασμών και την παρακολούθηση, συμπεριλαμβανομένου του αν οι φόρτοι εργασίας υπολογιστικού νέφους επιδιορθώνονται, σαρώνονται και παρακολουθούνται με την ίδια αυστηρότητα όπως τα εσωτερικά συστήματα.

Διαφορετικοί ελεγκτές μιλούν διαφορετικές διαλέκτους. Τα τεκμήριά σας πρέπει να είναι τα ίδια.

Δημιουργήστε μια δέσμη τεκμηρίων έτοιμη για ρυθμιστικό και εποπτικό έλεγχο για μία υπηρεσία SaaS και μία IaaS

Μια πρακτική ροή εργασίας ξεκινά με μία κρίσιμη πλατφόρμα SaaS και ένα κρίσιμο περιβάλλον IaaS. Για παράδειγμα, Microsoft 365 για συνεργασία και AWS για φιλοξενία παραγωγής.

Βήμα 1: Επικαιροποιήστε το Μητρώο Υπηρεσιών Υπολογιστικού Νέφους

Για το Microsoft 365, καταγράψτε σκοπό, ιδιοκτήτη, τύπους δεδομένων, περιοχή, λογαριασμούς διαχειριστή, σύμβαση, DPA, σημείο επικοινωνίας υποστήριξης, ημερομηνία ανανέωσης και κρισιμότητα. Για το AWS, καταγράψτε τον λογαριασμό παραγωγής, τις περιοχές, τις κατηγορίες δεδομένων, τους φόρτους εργασίας, τον ιδιοκτήτη λογαριασμού, την κατάσταση του root account, το πρόγραμμα υποστήριξης, τους συμβατικούς όρους και τις συνδεδεμένες επιχειρησιακές υπηρεσίες.

Χρησιμοποιήστε τα πεδία της Πολιτικής Χρήσης Υπηρεσιών Υπολογιστικού Νέφους για ΜΜΕ ως το ελάχιστο σύνολο δεδομένων. Προσθέστε κρισιμότητα, κανονιστική συνάφεια και τοποθεσία τεκμηρίων.

Βήμα 2: Τεκμηριώστε την κοινή ευθύνη

Για το Microsoft 365, οι ευθύνες πελάτη περιλαμβάνουν τον κύκλο ζωής χρήστη, το MFA, την υπό όρους πρόσβαση, την κοινοποίηση σε επισκέπτες, τις επισημάνσεις διατήρησης, το DLP όπου χρησιμοποιείται, την καταγραφή και την κλιμάκωση περιστατικών. Για το AWS, οι ευθύνες πελάτη περιλαμβάνουν IAM, κανόνες δικτύου, σκλήρυνση φόρτων εργασίας, διαμόρφωση κρυπτογράφησης, αντίγραφα ασφαλείας, καταγραφή, εφαρμογή διορθώσεων και ασφάλεια εφαρμογών.

Επισυνάψτε την τεκμηρίωση κοινής ευθύνης του παρόχου και στη συνέχεια χαρτογραφήστε κάθε ευθύνη πελάτη σε υπεύθυνο ελέγχου και πηγή τεκμηρίων.

Βήμα 3: Συλλέξτε τεκμήρια διαμόρφωσης

Για το Microsoft 365, εξαγάγετε ή αποτυπώστε σε στιγμιότυπα οθόνης τις πολιτικές MFA και υπό όρους πρόσβασης, τους ρόλους διαχειριστή, τις ρυθμίσεις εξωτερικής κοινοποίησης, την καταγραφή ελέγχου, τη διαμόρφωση διατήρησης και τις ενέργειες βαθμολογίας ασφάλειας. Για το AWS, εξαγάγετε την πολιτική κωδικών πρόσβασης IAM, την κατάσταση MFA προνομιακών λογαριασμών, τη διαμόρφωση CloudTrail, το S3 public access block, την κατάσταση κρυπτογράφησης, την ανασκόπηση ομάδων ασφάλειας, τις εργασίες αντιγράφων ασφαλείας και την κατάσταση σαρώσεων ευπαθειών.

Η Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους απαιτεί τα περιβάλλοντα υπολογιστικού νέφους να συμμορφώνονται με τεκμηριωμένη βασική γραμμή ρυθμίσεων που έχει εγκριθεί από τον Αρχιτέκτονα Ασφάλειας Υπολογιστικού Νέφους. Η δέσμη τεκμηρίων σας πρέπει να περιλαμβάνει τόσο τη βασική γραμμή όσο και απόδειξη ευθυγράμμισης.

Βήμα 4: Συνδέστε τεκμήρια προμηθευτών και ιδιωτικότητας

Επισυνάψτε τη σύμβαση, την DPA, τον κατάλογο υπεργολάβων επεξεργασίας, τους όρους κοινοποίησης παραβιάσεων, τις αναφορές διασφάλισης ελέγχου και τα τεκμήρια τοποθεσίας δεδομένων. Αν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα, καταγράψτε αν ο πάροχος ενεργεί ως εκτελών την επεξεργασία, πώς γίνεται η διαγραφή, πώς λειτουργεί η υποστήριξη Αιτημάτων Υποκειμένων Δεδομένων και ποιες δικλίδες ασφαλείας μεταφοράς εφαρμόζονται.

Για το DORA, προσδιορίστε αν η υπηρεσία υπολογιστικού νέφους υποστηρίζει κρίσιμη ή σημαντική λειτουργία. Αν ναι, συνδέστε τα τεκμήρια με το μητρώο τρίτων μερών ΤΠΕ, τον φάκελο δέουσας επιμέλειας, τα δικαιώματα ελέγχου, το σχέδιο εξόδου και την ανασκόπηση κινδύνου συγκέντρωσης.

Βήμα 5: Συνδέστε την καταγραφή με την απόκριση σε περιστατικά

Δείξτε ότι τα αρχεία καταγραφής είναι ενεργοποιημένα, δρομολογούνται, ανασκοπούνται και χρησιμοποιούνται. Επισυνάψτε πίνακες ελέγχου SIEM, κανόνες ειδοποίησης και τουλάχιστον ένα κλειστό αίτημα ειδοποίησης. Στη συνέχεια, χαρτογραφήστε τη ροή εργασιών στα σημεία απόφασης αναφοράς NIS2 και DORA.

Για το NIS2, η διαδικασία διαχείρισης περιστατικών πρέπει να υποστηρίζει έγκαιρη προειδοποίηση 24 ωρών, κοινοποίηση περιστατικού 72 ωρών και τελική αναφορά ενός μήνα για σημαντικά περιστατικά. Για το DORA, η διαδικασία περιστατικών ΤΠΕ πρέπει να ταξινομεί περιστατικά βάσει επηρεαζόμενων πελατών, συναλλαγών, διάρκειας, χρόνου διακοπής, γεωγραφικής έκτασης, αντικτύπου στα δεδομένα, κρισιμότητας υπηρεσίας και οικονομικού αντικτύπου.

Βήμα 6: Αποθηκεύστε τα τεκμήρια με πειθαρχία

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ της Clarysec, ρήτρα 6.2, ορίζει πρακτική πειθαρχία τεκμηρίων:

«6.2 Συλλογή και τεκμηρίωση τεκμηρίων 6.2.1 Όλα τα τεκμήρια πρέπει να αποθηκεύονται σε κεντρικοποιημένο φάκελο ελέγχου. 6.2.2 Τα ονόματα αρχείων πρέπει να αναφέρουν σαφώς το θέμα και την ημερομηνία του ελέγχου. 6.2.3 Τα μεταδεδομένα, π.χ. ποιος τα συνέλεξε, πότε και από ποιο σύστημα, πρέπει να τεκμηριώνονται. 6.2.4 Τα τεκμήρια πρέπει να διατηρούνται για τουλάχιστον δύο έτη ή περισσότερο όπου απαιτείται από πιστοποίηση ή συμφωνίες πελατών.»

Η εταιρική Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης δηλώνει τον στόχο:

«Να παράγονται τεκμήρια που αντέχουν σε έλεγχο και διαδρομή ελέγχου για την υποστήριξη κανονιστικών ερωτημάτων, δικαστικών διαδικασιών ή αιτημάτων διασφάλισης πελατών.»

Ένα στιγμιότυπο οθόνης με όνομα «screenshot1.png» είναι αδύναμο τεκμήριο. Ένα αρχείο με όνομα «AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png» είναι ισχυρότερο, επειδή περιγράφει το σύστημα, τον έλεγχο, την ημερομηνία και τον συλλέκτη. Τα μεταδεδομένα έχουν σημασία, επειδή οι ελεγκτές πρέπει να εμπιστεύονται πότε συλλέχθηκαν τα τεκμήρια, ποιος τα συνέλεξε και από ποιο σύστημα.

Πώς οι ελεγκτές δοκιμάζουν τον ίδιο έλεγχο υπολογιστικού νέφους

Οι ισχυρότερες δέσμες τεκμηρίων υπολογιστικού νέφους σχεδιάζονται για πολλαπλές οπτικές ελέγχου. Οι ελεγκτές ISO 27001:2022 εξετάζουν αν ο έλεγχος βρίσκεται στο ISMS, στην αξιολόγηση κινδύνου, στην αντιμετώπιση κινδύνου και στη SoA. Οι αξιολογητές με προσανατολισμό NIST εξετάζουν την τεχνική υλοποίηση. Οι ελεγκτές COBIT 2019 εξετάζουν τη διακυβέρνηση, την απόδοση προμηθευτών και την ενσωμάτωση διεργασιών. Οι ελεγκτές ιδιωτικότητας εστιάζουν στις υποχρεώσεις εκτελούντων την επεξεργασία, την τοποθεσία διαμονής δεδομένων, την ετοιμότητα για παραβίαση και τα δικαιώματα υποκειμένων δεδομένων. Οι εποπτικές ανασκοπήσεις DORA εστιάζουν στον κίνδυνο ΤΠΕ τρίτων μερών και στην ανθεκτικότητα.

Το Zenith Controls περιλαμβάνει αυτές τις διαφορές μεθοδολογίας ελέγχου για υπηρεσίες υπολογιστικού νέφους, συμφωνίες προμηθευτών και παρακολούθηση προμηθευτών. Για το 5.22, Παρακολούθηση, ανασκόπηση και διαχείριση αλλαγών των υπηρεσιών προμηθευτών, επισημαίνει ότι οι ελεγκτές μπορεί να επιθεωρήσουν τριμηνιαία πρακτικά ανασκοπήσεων προμηθευτών, αναφορές KPI, αξιολογήσεις αναφορών SOC, αρχεία μεταβολών, αξιολογήσεις κινδύνου, περιστατικά προμηθευτών και παρακολούθηση ζητημάτων. Για το 5.20, Αντιμετώπιση της ασφάλειας πληροφοριών στις συμφωνίες με προμηθευτές, επισημαίνει δειγματοληψία συμβάσεων για εμπιστευτικότητα, υποχρεώσεις ασφάλειας, κοινοποίηση παραβίασης, δικαιώματα ελέγχου, έγκριση υπεργολάβων και όρους λύσης.

Έλεγχοι διασταυρούμενης συμμόρφωσης που σηκώνουν το βάρος του ελέγχου υπολογιστικού νέφους

Ένα μοντέλο τεκμηρίων υπολογιστικού νέφους, έτοιμο για ρυθμιστικό και εποπτικό έλεγχο, δομείται γύρω από μικρό αριθμό ελέγχων υψηλής απόδοσης. Οι έλεγχοι αυτοί καλύπτουν μεγάλο μέρος του φορτίου συμμόρφωσης σε ISO 27001:2022, NIS2, DORA, GDPR, NIST και COBIT 2019.

Το NIST SP 800-53 Rev.5 προσθέτει τεχνικό βάθος μέσω διαχείρισης λογαριασμών, υπηρεσιών εξωτερικών συστημάτων, συνεχούς παρακολούθησης, παρακολούθησης συστημάτων και προστασίας ορίων. Το COBIT 2019 προσθέτει βάθος διακυβέρνησης μέσω διαχείρισης σχέσεων προμηθευτών, κινδύνου προμηθευτή, ανταλλαγής δεδομένων, ασφάλειας δικτύου και ετοιμότητας αλλαγών.

Τα υποστηρικτικά πρότυπα ISO ενισχύουν το μοντέλο τεκμηρίων. Το ISO/IEC 27017 παρέχει ειδική καθοδήγηση για το υπολογιστικό νέφος σχετικά με κοινόχρηστους ρόλους, διαμόρφωση εικονικών μηχανών και παρακολούθηση δραστηριότητας πελατών. Το ISO/IEC 27018 εστιάζει στην προστασία PII σε δημόσιο περιβάλλον υπολογιστικού νέφους. Το ISO/IEC 27701 επεκτείνει τις υποχρεώσεις ιδιωτικότητας στις λειτουργίες εκτελούντων την επεξεργασία και υπευθύνων επεξεργασίας. Το ISO/IEC 27036-4 υποστηρίζει συμφωνίες και παρακολούθηση προμηθευτών υπολογιστικού νέφους. Το ISO/IEC 27005 αφορά την αξιολόγηση κινδύνου υπολογιστικού νέφους.

Η Ανασκόπηση της Διοίκησης πρέπει να βλέπει τον κίνδυνο υπολογιστικού νέφους, όχι μόνο το uptime του υπολογιστικού νέφους

Ένα από τα συχνότερα παραβλεπόμενα τεχνουργήματα ελέγχου είναι η Ανασκόπηση της Διοίκησης. Το ISO 27001:2022 αναμένει η Ανασκόπηση της Διοίκησης να λαμβάνει υπόψη αλλαγές, ανάγκες ενδιαφερόμενων μερών, τάσεις απόδοσης, αποτελέσματα ελέγχων, κατάσταση αντιμετώπισης κινδύνων και ευκαιρίες βελτίωσης. Το NIS2 απαιτεί από τα διοικητικά όργανα να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας και να εποπτεύουν την υλοποίησή τους. Το DORA απαιτεί από το διοικητικό όργανο να ορίζει, να εγκρίνει, να εποπτεύει και να παραμένει υπεύθυνο για τη διαχείριση κινδύνων ΤΠΕ.

Ένας τριμηνιαίος πίνακας ελέγχου ασφάλειας υπολογιστικού νέφους και προμηθευτών πρέπει να δείχνει:

• Αριθμό εγκεκριμένων υπηρεσιών υπολογιστικού νέφους.
• Κρίσιμες υπηρεσίες υπολογιστικού νέφους και ιδιοκτήτες.
• Υπηρεσίες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.
• Υπηρεσίες που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες.
• Ανοικτές εσφαλμένες παραμετροποιήσεις υπολογιστικού νέφους υψηλού κινδύνου.
• Κατάσταση MFA και ανασκόπησης προνομιούχας πρόσβασης.
• Κάλυψη καταγραφής για κρίσιμες πλατφόρμες SaaS και IaaS.
• Αναφορές διασφάλισης προμηθευτών που λήφθηκαν και ανασκοπήθηκαν.
• Εξαιρέσεις συμβάσεων και αποδεκτούς κινδύνους.
• Περιστατικά υπολογιστικού νέφους, παρ’ ολίγον συμβάντα και διδάγματα που αντλήθηκαν.
• Αποτελέσματα δοκιμών αντιγράφων ασφαλείας και ανάκαμψης.
• Κατάσταση κινδύνου συγκέντρωσης και σχεδίου εξόδου.

Αυτός ο πίνακας ελέγχου γίνεται τεκμήριο για την ηγεσία και την αξιολόγηση απόδοσης του ISO 27001:2022, τη διακυβέρνηση NIS2 και τη λογοδοσία διοίκησης DORA.

Το Zenith Blueprint, στη φάση Διαχείρισης Κινδύνων, Βήμα 14, συνιστά τη διασταύρωση κανονιστικών απαιτήσεων κατά την υλοποίηση αντιμετώπισης κινδύνων και πολιτικών. Αναφέρει ότι η χαρτογράφηση βασικών κανονιστικών απαιτήσεων σε ελέγχους ISMS είναι χρήσιμη εσωτερική άσκηση και «εντυπωσιάζει επίσης τους ελεγκτές/αξιολογητές, επειδή δείχνει ότι δεν διαχειρίζεστε την ασφάλεια σε κενό, αλλά με επίγνωση του νομικού πλαισίου».

Αυτή είναι η ωριμότητα που αναμένουν οι ρυθμιστικές αρχές και οι εταιρικοί πελάτες.

Συνήθη ευρήματα ελέγχου υπολογιστικού νέφους και πώς να τα αποφύγετε

Στις εργασίες ετοιμότητας ελέγχου υπολογιστικού νέφους, τα επαναλαμβανόμενα ευρήματα είναι προβλέψιμα:

1. Το Μητρώο Υπηρεσιών Υπολογιστικού Νέφους υπάρχει, αλλά λείπουν εργαλεία SaaS.
2. Η τοποθεσία δεδομένων δεν καταγράφεται ή αντιγράφεται από σελίδες μάρκετινγκ αντί για συμβατικά τεκμήρια.
3. Το MFA επιβάλλεται για εργαζομένους αλλά όχι για όλους τους διαχειριστικούς λογαριασμούς ή τους λογαριασμούς «break glass».
4. Τα αρχεία καταγραφής υπολογιστικού νέφους είναι ενεργοποιημένα αλλά δεν ανασκοπούνται, δεν διατηρούνται ή δεν συνδέονται με την απόκριση σε περιστατικά.
5. Οι αναφορές SOC προμηθευτών αρχειοθετούνται αλλά δεν αξιολογούνται.
6. Υπάρχουν συμβατικές ρήτρες για νέους προμηθευτές, αλλά όχι για κρίσιμες υπηρεσίες παλαιού τύπου.
7. Οι ειδοποιήσεις υπεργολάβων επεξεργασίας λαμβάνονται με email αλλά δεν αξιολογούνται ως προς τον κίνδυνο.
8. Οι εργασίες αντιγράφων ασφαλείας εκτελούνται επιτυχώς, αλλά οι δοκιμές ανάκαμψης δεν τεκμηριώνονται.
9. Η κοινή ευθύνη γίνεται κατανοητή από τους μηχανικούς αλλά δεν τεκμηριώνεται για τους ελεγκτές.
10. Η SoA χαρακτηρίζει τους ελέγχους υπολογιστικού νέφους ως εφαρμοστέους, αλλά δεν τους συνδέει με καταχωρίσεις κινδύνου, τεκμήρια ή ιδιοκτήτες.

Αυτά είναι προβλήματα ιχνηλασιμότητας. Η λύση είναι η σύνδεση πολιτικής, κινδύνου, ελέγχου, ιδιοκτήτη, τεκμηρίων και ανασκόπησης.

Όταν η Maria έφτασε στην ημέρα του ελέγχου, δεν βασιζόταν πλέον σε διασκορπισμένα στιγμιότυπα οθόνης. Άνοιξε έναν κεντρικό πίνακα ελέγχου που έδειχνε το Μητρώο Υπηρεσιών Υπολογιστικού Νέφους, αξιολογήσεις κινδύνου, καταχωρίσεις SoA, τεκμήρια βασικής γραμμής ρυθμίσεων, φακέλους ανασκόπησης προμηθευτών, αποδεικτικά καταγραφής και ανασκόπηση κινδύνου συγκέντρωσης DORA. Όταν ο ελεγκτής ρώτησε πώς διοικούνται οι κίνδυνοι υπολογιστικού νέφους, έδειξε το ISMS. Όταν ο ελεγκτής ρώτησε πώς οι υπηρεσίες διαμορφώνονται με ασφάλεια, έδειξε τη βασική γραμμή και τα τεκμήρια CSPM. Όταν ο ελεγκτής ρώτησε για τον κίνδυνο ΤΠΕ τρίτων μερών, έδειξε την ανασκόπηση συμβάσεων, την παρακολούθηση προμηθευτών και τον σχεδιασμό εξόδου.

Το αποτέλεσμα δεν ήταν ένα τέλειο περιβάλλον. Κανένα περιβάλλον υπολογιστικού νέφους δεν είναι τέλειο. Η διαφορά ήταν ότι οι αποφάσεις κινδύνου ήταν τεκμηριωμένες, τα τεκμήρια ήταν υπερασπίσιμα και η λογοδοσία ήταν ορατή.

Δημιουργήστε τη δέσμη τεκμηρίων υπολογιστικού νέφους πριν τη ζητήσει ο ελεγκτής

Αν ο οργανισμός σας βασίζεται σε SaaS, IaaS ή PaaS, ο επόμενος έλεγχός σας δεν θα αποδεχθεί το «το χειρίζεται ο πάροχος» ως επαρκή απάντηση. Πρέπει να αποδείξετε κοινή ευθύνη, διαμόρφωση από την πλευρά του πελάτη, ρήτρες προμηθευτών, καταγραφή, ετοιμότητα περιστατικών, ανθεκτικότητα και εποπτεία διοίκησης.

Ξεκινήστε με τρεις πρακτικές ενέργειες αυτή την εβδομάδα:

1. Δημιουργήστε ή ανανεώστε το Μητρώο Υπηρεσιών Υπολογιστικού Νέφους χρησιμοποιώντας την Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους ή την Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους για ΜΜΕ Πολιτική Χρήσης Υπηρεσιών Υπολογιστικού Νέφους για ΜΜΕ της Clarysec.
2. Χαρτογραφήστε τις πέντε κορυφαίες υπηρεσίες υπολογιστικού νέφους σας στους ελέγχους ISO 27001:2022 Παραρτήματος A, στο NIS2 Article 21, στις υποχρεώσεις τρίτων μερών ΤΠΕ του DORA όπου εφαρμόζονται και στις απαιτήσεις εκτελούντος την επεξεργασία του GDPR.
3. Δημιουργήστε έναν κεντρικοποιημένο φάκελο τεκμηρίων χρησιμοποιώντας την πειθαρχία διατήρησης και μεταδεδομένων από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης ή την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ.

Στη συνέχεια, χρησιμοποιήστε το Zenith Blueprint Zenith Blueprint για να τοποθετήσετε την εργασία στον οδικό χάρτη ελέγχου ISMS 30 βημάτων και το Zenith Controls Zenith Controls για να επικυρώσετε χαρτογραφήσεις διασταυρούμενης συμμόρφωσης, υποστηρικτικά πρότυπα ISO και προσδοκίες μεθοδολογίας ελέγχου.

Η Clarysec μπορεί να σας βοηθήσει να μετατρέψετε διασκορπισμένα στιγμιότυπα οθόνης υπολογιστικού νέφους, φακέλους προμηθευτών και ρυθμίσεις SaaS σε δέσμη τεκμηρίων έτοιμη για ρυθμιστικό και εποπτικό έλεγχο, η οποία αντέχει σε ελέγχους πιστοποίησης ISO 27001:2022, εποπτικά ερωτήματα NIS2, ανασκοπήσεις τρίτων μερών ΤΠΕ DORA και απαιτήσεις διασφάλισης εταιρικών πελατών.