Στρατηγικές εξόδου DORA για ΤΠΕ με ελέγχους ISO 27001

Στις 07:42 ένα πρωινό Δευτέρας, ο επικεφαλής λειτουργιών μιας fintech λαμβάνει το μήνυμα που κανείς δεν θέλει να διαβάσει: ο πάροχος παρακολούθησης συναλλαγών της εταιρείας σε περιβάλλον νέφους έχει υποστεί σοβαρή περιφερειακή διακοπή. Στις 08:15, ο Επικεφαλής Διαχείρισης Κινδύνων ρωτά αν η επηρεαζόμενη υπηρεσία υποστηρίζει κρίσιμη ή σημαντική λειτουργία. Στις 08:40, το Νομικό Τμήμα ζητά να μάθει αν η σύμβαση προβλέπει υποστήριξη μετάβασης, εξαγωγή δεδομένων, διαγραφή και δικαιώματα ελέγχου. Στις 09:05, ο Επικεφαλής Ασφάλειας Πληροφοριών αναζητά τεκμήρια ότι το σχέδιο εξόδου έχει δοκιμαστεί και δεν έχει απλώς συνταχθεί.

Σε μια άλλη εταιρεία χρηματοπιστωτικών υπηρεσιών, η Sarah, Επικεφαλής Ασφάλειας Πληροφοριών (CISO) μιας ταχέως αναπτυσσόμενης fintech πλατφόρμας, ανοίγει ένα αίτημα πληροφοριών πριν από έλεγχο για την αξιολόγηση συμμόρφωσης με το DORA. Οι ερωτήσεις είναι γνώριμες μέχρι να φτάσει στην ενότητα για τους τρίτους παρόχους υπηρεσιών ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες. Οι ελεγκτές δεν ρωτούν αν η εταιρεία διαθέτει πολιτική προμηθευτών. Ζητούν τεκμηριωμένες, δοκιμασμένες και βιώσιμες στρατηγικές εξόδου.

Η σκέψη της πηγαίνει στον βασικό πάροχο νέφους που φιλοξενεί την πλατφόρμα και στη συνέχεια στον πάροχο διαχειριζόμενων υπηρεσιών ασφάλειας που παρακολουθεί απειλές σε συνεχή βάση. Τι θα συμβεί αν ο πάροχος νέφους υποστεί γεωπολιτική διαταραχή; Τι θα συμβεί αν ο MSSP εξαγοραστεί από ανταγωνιστή; Τι θα συμβεί αν ένας κρίσιμος πάροχος SaaS καταστεί αφερέγγυος, διακόψει την υπηρεσία ή χάσει την εμπιστοσύνη των πελατών μετά από μείζον περιστατικό;

Η άβολη απάντηση σε πολλές εταιρείες είναι η ίδια. Υπάρχει αξιολόγηση κινδύνου προμηθευτή, σχέδιο επιχειρησιακής συνέχειας, φάκελος σύμβασης, αποθετήριο υπηρεσιών νέφους και ίσως μια αναφορά αντιγράφων ασφαλείας. Δεν υπάρχει όμως μία ενιαία, έτοιμη για έλεγχο στρατηγική εξόδου DORA για τρίτους παρόχους ΤΠΕ, η οποία να συνδέει την επιχειρησιακή κρισιμότητα, τα συμβατικά δικαιώματα, την τεχνική φορητότητα, τα σχέδια συνέχειας, τα τεκμήρια αντιγράφων ασφαλείας, τις υποχρεώσεις ιδιωτικότητας και την έγκριση της διοίκησης.

Το DORA αλλάζει τον τρόπο με τον οποίο αντιμετωπίζεται η διαχείριση προμηθευτών. Σύμφωνα με τον Κανονισμό (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες πρέπει να διαχειρίζονται τον κίνδυνο τρίτων παρόχων ΤΠΕ ως μέρος του πλαισίου διαχείρισης κινδύνων ΤΠΕ. Παραμένουν πλήρως υπεύθυνες για τη συμμόρφωση, τηρούν μητρώο συμβάσεων υπηρεσιών ΤΠΕ, διακρίνουν τις ρυθμίσεις ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, αξιολογούν τους κινδύνους συγκέντρωσης και υπεργολαβικής ανάθεσης και διατηρούν στρατηγικές εξόδου για κρίσιμες εξαρτήσεις από τρίτους παρόχους ΤΠΕ. Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και θεσπίζει ενιαίες απαιτήσεις της ΕΕ για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών, τις δοκιμές ανθεκτικότητας, την ανταλλαγή πληροφοριών και τη διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ σε ευρύ φάσμα χρηματοοικονομικών οντοτήτων.

Μια στρατηγική εξόδου DORA δεν είναι μια παράγραφος σε σύμβαση προμηθευτή. Είναι σύστημα ελέγχων. Πρέπει να διέπεται από κατάλληλη διακυβέρνηση, να έχει αξιολογηθεί βάσει κινδύνου, να είναι τεχνικά εφικτή, συμβατικά εφαρμόσιμη, δοκιμασμένη, τεκμηριωμένη και να βελτιώνεται συνεχώς.

Η προσέγγιση της Clarysec συνδυάζει το Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint, πρότυπα εταιρικών πολιτικών και το Zenith Controls: Οδηγός διαπλαισιακής συμμόρφωσης Zenith Controls, ώστε το ερώτημα εκείνου του πρωινού Δευτέρας να μετατραπεί σε προετοιμασμένη απάντηση.

Γιατί οι στρατηγικές εξόδου DORA αποτυγχάνουν σε πραγματικούς ελέγχους

Οι περισσότερες αποτυχίες στρατηγικών εξόδου DORA για ΤΠΕ είναι δομικές πριν γίνουν τεχνικές. Ο οργανισμός έχει υπεύθυνο προμηθευτή, αλλά όχι υπόλογο ιδιοκτήτη κινδύνου. Έχει εργασίες αντιγράφων ασφαλείας, αλλά όχι τεκμήρια αποκατάστασης. Έχει ερωτηματολόγιο δέουσας επιμέλειας προμηθευτή, αλλά όχι τεκμηριωμένη απόφαση για το αν ο πάροχος υποστηρίζει κρίσιμη ή σημαντική λειτουργία. Έχει διατύπωση για λύση της σύμβασης, αλλά όχι περίοδο μετάβασης ευθυγραμμισμένη με το σχέδιο επιχειρησιακής συνέχειας.

Το DORA απαιτεί τα στοιχεία αυτά να λειτουργούν ως ενιαίο σύνολο. Το Article 28 καθορίζει τις γενικές αρχές για τη διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ, συμπεριλαμβανομένης της ανάγκης διαχείρισης του κινδύνου των τρίτων παρόχων υπηρεσιών ΤΠΕ σε όλο τον κύκλο ζωής και διατήρησης κατάλληλων στρατηγικών εξόδου. Το Article 30 καθορίζει λεπτομερείς συμβατικές απαιτήσεις για υπηρεσίες ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, συμπεριλαμβανομένων περιγραφών υπηρεσιών, τοποθεσιών επεξεργασίας δεδομένων, μέτρων προστασίας ασφάλειας, δικαιωμάτων πρόσβασης και ελέγχου, υποστήριξης σε περιστατικά, συνεργασίας με τις αρμόδιες αρχές και δικαιωμάτων καταγγελίας.

Ο κανονισμός είναι επίσης αναλογικός. Τα Articles 4 and 16 επιτρέπουν σε ορισμένες μικρότερες ή εξαιρούμενες οντότητες να εφαρμόζουν απλουστευμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Όμως απλουστευμένο δεν σημαίνει μη τεκμηριωμένο. Οι μικρότερες χρηματοοικονομικές οντότητες εξακολουθούν να χρειάζονται τεκμηριωμένη διαχείριση κινδύνων ΤΠΕ, συνεχή παρακολούθηση, ανθεκτικά συστήματα, άμεση αναγνώριση περιστατικών ΤΠΕ, αναγνώριση βασικών εξαρτήσεων από τρίτους παρόχους ΤΠΕ, αντίγραφα ασφαλείας και αποκατάσταση, επιχειρησιακή συνέχεια, απόκριση και ανάκαμψη, δοκιμές, διδάγματα που αντλήθηκαν και εκπαίδευση.

Μια μικρή fintech δεν μπορεί να πει: «Είμαστε πολύ μικροί για σχεδιασμό εξόδου». Μπορεί να πει: «Η στρατηγική εξόδου DORA που διαθέτουμε είναι ανάλογη με το μέγεθος, το προφίλ κινδύνου και την πολυπλοκότητα των υπηρεσιών μας». Η διαφορά βρίσκεται στα τεκμήρια.

Για οντότητες που εμπίπτουν επίσης στο εθνικό πεδίο εφαρμογής του NIS2, το DORA λειτουργεί ως ειδική ανά τομέα νομική πράξη της Ένωσης για τις επικαλυπτόμενες υποχρεώσεις κυβερνοασφάλειας στον χρηματοπιστωτικό τομέα. Το NIS2 εξακολουθεί να έχει σημασία στο ευρύτερο οικοσύστημα, ιδίως για παρόχους διαχειριζόμενων υπηρεσιών, παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, παρόχους νέφους, κέντρα δεδομένων και οντότητες ψηφιακής υποδομής. Το NIS2 Article 21 ενισχύει τα ίδια θέματα: ανάλυση κινδύνου, χειρισμός περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλής απόκτηση, αξιολόγηση αποτελεσματικότητας, εκπαίδευση, κρυπτογραφία, έλεγχος πρόσβασης, διαχείριση περιουσιακών στοιχείων και αυθεντικοποίηση.

Οι εποπτικές αρχές, οι πελάτες, οι ελεγκτές και τα διοικητικά συμβούλια μπορεί να διατυπώνουν την ερώτηση διαφορετικά, αλλά το βασικό ζήτημα παραμένει σταθερό: μπορείτε να αποχωρήσετε από κρίσιμο πάροχο ΤΠΕ χωρίς να χάσετε τον έλεγχο της συνέχειας υπηρεσιών, των δεδομένων, των τεκμηρίων ή του αντικτύπου στους πελάτες;

Εντάξτε τη στρατηγική εξόδου στο ISMS

Το ISO/IEC 27001:2022 παρέχει τη βάση του συστήματος διαχείρισης για τον σχεδιασμό εξόδου DORA.

Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να καθορίσει το πλαίσιό του, τα ενδιαφερόμενα μέρη, τις νομικές, κανονιστικές και συμβατικές απαιτήσεις, το πεδίο εφαρμογής του ISMS, τις διεπαφές, τις εξαρτήσεις και τις διεργασίες. Σε αυτό το σημείο μια χρηματοοικονομική οντότητα αναγνωρίζει το DORA, τις δεσμεύσεις προς πελάτες, τις προσδοκίες εξωτερικής ανάθεσης, τις εξαρτήσεις από υπηρεσίες νέφους, τις υποχρεώσεις ιδιωτικότητας, τους υπεργολάβους και τις υπηρεσίες ΤΠΕ εντός των ορίων του ISMS.

Οι ρήτρες 5.1 έως 5.3 απαιτούν ηγεσία, πολιτική, πόρους, ανάθεση ρόλων και λογοδοσία. Αυτό ευθυγραμμίζεται με το μοντέλο διακυβέρνησης του DORA, όπου το διοικητικό όργανο ορίζει, εγκρίνει, εποπτεύει και παραμένει υπεύθυνο για τη διαχείριση κινδύνων ΤΠΕ, συμπεριλαμβανομένης της επιχειρησιακής συνέχειας ΤΠΕ, των σχεδίων απόκρισης και ανάκαμψης, των σχεδίων ελέγχων ΤΠΕ, των προϋπολογισμών, της στρατηγικής ανθεκτικότητας και της πολιτικής κινδύνων τρίτων παρόχων ΤΠΕ.

Οι ρήτρες 6.1.1 έως 6.1.3 μετατρέπουν τον σχεδιασμό εξόδου σε αντιμετώπιση κινδύνου. Ο οργανισμός ορίζει κριτήρια κινδύνου, εκτελεί επαναλήψιμες αξιολογήσεις κινδύνου, αναγνωρίζει κινδύνους για την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, αναθέτει ιδιοκτήτες κινδύνων, αξιολογεί συνέπειες και πιθανότητα, επιλέγει επιλογές αντιμετώπισης, συγκρίνει ελέγχους με το Παράρτημα A, καταρτίζει Δήλωση Εφαρμοσιμότητας, προετοιμάζει σχέδιο αντιμετώπισης κινδύνων και λαμβάνει έγκριση από τον ιδιοκτήτη κινδύνου καθώς και αποδοχή υπολειπόμενου κινδύνου.

Η ρήτρα 8.1 απαιτεί στη συνέχεια επιχειρησιακό σχεδιασμό και έλεγχο. Ο οργανισμός πρέπει να σχεδιάζει, να εφαρμόζει και να ελέγχει τις διεργασίες του ISMS, να διατηρεί τεκμηριωμένες πληροφορίες που αποδεικνύουν ότι οι διεργασίες εκτελέστηκαν όπως είχε προγραμματιστεί, να διαχειρίζεται αλλαγές και να ελέγχει εξωτερικά παρεχόμενες διεργασίες, προϊόντα ή υπηρεσίες που σχετίζονται με το ISMS.

Το ISO/IEC 27005:2022 ενισχύει αυτή την προσέγγιση. Η ρήτρα 6.2 συνιστά στους οργανισμούς να αναγνωρίζουν τις απαιτήσεις των ενδιαφερόμενων μερών, συμπεριλαμβανομένων των ελέγχων του Παραρτήματος A του ISO/IEC 27001:2022, των τομεακών προτύπων, των εθνικών και διεθνών κανονισμών, των εσωτερικών κανόνων, των συμβατικών απαιτήσεων και των υφιστάμενων ελέγχων από προηγούμενη αντιμετώπιση κινδύνων. Οι ρήτρες 6.4.1 έως 6.4.3 εξηγούν ότι τα κριτήρια κινδύνου πρέπει να λαμβάνουν υπόψη νομικές και κανονιστικές πτυχές, σχέσεις με προμηθευτές, ιδιωτικότητα, επιχειρησιακούς αντικτύπους, παραβιάσεις σύμβασης, λειτουργίες τρίτων μερών και συνέπειες για τη φήμη. Οι ρήτρες 8.2 έως 8.6 υποστηρίζουν βιβλιοθήκη ελέγχων και σχέδιο αντιμετώπισης που μπορούν να συνδυάζουν το Παράρτημα A του ISO/IEC 27001:2022 με το DORA, το NIS2, το GDPR, τις δεσμεύσεις προς πελάτες και τις εσωτερικές πολιτικές.

Το λειτουργικό μοντέλο είναι απλό: ένα αποθετήριο απαιτήσεων, ένα μητρώο κινδύνων προμηθευτών, μία Δήλωση Εφαρμοσιμότητας, ένα σχέδιο αντιμετώπισης κινδύνων και ένα πακέτο τεκμηρίων για κάθε κρίσιμο σενάριο εξόδου.

Οι έλεγχοι ISO/IEC 27001:2022 που θεμελιώνουν τον σχεδιασμό εξόδου DORA

Οι στρατηγικές εξόδου DORA γίνονται έτοιμες για έλεγχο όταν η διακυβέρνηση προμηθευτών, η φορητότητα στο νέφος, ο σχεδιασμός συνέχειας και τα τεκμήρια αντιγράφων ασφαλείας αντιμετωπίζονται ως μία συνδεδεμένη αλυσίδα ελέγχων.

Το Zenith Controls της Clarysec αντιστοιχίζει τους ελέγχους του Παραρτήματος A του ISO/IEC 27001:2022 με χαρακτηριστικά ελέγχων, ελεγκτικά τεκμήρια και προσδοκίες διαπλαισιακής συμμόρφωσης. Δεν αποτελεί ξεχωριστό πλαίσιο ελέγχων. Είναι ο οδηγός διαπλαισιακής συμμόρφωσης της Clarysec για την κατανόηση του τρόπου με τον οποίο οι έλεγχοι ISO/IEC 27001:2022 υποστηρίζουν ελεγκτικά, κανονιστικά και επιχειρησιακά αποτελέσματα.

Για μια στρατηγική εξόδου DORA για τρίτους παρόχους ΤΠΕ, η διαδρομή ελέγχου πρέπει να δείχνει ότι:

• Ο προμηθευτής έχει ταξινομηθεί και συνδεθεί με επιχειρησιακές διαδικασίες.
• Η υπηρεσία έχει αξιολογηθεί ως προς το αν υποστηρίζει κρίσιμη ή σημαντική λειτουργία.
• Ο κίνδυνος εξόδου έχει καταγραφεί με υπόλογο ιδιοκτήτη κινδύνου.
• Οι συμβατικές ρήτρες υποστηρίζουν μετάβαση, πρόσβαση, έλεγχο, επιστροφή δεδομένων, διαγραφή δεδομένων, συνεργασία και συνέχεια.
• Η φορητότητα και η διαλειτουργικότητα στο νέφος έχουν επικυρωθεί.
• Τα αντίγραφα ασφαλείας και οι δοκιμές αποκατάστασης αποδεικνύουν τη δυνατότητα ανάκτησης.
• Η προσωρινή υποκατάσταση ή η εναλλακτική επεξεργασία έχει τεκμηριωθεί.
• Τα αποτελέσματα δοκιμών εξόδου έχουν ανασκοπηθεί, έχουν οδηγήσει σε διορθωτικές ενέργειες και έχουν αναφερθεί στη διοίκηση.

Η συμβατική διατύπωση είναι ο πρώτος έλεγχος συνέχειας

Μια σύμβαση πρέπει να είναι ο πρώτος έλεγχος συνέχειας, όχι εμπόδιο στη συνέχεια. Αν ο πάροχος μπορεί να καταγγείλει γρήγορα τη σύμβαση, να καθυστερήσει εξαγωγές, να περιορίσει την πρόσβαση σε αρχεία καταγραφής, να επιβάλει ακαθόριστες χρεώσεις μετάβασης ή να αρνηθεί υποστήριξη μετεγκατάστασης, η στρατηγική εξόδου είναι εύθραυστη.

Στο Zenith Blueprint, στη φάση «Έλεγχοι στην πράξη», Βήμα 23, Έλεγχος 5.20, εξηγείται ότι οι συμφωνίες με προμηθευτές πρέπει να περιλαμβάνουν τις πρακτικές απαιτήσεις ασφάλειας που καθιστούν δυνατή την έξοδο:

Οι βασικοί τομείς που συνήθως καλύπτονται στις συμφωνίες με προμηθευτές περιλαμβάνουν:

✓ Υποχρεώσεις εμπιστευτικότητας, συμπεριλαμβανομένου του πεδίου εφαρμογής, της διάρκειας και των περιορισμών γνωστοποίησης σε τρίτα μέρη·

✓ Αρμοδιότητες ελέγχου πρόσβασης, όπως ποιος μπορεί να έχει πρόσβαση στα δεδομένα σας, πώς γίνεται η διαχείριση διαπιστευτηρίων και ποια παρακολούθηση εφαρμόζεται·

✓ Τεχνικά και οργανωτικά μέτρα για την προστασία δεδομένων, την κρυπτογράφηση, την ασφαλή μετάδοση, τα αντίγραφα ασφαλείας και τις δεσμεύσεις διαθεσιμότητας·

✓ Χρονοδιαγράμματα και πρωτόκολλα αναφοράς περιστατικών, συχνά με καθορισμένα χρονικά πλαίσια·

✓ Δικαίωμα ελέγχου, συμπεριλαμβανομένων της συχνότητας, του πεδίου εφαρμογής και της πρόσβασης σε συναφή τεκμήρια·

✓ Έλεγχοι υπεργολάβων, που απαιτούν από τον προμηθευτή σας να μεταβιβάζει ισοδύναμες υποχρεώσεις ασφάλειας στους κατάντη συνεργάτες του·

✓ Διατάξεις λήξης σύμβασης, όπως επιστροφή ή καταστροφή δεδομένων, ανάκτηση περιουσιακών στοιχείων και απενεργοποίηση λογαριασμών.

Η λίστα αυτή γεφυρώνει τις συμβατικές προσδοκίες του DORA Article 30 και τον έλεγχο A.5.20 του Παραρτήματος A του ISO/IEC 27001:2022.

Η γλώσσα των εταιρικών πολιτικών της Clarysec αποτυπώνει το ίδιο σημείο σε επιχειρησιακό επίπεδο. Στην Πολιτική Διαχείρισης Κινδύνου Εξάρτησης από Προμηθευτές Πολιτική Διαχείρισης Κινδύνου Εξάρτησης από Προμηθευτές, στην ενότητα «Απαιτήσεις εφαρμογής», η ρήτρα 6.4.3 ορίζει:

Τεχνικές εφεδρικές λύσεις: Διασφαλίστε τη φορητότητα και τη διαλειτουργικότητα των δεδομένων για την υποστήριξη μετάβασης υπηρεσίας, εφόσον απαιτηθεί (π.χ. τακτικά αντίγραφα ασφαλείας σε τυποποιημένους μορφότυπους από πάροχο SaaS για τη διευκόλυνση μετεγκατάστασης).

Η ίδια πολιτική, στη ρήτρα 6.8.2, απαιτεί:

Δικαίωμα υποστήριξης μετάβασης (ρήτρα υποστήριξης εξόδου) όταν απαιτείται αλλαγή παρόχου, συμπεριλαμβανομένης της συνέχισης της υπηρεσίας κατά τη διάρκεια καθορισμένης περιόδου μετάβασης.

Αυτή η ρήτρα συχνά καθορίζει αν μια στρατηγική εξόδου αντέχει στον έλεγχο. Μετατρέπει την έξοδο από γεγονός απότομης διακοπής σε διαχειριζόμενη μετάβαση.

Για μικρότερες οντότητες, η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - ΜΜΕ Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - ΜΜΕ, στην ενότητα «Απαιτήσεις διακυβέρνησης», η ρήτρα 5.3.6 απαιτεί:

Όρους τερματισμού, συμπεριλαμβανομένης της ασφαλούς επιστροφής ή καταστροφής δεδομένων

Για εταιρικά περιβάλλοντα, η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών, στην ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», η ρήτρα 6.5.1.2 απαιτεί:

Επιστροφή ή πιστοποιημένη καταστροφή όλων των πληροφοριών που ανήκουν στον οργανισμό

Οι απαιτήσεις αυτές των πολιτικών πρέπει να ιχνηλατούνται απευθείας σε συμβατικές ρήτρες, διαδικασίες προμηθευτή, εγχειρίδια ενεργειών εξόδου και ελεγκτικά τεκμήρια.

Έξοδος από το νέφος: δοκιμάστε τη φορητότητα πριν τη χρειαστείτε

Οι υπηρεσίες νέφους είναι το σημείο όπου οι στρατηγικές εξόδου DORA συχνά γίνονται ασαφείς. Η εταιρεία θεωρεί ότι μπορεί να εξαγάγει δεδομένα, αλλά κανείς δεν έχει δοκιμάσει τον μορφότυπο. Θεωρεί ότι η διαγραφή θα πραγματοποιηθεί, αλλά το μοντέλο διατήρησης του παρόχου περιλαμβάνει αντίγραφα ασφαλείας και αναπαραγόμενη αποθήκευση. Θεωρεί ότι ένας εναλλακτικός πάροχος μπορεί να λάβει τα δεδομένα, αλλά τα σχήματα, οι ενσωματώσεις ταυτότητας, τα κλειδιά κρυπτογράφησης, τα μυστικά, τα αρχεία καταγραφής, οι διεπαφές προγραμματισμού εφαρμογών και τα όρια ρυθμού καθιστούν τη μετεγκατάσταση πιο αργή από ό,τι επιτρέπει η ανοχή αντικτύπου.

Ο έλεγχος A.5.23 του Παραρτήματος A του ISO/IEC 27001:2022 αντιμετωπίζει αυτό το πρόβλημα κύκλου ζωής απαιτώντας ελέγχους ασφάλειας πληροφοριών για την απόκτηση, τη χρήση, τη διαχείριση και την έξοδο από υπηρεσίες νέφους.

Η Πολιτική Χρήσης Υπηρεσιών Νέφους - ΜΜΕ Πολιτική Χρήσης Υπηρεσιών Νέφους - ΜΜΕ, στην ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», η ρήτρα 6.3.4 απαιτεί:

Επιβεβαίωση της δυνατότητας εξαγωγής δεδομένων πριν από την ένταξη (π.χ. για την αποφυγή εγκλωβισμού σε προμηθευτή)

Η ρήτρα 6.3.5 απαιτεί:

Επιβεβαίωση διαδικασιών ασφαλούς διαγραφής πριν από το κλείσιμο λογαριασμού

Οι απαιτήσεις αυτές ανήκουν στην αρχή του κύκλου ζωής προμηθευτή. Μην περιμένετε μέχρι τη λύση της σύμβασης για να ρωτήσετε αν τα δεδομένα μπορούν να εξαχθούν. Μην περιμένετε μέχρι το κλείσιμο του λογαριασμού για να ρωτήσετε αν υπάρχουν τεκμήρια διαγραφής.

Μια πρακτική δοκιμή εξόδου DORA από υπηρεσία νέφους πρέπει να περιλαμβάνει:

1. Εξαγωγή αντιπροσωπευτικού συνόλου δεδομένων στον συμφωνημένο μορφότυπο.
2. Επικύρωση πληρότητας, ακεραιότητας, χρονοσημάνσεων, μεταδεδομένων και ελέγχων πρόσβασης.
3. Εισαγωγή του συνόλου δεδομένων σε περιβάλλον σταδιοποίησης ή εναλλακτικό εργαλείο.
4. Επιβεβαίωση χειρισμού κλειδιών κρυπτογράφησης και περιοδικής αλλαγής μυστικών.
5. Επιβεβαίωση εξαγωγής αρχείων καταγραφής και διατήρησης της διαδρομής ελέγχου.
6. Τεκμηρίωση των διαδικασιών διαγραφής του παρόχου, συμπεριλαμβανομένης της διατήρησης αντιγράφων ασφαλείας και της πιστοποίησης διαγραφής.
7. Καταγραφή ζητημάτων, διορθωτικών ενεργειών, ιδιοκτητών και προθεσμιών.
8. Επικαιροποίηση της αξιολόγησης κινδύνου προμηθευτή, της Δήλωσης Εφαρμοσιμότητας και του σχεδίου εξόδου.

Η φορητότητα δεν είναι υπόσχεση προμηθευτή. Είναι δοκιμασμένη ικανότητα.

Κύκλος υλοποίησης μίας εβδομάδας για σχέδιο εξόδου DORA έτοιμο για έλεγχο

Εξετάστε έναν οργανισμό πληρωμών που χρησιμοποιεί πάροχο SaaS για ανάλυση απάτης. Ο πάροχος λαμβάνει δεδομένα συναλλαγών, αναγνωριστικά πελατών, τηλεμετρία συσκευών, συμπεριφορικά σήματα, κανόνες απάτης, αποτελέσματα βαθμολόγησης και σημειώσεις υποθέσεων. Η υπηρεσία υποστηρίζει κρίσιμη διαδικασία εντοπισμού απάτης. Η εταιρεία χρησιμοποιεί επίσης αποθήκη δεδομένων σε περιβάλλον νέφους για την αποθήκευση των εξαγόμενων αναλυτικών αποτελεσμάτων.

Ο CISO χρειάζεται στρατηγική εξόδου DORA για τρίτους παρόχους ΤΠΕ που μπορεί να αντέξει σε Εσωτερικό Έλεγχο και εποπτική ανασκόπηση. Ένας κύκλος υλοποίησης μίας εβδομάδας μπορεί να αναδείξει τα κενά και να δημιουργήσει την αλυσίδα τεκμηρίων.

Ημέρα 1: ταξινομήστε τον προμηθευτή και ορίστε το σενάριο εξόδου

Χρησιμοποιώντας το Zenith Blueprint, στη φάση «Έλεγχοι στην πράξη», Βήμα 23, ενέργειες για τους ελέγχους 5.19 έως 5.37, η ομάδα ξεκινά ανασκοπώντας και ταξινομώντας το χαρτοφυλάκιο προμηθευτών:

Συντάξτε πλήρη κατάλογο των τρεχόντων προμηθευτών και παρόχων υπηρεσιών (5.19) και ταξινομήστε τους βάσει της πρόσβασής τους σε συστήματα, δεδομένα ή επιχειρησιακό έλεγχο. Για κάθε ταξινομημένο προμηθευτή, επαληθεύστε ότι οι προσδοκίες ασφάλειας έχουν ενσωματωθεί σαφώς στις συμβάσεις (5.20), συμπεριλαμβανομένης της εμπιστευτικότητας, της πρόσβασης, της αναφοράς περιστατικών και των υποχρεώσεων συμμόρφωσης.

Ο προμηθευτής ταξινομείται ως κρίσιμος επειδή υποστηρίζει κρίσιμη ή σημαντική λειτουργία, επεξεργάζεται ευαίσθητα επιχειρησιακά δεδομένα και επηρεάζει τα αποτελέσματα παρακολούθησης συναλλαγών.

Η ομάδα ορίζει τρία εναύσματα εξόδου:

• Αφερεγγυότητα παρόχου ή διακοπή υπηρεσίας.
• Ουσιαστική παραβίαση ασφάλειας ή απώλεια εμπιστοσύνης.
• Στρατηγική μετεγκατάσταση για τη μείωση του κινδύνου συγκέντρωσης.

Ημέρα 2: δημιουργήστε το αποθετήριο απαιτήσεων και την καταχώριση κινδύνου

Η ομάδα δημιουργεί ένα ενιαίο αποθετήριο απαιτήσεων που καλύπτει τον κίνδυνο τρίτων παρόχων ΤΠΕ στο DORA, τους ελέγχους προμηθευτών και υπηρεσιών νέφους του ISO/IEC 27001:2022, τις υποχρεώσεις GDPR για δεδομένα προσωπικού χαρακτήρα, τις δεσμεύσεις συμβάσεων πελατών και τη διάθεση ανάληψης κινδύνου του οργανισμού.

Σύμφωνα με το GDPR, η εταιρεία επιβεβαιώνει αν τα αναγνωριστικά συναλλαγών, τα αναγνωριστικά συσκευών, τα σήματα τοποθεσίας και η συμπεριφορική ανάλυση σχετίζονται με ταυτοποιημένα ή ταυτοποιήσιμα φυσικά πρόσωπα. Οι αρχές του GDPR Article 5, συμπεριλαμβανομένων της ακεραιότητας, της εμπιστευτικότητας, του περιορισμού αποθήκευσης και της λογοδοσίας, καθίστανται μέρος της απαίτησης τεκμηρίων εξόδου. Αν η έξοδος περιλαμβάνει μεταφορά σε νέο πάροχο, πρέπει να τεκμηριώνονται η νομική βάση, ο σκοπός, η ελαχιστοποίηση, η διατήρηση, οι όροι εκτελούντος την επεξεργασία και οι δικλίδες ασφαλείας.

Η καταχώριση κινδύνου περιλαμβάνει τα εξής:

Ημέρα 3: διορθώστε τα συμβατικά κενά

Το Νομικό Τμήμα και οι Προμήθειες συγκρίνουν τη σύμβαση με τις ρήτρες προμηθευτών της Clarysec. Προσθέτουν υποστήριξη μετάβασης, συνέχιση υπηρεσίας κατά τη διάρκεια καθορισμένης περιόδου μετάβασης, πρόσβαση σε τεκμήρια και δικαιώματα ελέγχου, ειδοποίηση για υπεργολάβους, μορφότυπο εξαγωγής δεδομένων, πιστοποίηση ασφαλούς διαγραφής, συνεργασία σε περιστατικά και δεσμεύσεις χρόνου ανάκαμψης.

Η Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή, στην ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», η ρήτρα 6.5.1 ορίζει:

Οι συμβάσεις με κρίσιμους προμηθευτές πρέπει να περιλαμβάνουν υποχρεώσεις επιχειρησιακής συνέχειας και δεσμεύσεις χρόνου ανάκαμψης.

Για ΜΜΕ, η Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή - ΜΜΕ Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή - ΜΜΕ, στην ενότητα «Αντιμετώπιση κινδύνων και εξαιρέσεις», η ρήτρα 7.2.1.4 απαιτεί από τις ομάδες να:

τεκμηριώνουν προσωρινά σχέδια υποκατάστασης προμηθευτή ή συνεργάτη

Αυτή η ρήτρα μετατρέπει το «θα μετεγκατασταθούμε» σε εφαρμόσιμη εφεδρική λύση: ποιος πάροχος, ποια εσωτερική εναλλακτική διαδικασία, ποια χειροκίνητη διαδικασία, ποιο απόσπασμα δεδομένων, ποιος ιδιοκτήτης και ποια διαδρομή έγκρισης.

Ημέρα 4: δοκιμάστε τη φορητότητα δεδομένων και τη δυνατότητα ανάκτησης αντιγράφων ασφαλείας

Η τεχνολογική ομάδα εξάγει κανόνες απάτης, δεδομένα υποθέσεων, αποτελέσματα βαθμολόγησης συναλλαγών, αρχεία καταγραφής, ρυθμίσεις παραμέτρων, τεκμηρίωση διεπαφών προγραμματισμού εφαρμογών και καταλόγους πρόσβασης χρηστών. Δοκιμάζει αν τα δεδομένα μπορούν να αποκατασταθούν ή να επαναχρησιμοποιηθούν σε ελεγχόμενο περιβάλλον.

Η Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης - ΜΜΕ Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης - ΜΜΕ, στην ενότητα «Απαιτήσεις διακυβέρνησης», η ρήτρα 5.3.3 απαιτεί:

Οι δοκιμές επαναφοράς διενεργούνται τουλάχιστον ανά τρίμηνο και τα αποτελέσματα τεκμηριώνονται για την επαλήθευση της δυνατότητας ανάκτησης

Η εταιρική Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης, στην ενότητα «Εφαρμογή και συμμόρφωση», η ρήτρα 8.3.1 προσθέτει:

Ελέγχετε περιοδικά τα αρχεία καταγραφής αντιγράφων ασφαλείας, τις ρυθμίσεις διαμόρφωσης και τα αποτελέσματα δοκιμών

Στο Zenith Blueprint, στη φάση «Έλεγχοι στην πράξη», Βήμα 19, Έλεγχος 8.13, η Clarysec επισημαίνει γιατί αυτό έχει σημασία:

Η δοκιμή αποκατάστασης είναι το σημείο στο οποίο οι περισσότεροι οργανισμοί υστερούν. Ένα αντίγραφο ασφαλείας που δεν μπορεί να αποκατασταθεί εγκαίρως, ή καθόλου, αποτελεί υποχρέωση και όχι περιουσιακό στοιχείο. Προγραμματίστε τακτικές ασκήσεις επαναφοράς, ακόμη και μερικές, και τεκμηριώστε το αποτέλεσμα.

Η ομάδα διαπιστώνει ότι οι εξαγόμενες σημειώσεις υποθέσεων δεν περιλαμβάνουν συνημμένα και ότι τα όρια ρυθμού των διεπαφών προγραμματισμού εφαρμογών καθιστούν την πλήρη εξαγωγή υπερβολικά αργή για τον καθορισμένο στόχο ανάκαμψης. Το ζήτημα καταγράφεται, ανατίθεται και αποκαθίσταται μέσω πρόσθετης πράξης στη σύμβαση και τεχνικού επανασχεδιασμού της εξαγωγής.

Ημέρα 5: εκτελέστε το επιτραπέζιο σενάριο εξόδου και την ανασκόπηση τεκμηρίων

Η ομάδα εκτελεί άσκηση επιτραπέζιου σεναρίου: ο προμηθευτής ανακοινώνει καταγγελία σε 90 ημέρες μετά από μείζον περιστατικό. Οι λειτουργίες πρέπει να συνεχίσουν την παρακολούθηση απάτης ενώ τα δεδομένα μετεγκαθίστανται.

Στο Zenith Blueprint, στη φάση «Έλεγχοι στην πράξη», Βήμα 23, Έλεγχος 5.30, η Clarysec εξηγεί το πρότυπο δοκιμών:

Η ετοιμότητα ΤΠΕ ξεκινά πολύ πριν επέλθει η διαταραχή. Περιλαμβάνει την αναγνώριση κρίσιμων συστημάτων, την κατανόηση των αλληλεξαρτήσεών τους και τη χαρτογράφησή τους σε επιχειρησιακές διαδικασίες.

Η ίδια ενότητα προσθέτει:

Οι Στόχοι Χρόνου Ανάκαμψης (RTOs) και οι Στόχοι Σημείου Ανάκαμψης (RPOs) που ορίζονται στο σχέδιο επιχειρησιακής συνέχειας πρέπει να αποτυπώνονται στις τεχνικές ρυθμίσεις, στις συμβάσεις και στον σχεδιασμό υποδομής.

Το πακέτο τεκμηρίων περιλαμβάνει ταξινόμηση προμηθευτή, αξιολόγηση κινδύνου, συμβατικές ρήτρες, εγχειρίδιο ενεργειών εξόδου, αποτελέσματα εξαγωγής δεδομένων, τεκμήρια επαναφοράς αντιγράφων ασφαλείας, διαδικασία διαγραφής, αξιολόγηση εναλλακτικού παρόχου, πρακτικά επιτραπέζιου σεναρίου, αρχείο διορθωτικών ενεργειών, έγκριση διοίκησης και απόφαση υπολειπόμενου κινδύνου.

Ο CISO μπορεί πλέον να απαντήσει στην ερώτηση του διοικητικού συμβουλίου με τεκμήρια, όχι με αισιοδοξία.

Διαπλαισιακή συμμόρφωση: ένα σχέδιο εξόδου, πολλαπλές οπτικές ελέγχου

Μια ισχυρή στρατηγική εξόδου DORA μειώνει την επανάληψη εργασιών συμμόρφωσης σε ISO/IEC 27001:2022, NIS2, GDPR, NIST και προσδοκίες διακυβέρνησης COBIT 2019.

Το σημαντικό δεν είναι ότι ένα πλαίσιο αντικαθιστά κάποιο άλλο. Η αξία είναι ότι ένα καλά δομημένο ISMS επιτρέπει στον οργανισμό να παράγει τεκμήρια μία φορά και να τα επαναχρησιμοποιεί με έξυπνο τρόπο.

Το Zenith Controls της Clarysec βοηθά τις ομάδες να προετοιμαστούν για αυτές τις οπτικές ελέγχου, συνδέοντας τους ελέγχους ISO/IEC 27001:2022 με ελεγκτικά τεκμήρια και προσδοκίες διαπλαισιακής συμμόρφωσης.

Μια συνηθισμένη αποτυχία ελέγχου είναι ο κατακερματισμός των τεκμηρίων. Ο υπεύθυνος προμηθευτή έχει τη σύμβαση. Το IT έχει τα αρχεία καταγραφής αντιγράφων ασφαλείας. Το Νομικό Τμήμα έχει τη Συμφωνία Επεξεργασίας Δεδομένων. Η λειτουργία κινδύνου έχει την αξιολόγηση. Η συμμόρφωση έχει την κανονιστική αντιστοίχιση. Κανείς δεν έχει την πλήρη εικόνα.

Η Clarysec το αντιμετωπίζει σχεδιάζοντας το πακέτο τεκμηρίων γύρω από το σενάριο εξόδου. Κάθε έγγραφο απαντά σε μία ερώτηση ελέγχου: ποια υπηρεσία εξέρχεται, γιατί είναι κρίσιμη, ποια δεδομένα και συστήματα επηρεάζονται, ποιος έχει την ιδιοκτησία του κινδύνου, ποια συμβατικά δικαιώματα καθιστούν δυνατή την έξοδο, ποιοι τεχνικοί μηχανισμοί καθιστούν δυνατή τη μετεγκατάσταση, ποιες ρυθμίσεις συνέχειας διατηρούν τη λειτουργία της επιχείρησης, ποια δοκιμή αποδεικνύει ότι το σχέδιο λειτουργεί, ποια ζητήματα αποκαταστάθηκαν και ποιος ενέκρινε τον υπολειπόμενο κίνδυνο.

Η λίστα ελέγχου στρατηγικής εξόδου DORA της Clarysec

Χρησιμοποιήστε αυτή τη λίστα ελέγχου για να μετατρέψετε μια στρατηγική εξόδου DORA για τρίτους παρόχους ΤΠΕ από έγγραφο σε ελέγξιμο σύνολο ελέγχων.

Μετατρέψτε τον σχεδιασμό εξόδου σε έλεγχο ανθεκτικότητας κατάλληλο για το διοικητικό συμβούλιο

Αν η στρατηγική εξόδου DORA που διαθέτετε είναι μόνο συμβατική ρήτρα, δεν είναι έτοιμη. Αν το αντίγραφο ασφαλείας σας δεν έχει ποτέ αποκατασταθεί, δεν είναι έτοιμο. Αν ο πάροχος νέφους μπορεί να εξαγάγει δεδομένα αλλά κανείς δεν έχει επικυρώσει την πληρότητα, δεν είναι έτοιμο. Αν το διοικητικό συμβούλιο δεν μπορεί να δει την απόφαση υπολειπόμενου κινδύνου, δεν είναι έτοιμη.

Η Clarysec βοηθά CISOs, διευθυντές συμμόρφωσης, ελεγκτές και ιδιοκτήτες επιχειρησιακών διεργασιών να δημιουργούν στρατηγικές εξόδου DORA για τρίτους παρόχους ΤΠΕ που είναι πρακτικές, αναλογικές και έτοιμες για έλεγχο. Συνδυάζουμε το Zenith Blueprint Zenith Blueprint για την αλληλουχία υλοποίησης, το Zenith Controls Zenith Controls για την αντιστοίχιση διαπλαισιακής συμμόρφωσης και πρότυπα πολιτικών όπως η Πολιτική Διαχείρισης Κινδύνου Εξάρτησης από Προμηθευτές Πολιτική Διαχείρισης Κινδύνου Εξάρτησης από Προμηθευτές, η Πολιτική Χρήσης Υπηρεσιών Νέφους - ΜΜΕ Πολιτική Χρήσης Υπηρεσιών Νέφους - ΜΜΕ, η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - ΜΜΕ Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - ΜΜΕ και η Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή, ώστε να δημιουργείται πλήρης αλυσίδα από τον έλεγχο έως τα τεκμήρια.

Το επόμενο βήμα σας είναι απλό και υψηλής αξίας: επιλέξτε έναν κρίσιμο προμηθευτή ΤΠΕ αυτή την εβδομάδα. Ταξινομήστε τον, ανασκοπήστε τη σύμβασή του, δοκιμάστε μία εξαγωγή δεδομένων, επαληθεύστε μία επαναφορά, τεκμηριώστε ένα σχέδιο υποκατάστασης και δημιουργήστε ένα πακέτο τεκμηρίων.

Αυτή η μεμονωμένη άσκηση θα δείξει αν η στρατηγική εξόδου DORA που διαθέτετε είναι πραγματική ικανότητα ανθεκτικότητας ή απλώς ένα έγγραφο που περιμένει να αποτύχει στον έλεγχο.