Τεκμήρια DORA TLPT με ελέγχους ISO 27001

Είναι 07:40 ένα πρωί Δευτέρας και ο Επικεφαλής Ασφάλειας Πληροφοριών (CISO) ενός μεσαίου ιδρύματος πληρωμών εξετάζει τρεις εκδοχές του ίδιου άβολου ερωτήματος.

Το Διοικητικό Συμβούλιο θέλει να γνωρίζει αν ο οργανισμός μπορεί να αντέξει διακοπή της πύλης πληρωμών πελατών λόγω ransomware. Η ρυθμιστική αρχή ζητά τεκμήρια ότι οι δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας δεν είναι άσκηση επί χάρτου. Ο Εσωτερικός Έλεγχος ζητά καθαρή ιχνηλασιμότητα από τις υποχρεώσεις DORA προς τον κίνδυνο ΤΠΕ, τους ελέγχους ISO 27001, τα αποτελέσματα δοκιμών, τα σχέδια αποκατάστασης, τα τεκμήρια προμηθευτών και την επίσημη έγκριση της διοίκησης.

Ο CISO έχει μια αναφορά red team. Το SOC έχει στιγμιότυπα οθόνης ειδοποιήσεων. Η Υποδομή έχει αρχείο καταγραφής αποκατάστασης αντιγράφων ασφαλείας. Το Νομικό Τμήμα έχει έναν ιχνηλάτη ετοιμότητας DORA. Οι Προμήθειες έχουν βεβαιώσεις παρόχων νέφους.

Τίποτα από αυτά δεν είναι συνδεδεμένο.

Σε αυτό το σημείο αποτυγχάνουν πολλά προγράμματα DORA TLPT και δοκιμών ανθεκτικότητας. Όχι επειδή οι δοκιμές είναι αδύναμες, αλλά επειδή τα τεκμήρια είναι κατακερματισμένα. Όταν ένας ελεγκτής ρωτά: «Δείξτε μου πώς αυτή η δοκιμή αποδεικνύει την ανθεκτικότητα μιας κρίσιμης ή σημαντικής λειτουργίας», η απάντηση δεν μπορεί να είναι ένας φάκελος γεμάτος στιγμιότυπα οθόνης. Πρέπει να είναι τεκμηριωμένη αλυσίδα τεκμηρίων.

Αυτή η αλυσίδα είναι το σημείο όπου ένα ISMS ευθυγραμμισμένο με το ISO/IEC 27001:2022 ISO/IEC 27001:2022 αποκτά πραγματική ισχύ. Το ISO 27001 δίνει δομή στο πεδίο εφαρμογής, στην αξιολόγηση κινδύνων, στην επιλογή ελέγχων, στη Δήλωση Εφαρμοσιμότητας, στον επιχειρησιακό έλεγχο, στον εσωτερικό έλεγχο, στην ανασκόπηση της Διοίκησης και στη συνεχή βελτίωση. Το DORA προσθέτει την ειδική ανά τομέα κανονιστική πίεση. Η μεθοδολογία της Clarysec και τα εργαλεία διατομεακής συμμόρφωσης συνδέουν και τα δύο σε ένα ενιαίο μοντέλο τεκμηρίων έτοιμο για έλεγχο.

Το DORA TLPT είναι δοκιμή διακυβέρνησης, όχι μόνο προσομοίωση επίθεσης

Το threat-led penetration testing, ή TLPT, είναι εύκολο να παρερμηνευθεί. Τεχνικά, μπορεί να μοιάζει με εξελιγμένη άσκηση red team: πληροφορίες απειλών, ρεαλιστικές διαδρομές επίθεσης, stealth, απόπειρες εκμετάλλευσης, σενάρια πλευρικής κίνησης και επικύρωση απόκρισης blue team.

Για το DORA, το βαθύτερο ζήτημα είναι η ψηφιακή επιχειρησιακή ανθεκτικότητα. Μπορεί η χρηματοοικονομική οντότητα να αντέξει, να ανταποκριθεί και να ανακάμψει από σοβαρή διατάραξη ΤΠΕ που επηρεάζει επιχειρησιακές διαδικασίες; Μπορεί να αποδείξει ότι οι κρίσιμες ή σημαντικές λειτουργίες παραμένουν εντός των ορίων αντικτύπου; Μπορεί η διοίκηση να αποδείξει ότι ο κίνδυνος ΤΠΕ διοικείται, χρηματοδοτείται, δοκιμάζεται, αποκαθίσταται και βελτιώνεται;

Το DORA Article 1 θεσπίζει ενιαίο πλαίσιο της ΕΕ για την ασφάλεια δικτύων και πληροφοριακών συστημάτων που υποστηρίζουν τις επιχειρησιακές διαδικασίες των χρηματοοικονομικών οντοτήτων. Καλύπτει τη διαχείριση κινδύνων ΤΠΕ, την αναφορά μείζονων περιστατικών σχετιζόμενων με ΤΠΕ, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, τη διαχείριση κινδύνων ΤΠΕ τρίτων μερών, τις υποχρεωτικές συμβατικές απαιτήσεις για προμηθευτές ΤΠΕ, την εποπτεία κρίσιμων τρίτων παρόχων ΤΠΕ και τη συνεργασία με τις εποπτικές αρχές. Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025.

Για οργανισμούς που καλύπτονται επίσης από το NIS2, το DORA λειτουργεί ως η ειδική ανά τομέα νομική πράξη της Ένωσης για επικαλυπτόμενες απαιτήσεις κυβερνοασφάλειας. Στην πράξη, οι χρηματοοικονομικές οντότητες πρέπει να δίνουν προτεραιότητα στο DORA για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών, τις δοκιμές και τον κίνδυνο ΤΠΕ τρίτων μερών όπου τα καθεστώτα αλληλεπικαλύπτονται, διατηρώντας παράλληλα κατανόηση των προσδοκιών NIS2 για δομές ομίλων, προμηθευτές και μη χρηματοοικονομικές ψηφιακές υπηρεσίες.

Το DORA τοποθετεί επίσης τη λογοδοσία στην κορυφή. Το Article 5 απαιτεί από το όργανο διοίκησης να ορίζει, να εγκρίνει, να εποπτεύει και να εφαρμόζει ρυθμίσεις κινδύνου ΤΠΕ. Αυτό περιλαμβάνει τη στρατηγική ψηφιακής επιχειρησιακής ανθεκτικότητας, την πολιτική επιχειρησιακής συνέχειας ΤΠΕ, τα σχέδια απόκρισης και ανάκαμψης, τα σχέδια ελέγχων, τους προϋπολογισμούς, τις πολιτικές τρίτων μερών ΤΠΕ, τους διαύλους αναφοράς και επαρκή γνώση κινδύνων ΤΠΕ μέσω τακτικής εκπαίδευσης.

Άρα το ελεγκτικό ερώτημα δεν είναι απλώς: «Διενεργήσατε TLPT;»

Είναι:

• Συνδέθηκε το TLPT με κρίσιμες ή σημαντικές λειτουργίες;
• Ήταν εξουσιοδοτημένο, οριοθετημένο, ασφαλές και αξιολογημένο ως προς τον κίνδυνο;
• Συμπεριλήφθηκαν, όπου ήταν συναφές, προμηθευτές, εξαρτήσεις νέφους και εξωτερικά ανατεθειμένες υπηρεσίες ΤΠΕ;
• Παρήγαγε η δοκιμή τεκμήρια ανίχνευσης, απόκρισης, ανάκαμψης και διδαγμάτων που αντλήθηκαν;
• Μετατράπηκαν τα ευρήματα σε αντιμετώπιση κινδύνων, παρακολουθούμενη αποκατάσταση, επανέλεγχο και αναφορά προς τη διοίκηση;
• Εξήγησε η Δήλωση Εφαρμοσιμότητας ποιοι έλεγχοι του ISO 27001 Annex A επιλέχθηκαν για τη διαχείριση του κινδύνου;

Γι’ αυτό η Clarysec αντιμετωπίζει τα τεκμήρια DORA TLPT ως ζήτημα τεκμηρίωσης ISMS, όχι μόνο ως παραδοτέο δοκιμών διείσδυσης.

Δημιουργήστε τη ραχοκοκαλιά τεκμηρίων ISO 27001 πριν αρχίσει η δοκιμή

Το ISO 27001 απαιτεί από έναν οργανισμό να καθιερώσει, να εφαρμόζει, να διατηρεί και να βελτιώνει συνεχώς ένα ISMS που διαφυλάσσει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα μέσω διαδικασίας διαχείρισης κινδύνων. Οι Clauses 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί εσωτερικά και εξωτερικά ζητήματα, ενδιαφερόμενα μέρη, νομικές και ρυθμιστικές υποχρεώσεις, διεπαφές και εξαρτήσεις, και στη συνέχεια να τεκμηριώνει το πεδίο εφαρμογής του ISMS.

Για μια οντότητα που υπόκειται στο DORA, αυτό το βήμα οριοθέτησης πρέπει να αποτυπώνει ρητά κρίσιμες ή σημαντικές λειτουργίες, περιουσιακά στοιχεία ΤΠΕ, πλατφόρμες νέφους, εξωτερικά ανατεθειμένες λειτουργίες, συστήματα πληρωμών, πύλες πελατών, υπηρεσίες ταυτότητας, πλατφόρμες καταγραφής, περιβάλλοντα ανάκαμψης και τρίτους παρόχους υπηρεσιών ΤΠΕ. Αν το πεδίο εφαρμογής του TLPT δεν αντιστοιχίζεται πίσω στο πεδίο εφαρμογής του ISMS, το ίχνος ελέγχου είναι ήδη αδύναμο.

Οι ISO 27001 Clauses 6.1.1, 6.1.2 και 6.1.3, μαζί με τις Clauses 8.2 και 8.3, απαιτούν διαδικασία αξιολόγησης και αντιμετώπισης κινδύνων. Οι κίνδυνοι πρέπει να αναγνωρίζονται σε σχέση με την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Πρέπει να ανατίθενται ιδιοκτήτες κινδύνου. Πρέπει να αξιολογούνται η πιθανότητα και η συνέπεια. Οι έλεγχοι πρέπει να επιλέγονται και να συγκρίνονται με το Annex A. Ο υπολειπόμενος κίνδυνος πρέπει να γίνεται αποδεκτός από τους ιδιοκτήτες κινδύνου.

Αυτή είναι η γέφυρα μεταξύ DORA και δοκιμών έτοιμων για έλεγχο.

Το Zenith Blueprint: An Auditor’s 30-Step Roadmap της Clarysec Zenith Blueprint, στη φάση διαχείρισης κινδύνων, Step 13, περιγράφει με σαφήνεια αυτόν τον ρόλο ιχνηλασιμότητας:

Το SoA είναι ουσιαστικά ένα έγγραφο-γέφυρα: συνδέει την αξιολόγηση/αντιμετώπιση κινδύνων με τους πραγματικούς ελέγχους που διαθέτετε. Με την ολοκλήρωσή του, ελέγχετε επίσης αν σας έχει διαφύγει κάποιος έλεγχος.

Για το DORA TLPT, η Δήλωση Εφαρμοσιμότητας δεν πρέπει να είναι στατικό τεχνούργημα πιστοποίησης. Πρέπει να εξηγεί γιατί έλεγχοι όπως η ασφάλεια προμηθευτών, η διαχείριση περιστατικών, η ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια, η καταγραφή, η παρακολούθηση, η τεχνική διαχείριση ευπαθειών, τα αντίγραφα ασφαλείας, η ασφαλής ανάπτυξη και οι δοκιμές ασφάλειας εφαρμόζονται στο σενάριο ανθεκτικότητας.

Ένα πρακτικό σενάριο κινδύνου θα μπορούσε να διατυπωθεί ως εξής:

«Ο συμβιβασμός διαπιστευτηρίων προνομιούχου παρόχου ταυτότητας επιτρέπει σε έναν επιτιθέμενο να αποκτήσει πρόσβαση σε συστήματα διαχείρισης επεξεργασίας πληρωμών, να μεταβάλει ρυθμίσεις δρομολόγησης και να διακόψει μια κρίσιμη λειτουργία πληρωμών, προκαλώντας διακοπή υπηρεσιών, ρυθμιστικές υποχρεώσεις αναφοράς, ζημία σε πελάτες και βλάβη στη φήμη.»

Αυτό το ένα σενάριο μπορεί να καθοδηγήσει το πεδίο εφαρμογής του TLPT, τις περιπτώσεις χρήσης ανίχνευσης, τη συμμετοχή προμηθευτών, την άσκηση ανάκαμψης, την αναφορά προς το Διοικητικό Συμβούλιο και το σύνολο τεκμηρίων.

Το Zenith Blueprint συνιστά επίσης η ρυθμιστική ιχνηλασιμότητα να γίνεται ρητή:

Διασταυρώστε τους κανονισμούς: Αν ορισμένοι έλεγχοι εφαρμόζονται ειδικά για συμμόρφωση με GDPR, NIS2 ή DORA, μπορείτε να το σημειώσετε είτε στο Risk Register (ως μέρος της αιτιολόγησης αντικτύπου κινδύνου) είτε στις σημειώσεις του SoA.

Η συμβουλή αυτή είναι απλή, αλλά αλλάζει τη συζήτηση στον έλεγχο. Αντί να λέει σε έναν ελεγκτή ότι το DORA ελήφθη υπόψη, ο οργανισμός μπορεί να δείξει πού εμφανίζεται το DORA στο μητρώο κινδύνων, στο SoA, στο πρόγραμμα δοκιμών, στο σύνολο πολιτικών και στην ανασκόπηση της Διοίκησης.

Αντιστοιχίστε τις δοκιμές DORA σε ελέγχους ISO 27001 που αναγνωρίζουν οι ελεγκτές

Το DORA Article 6 αναμένει τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ ενσωματωμένο στη συνολική διαχείριση κινδύνων. Το ISO 27001 Annex A παρέχει τον κατάλογο ελέγχων που καθιστά αυτό το πλαίσιο επιχειρησιακά εφαρμόσιμο.

Για DORA TLPT και δοκιμές ανθεκτικότητας, οι ακόλουθοι έλεγχοι ISO/IEC 27001:2022 Annex A είναι ιδιαίτερα σημαντικοί:

Το Zenith Controls: The Cross-Compliance Guide της Clarysec Zenith Controls βοηθά τους οργανισμούς να αποφεύγουν την αντιμετώπιση αυτών των ελέγχων ως μεμονωμένων στοιχείων λίστας ελέγχου. Αντιστοιχίζει τους ελέγχους ISO/IEC 27002:2022 σε χαρακτηριστικά, τομείς, επιχειρησιακές ικανότητες, ελεγκτικές προσδοκίες και μοτίβα μεταξύ πλαισίων.

Για παράδειγμα, το Zenith Controls ταξινομεί τον έλεγχο ISO/IEC 27002:2022 5.30, ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια, ως «διορθωτικό», ευθυγραμμισμένο με τη «διαθεσιμότητα», συνδεδεμένο με την έννοια κυβερνοασφάλειας «Respond» και τοποθετημένο στον τομέα «Resilience». Αυτή η ταξινόμηση είναι χρήσιμη όταν εξηγείται στους ελεγκτές γιατί μια άσκηση ανάκαμψης δεν είναι απλώς λειτουργία πληροφορικής, αλλά έλεγχος ανθεκτικότητας με καθορισμένο ρόλο στο περιβάλλον ελέγχων.

Το Zenith Controls ταξινομεί επίσης τον έλεγχο 8.29, Security Testing in Development and Acceptance, ως προληπτικό έλεγχο που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, με επιχειρησιακές ικανότητες στην ασφάλεια εφαρμογών, στη διασφάλιση ασφάλειας πληροφοριών και στην ασφάλεια συστημάτων και δικτύων. Για ευρήματα TLPT που ανάγονται σε αδυναμία σχεδιασμού εφαρμογής, ανασφαλή συμπεριφορά API, ανεπαρκή ροή αυθεντικοποίησης ή ανεπαρκή επικύρωση, αυτή είναι η διαδρομή ελέγχου προς τη διακυβέρνηση ασφαλούς ανάπτυξης.

Ο έλεγχος 5.35, Independent Review of Information Security, είναι επίσης σημαντικός. Υποστηρίζει ανεξάρτητη αμφισβήτηση, διασφάλιση διακυβέρνησης και διορθωτική βελτίωση. Οι εσωτερικές ομάδες μπορούν να συντονίζουν τις δοκιμές, αλλά τα τεκμήρια έτοιμα για έλεγχο απαιτούν ανασκόπηση, κλιμάκωση και εποπτεία πέρα από τα πρόσωπα που σχεδίασαν ή λειτουργούσαν τα υπό δοκιμή συστήματα.

Προστατεύστε το σύστημα ενώ το δοκιμάζετε

Μια επικίνδυνη παραδοχή στις δοκιμές ανθεκτικότητας είναι ότι η δοκιμή είναι αυτομάτως επωφελής. Στην πραγματικότητα, οι παρεμβατικές δοκιμές μπορούν να προκαλέσουν διακοπές υπηρεσιών, να εκθέσουν ευαίσθητες πληροφορίες, να αλλοιώσουν αρχεία καταγραφής, να ενεργοποιήσουν αυτοματοποιημένες άμυνες, να διακόψουν συνεδρίες πελατών ή να οδηγήσουν προμηθευτές στην ενεργοποίηση διαδικασιών έκτακτης ανάγκης.

Η Security Testing and Red-Teaming Policy της Clarysec Security Testing and Red-Teaming Policy παρέχει στους οργανισμούς ένα μοτίβο διακυβέρνησης για ασφαλή εκτέλεση. Η Clause 6.1 αναφέρει:

Τύποι δοκιμών: Το πρόγραμμα δοκιμών ασφάλειας πρέπει να περιλαμβάνει, κατ’ ελάχιστον: (a) σαρώσεις ευπαθειών, δηλαδή αυτοματοποιημένες εβδομαδιαίες ή μηνιαίες σαρώσεις δικτύων και εφαρμογών για τον εντοπισμό γνωστών ευπαθειών· (b) δοκιμές διείσδυσης, δηλαδή χειροκίνητες εις βάθος δοκιμές συγκεκριμένων συστημάτων ή εφαρμογών από εξειδικευμένους δοκιμαστές για τον εντοπισμό σύνθετων αδυναμιών· και (c) ασκήσεις red-teaming, δηλαδή προσομοιώσεις πραγματικών επιθέσεων βάσει σεναρίων, συμπεριλαμβανομένης της κοινωνικής μηχανικής και άλλων τακτικών, για τη δοκιμή των συνολικών ικανοτήτων ανίχνευσης και απόκρισης του οργανισμού.

Για το TLPT, το στοιχείο red-teaming είναι προφανές, αλλά η ελεγκτική αξία προκύπτει από τον σχεδιασμό του προγράμματος. Οι σαρώσεις ευπαθειών, οι δοκιμές διείσδυσης, οι ασκήσεις red team, οι ασκήσεις ανθεκτικότητας και οι επανέλεγχοι πρέπει να σχηματίζουν κύκλο, όχι συλλογή ασύνδετων δοκιμών.

Η Clause 6.2 της ίδιας πολιτικής καλύπτει την ασφαλή εκτέλεση:

Πεδίο εφαρμογής και κανόνες εμπλοκής: Για κάθε δοκιμή ή άσκηση, ο STC πρέπει να ορίζει το πεδίο εφαρμογής, συμπεριλαμβανομένων των συστημάτων και των περιοχών IP εντός πεδίου εφαρμογής, των επιτρεπόμενων μεθόδων δοκιμών, των στόχων, του χρονισμού και της διάρκειας. Οι κανόνες εμπλοκής πρέπει να τεκμηριώνονται. Για παράδειγμα, επιχειρησιακά ευαίσθητα συστήματα μπορούν να οριστούν ως monitor-only για την αποφυγή διατάραξης, και κάθε δοκιμή σε περιβάλλον παραγωγής πρέπει να περιλαμβάνει διαδικασίες επαναφοράς και διακοπής. Μέτρα ασφάλειας, όπως καθορισμένα χρονικά παράθυρα και δίαυλοι επικοινωνίας, πρέπει να θεσπίζονται για την αποτροπή ακούσιων διακοπών υπηρεσιών.

Αυτό αντιστοιχίζεται απευθείας στο Zenith Blueprint, φάση Controls in Action, Step 21, που εστιάζει στον έλεγχο ISO 27001 Annex A 8.34, Protection of Information Systems during Audit Testing. Το Zenith Blueprint προειδοποιεί ότι οι έλεγχοι, οι δοκιμές διείσδυσης, οι εγκληματολογικές ανασκοπήσεις και οι επιχειρησιακές αξιολογήσεις μπορούν να περιλαμβάνουν αυξημένη πρόσβαση, παρεμβατικά εργαλεία ή προσωρινές αλλαγές στη συμπεριφορά συστημάτων. Τονίζει την εξουσιοδότηση, το πεδίο εφαρμογής, τα χρονικά παράθυρα, την έγκριση από τον ιδιοκτήτη συστήματος, την επαναφορά, την παρακολούθηση και τον ασφαλή χειρισμό δεδομένων δοκιμών.

Το πακέτο τεκμηρίων έτοιμο για έλεγχο πρέπει να περιλαμβάνει:

• Καταστατικό TLPT και στόχους
• Σύνοψη πληροφοριών απειλών και αιτιολόγηση σεναρίου
• Κρίσιμες ή σημαντικές λειτουργίες εντός πεδίου εφαρμογής
• Συστήματα, περιοχές IP, ταυτότητες, προμηθευτές και περιβάλλοντα εντός πεδίου εφαρμογής
• Εξαιρέσεις και συστήματα monitor-only
• Κανόνες εμπλοκής
• Αξιολόγηση κινδύνου δοκιμών σε περιβάλλον παραγωγής
• Διαδικασίες επαναφοράς και διακοπής
• Μοντέλο ειδοποίησης SOC, συμπεριλαμβανομένου του τι γνωστοποιείται και τι αποκρύπτεται
• Εγκρίσεις Νομικού Τμήματος, ιδιωτικότητας και προμηθευτών
• Τεκμήρια δημιουργίας και ανάκλησης λογαριασμών δοκιμών
• Ασφαλής τοποθεσία αποθήκευσης για τεχνουργήματα δοκιμών και αρχεία καταγραφής

Ένα DORA TLPT που δεν μπορεί να αποδείξει ασφαλή εξουσιοδότηση και έλεγχο της δραστηριότητας δοκιμών μπορεί να αποκαλύψει κενά ανθεκτικότητας, αλλά δημιουργεί επίσης κενά διακυβέρνησης.

Μετατρέψτε τα αποτελέσματα TLPT σε αντιμετώπιση κινδύνων

Η πιο συνηθισμένη αστοχία μετά τη δοκιμή είναι το πρόβλημα της αναφοράς red team που μένει στο συρτάρι. Παραδίδεται μια αναφορά υψηλής ποιότητας, κυκλοφορεί, συζητείται και στη συνέχεια σταδιακά χάνει δυναμική. Τα ευρήματα παραμένουν ανοικτά. Οι αντισταθμιστικοί έλεγχοι δεν τεκμηριώνονται. Οι αποδεκτοί κίνδυνοι παραμένουν άτυποι. Ο επανέλεγχος δεν πραγματοποιείται ποτέ.

Η Security Testing and Red-Teaming Policy καθιστά αυτό το ενδεχόμενο μη αποδεκτό. Η Clause 6.6 αναφέρει:

Αποκατάσταση ευρημάτων: Όλες οι εντοπισμένες ευπάθειες ή αδυναμίες πρέπει να τεκμηριώνονται σε αναφορά ευρημάτων με βαθμολογίες σοβαρότητας. Με την παραλαβή της αναφοράς, οι ιδιοκτήτες συστημάτων είναι υπεύθυνοι για τη δημιουργία σχεδίου αποκατάστασης με καταληκτικές ημερομηνίες· για παράδειγμα, τα κρίσιμα ευρήματα πρέπει να αποκαθίστανται εντός 30 ημερών και τα ευρήματα υψηλής σοβαρότητας εντός 60 ημερών, σύμφωνα με την Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων του οργανισμού. Ο STC πρέπει να παρακολουθεί την πρόοδο αποκατάστασης. Πρέπει να πραγματοποιείται επανέλεγχος για να επιβεβαιώνεται ότι τα κρίσιμα ζητήματα έχουν επιλυθεί ή μετριαστεί επαρκώς.

Η Clause 6.7 προσθέτει το επίπεδο διακυβέρνησης:

Αναφορά: Με την ολοκλήρωση κάθε δοκιμής πρέπει να εκδίδεται επίσημη αναφορά. Για δοκιμές διείσδυσης, η αναφορά πρέπει να περιλαμβάνει σύνοψη για τη διοίκηση, μεθοδολογία και αναλυτικά ευρήματα με υποστηρικτικά τεκμήρια και συστάσεις. Για ασκήσεις red-teaming, η αναφορά πρέπει να περιγράφει αναλυτικά τα σενάρια, ποιες διαδρομές επίθεσης ήταν επιτυχείς, τι ανιχνεύθηκε από την Blue Team και τα διδάγματα που αντλήθηκαν σχετικά με κενά ανίχνευσης και απόκρισης. Ο CISO πρέπει να παρουσιάζει συνοπτικά αποτελέσματα και κατάσταση αποκατάστασης στην ανώτερη διοίκηση και, όπου είναι συναφές, να τα περιλαμβάνει στην ετήσια αναφορά ασφάλειας προς το Διοικητικό Συμβούλιο.

Αυτό ευθυγραμμίζεται με την καθοδήγηση ISO/IEC 27005:2022 για την αντιμετώπιση κινδύνων: επιλογή επιλογών αντιμετώπισης, καθορισμός ελέγχων από το ISO 27001 Annex A και ειδικές ανά τομέα απαιτήσεις, δημιουργία Σχεδίου Αντιμετώπισης Κινδύνων, ανάθεση υπόλογων προσώπων, ορισμός χρονοδιαγραμμάτων, παρακολούθηση κατάστασης, λήψη έγκρισης από τον ιδιοκτήτη κινδύνου και τεκμηρίωση αποδοχής υπολειπόμενου κινδύνου.

Κάθε σημαντικό εύρημα TLPT πρέπει να καταλήγει σε ένα από τέσσερα αποτελέσματα: ενέργεια αποκατάστασης, βελτίωση ελέγχου, επίσημη αποδοχή κινδύνου ή απαίτηση επανελέγχου.

Ο στόχος δεν είναι να παραχθούν περισσότερα έγγραφα. Ο στόχος είναι κάθε έγγραφο να εξηγεί την επόμενη απόφαση.

Οι δοκιμές ανθεκτικότητας πρέπει να αποδεικνύουν ανάκαμψη, όχι μόνο ανίχνευση

Ένα επιτυχημένο TLPT μπορεί να δείξει ότι το SOC ανίχνευσε κίνηση command-and-control, απέκλεισε πλευρική κίνηση και κλιμάκωσε σωστά. Αυτό έχει αξία, αλλά οι δοκιμές ανθεκτικότητας DORA προχωρούν περισσότερο. Εξετάζουν αν ο οργανισμός μπορεί να συνεχίσει ή να ανακτήσει επιχειρησιακές υπηρεσίες.

Το Zenith Blueprint, φάση Controls in Action, Step 23, εξηγεί τον έλεγχο 5.30, ICT Readiness for Business Continuity, με γλώσσα που κάθε CISO πρέπει να χρησιμοποιεί με το Διοικητικό Συμβούλιο:

Από ελεγκτική σκοπιά, αυτός ο έλεγχος συχνά δοκιμάζεται με μία φράση: Δείξτε μου. Δείξτε μου το τελευταίο αποτέλεσμα δοκιμής. Δείξτε μου την τεκμηρίωση ανάκαμψης. Δείξτε μου πόσος χρόνος χρειάστηκε για τη μετάβαση σε εφεδρικό σύστημα και την επιστροφή. Δείξτε μου τα τεκμήρια ότι αυτό που έχει υποσχεθεί μπορεί να παραδοθεί.

Αυτό το πρότυπο «Δείξτε μου» είναι η διαφορά μεταξύ ωριμότητας πολιτικής και επιχειρησιακής ανθεκτικότητας.

Η Business Continuity Policy and Disaster Recovery Policy-sme της Clarysec Business Continuity Policy and Disaster Recovery Policy - SME, από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», clause 6.4.1, αναφέρει:

Ο οργανισμός πρέπει να δοκιμάζει τόσο τις δυνατότητες BCP όσο και τις δυνατότητες DR του τουλάχιστον ετησίως. Οι δοκιμές πρέπει να περιλαμβάνουν:

Η ενότητα εφαρμογής της ίδιας πολιτικής, clause 8.5.1, καθιστά ρητή τη λογοδοσία τεκμηρίων:

Ο GM πρέπει να διασφαλίζει ότι τα ακόλουθα διατηρούνται και είναι έτοιμα για έλεγχο:

Για μια χρηματοοικονομική οντότητα που υπόκειται στο DORA, οι ετήσιες δοκιμές μπορεί να αποτελούν το κατώτατο όριο, όχι τον στόχο. Οι κρίσιμες ή σημαντικές λειτουργίες υψηλότερου κινδύνου πρέπει να δοκιμάζονται συχνότερα, ιδίως μετά από αλλαγές αρχιτεκτονικής, μεταφορά υπηρεσιών σε περιβάλλον νέφους, μείζονα περιστατικά, νέους προμηθευτές ΤΠΕ, ουσιώδεις εκδόσεις εφαρμογών ή αλλαγές στην έκθεση σε απειλές.

Ένα ισχυρό πακέτο τεκμηρίων δοκιμής ανθεκτικότητας πρέπει να περιλαμβάνει:

• Ανάλυση Επιχειρησιακού Αντικτύπου που χαρτογραφεί την κρίσιμη ή σημαντική λειτουργία
• RTO και RPO εγκεκριμένα από ιδιοκτήτες επιχειρησιακών λειτουργιών
• Χάρτη εξαρτήσεων συστήματος, συμπεριλαμβανομένων ταυτότητας, DNS, δικτύου, νέφους, βάσης δεδομένων, παρακολούθησης, αντιγράφων ασφαλείας και υπηρεσιών τρίτων μερών
• Αποτελέσματα δοκιμών αντιγράφων ασφαλείας και αποκατάστασης
• Χρονοσημάνσεις failover και failback
• Τεκμήρια λειτουργίας ελέγχων ασφάλειας κατά τη διατάραξη
• Πρότυπα επικοινωνίας προς πελάτες, ρυθμιστική αρχή και εσωτερικά ενδιαφερόμενα μέρη
• Αρχεία συμμετοχής επικεφαλής περιστατικού και ομάδας κρίσης
• Διδάγματα που αντλήθηκαν και ενέργειες βελτίωσης
• Τεκμήρια επανελέγχου για προηγούμενα κενά ανάκαμψης

Εδώ εντάσσεται και το GDPR. Τα GDPR Articles 2 και 3 εντάσσουν στο πεδίο εφαρμογής την περισσότερη επεξεργασία δεδομένων προσωπικού χαρακτήρα της ΕΕ από SaaS και fintech. Το Article 4 ορίζει τα δεδομένα προσωπικού χαρακτήρα, την επεξεργασία, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και την παραβίαση δεδομένων προσωπικού χαρακτήρα. Το Article 5 απαιτεί ακεραιότητα, εμπιστευτικότητα και λογοδοσία, που σημαίνει ότι ο οργανισμός πρέπει να μπορεί να αποδείξει συμμόρφωση. Αν το TLPT ή οι δοκιμές ανάκαμψης χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα παραγωγής, αντιγράφουν αρχεία καταγραφής που περιέχουν αναγνωριστικά ή επικυρώνουν απόκριση σε παραβίαση, οι δικλίδες ιδιωτικότητας πρέπει να τεκμηριώνονται.

Τα τεκμήρια προμηθευτών είναι το τυφλό σημείο DORA που οι ελεγκτές δεν θα αγνοήσουν

Οι σύγχρονες χρηματοοικονομικές υπηρεσίες συγκροτούνται από πλατφόρμες νέφους, εφαρμογές SaaS, παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, επεξεργαστές πληρωμών, πλατφόρμες δεδομένων, παρόχους ταυτότητας, εργαλεία παρατηρησιμότητας, εξωτερικά ανατεθειμένες ομάδες ανάπτυξης και παρόχους αντιγράφων ασφαλείας.

Το DORA Article 28 απαιτεί από τις χρηματοοικονομικές οντότητες να διαχειρίζονται τον κίνδυνο ΤΠΕ τρίτων μερών ως μέρος του πλαισίου διαχείρισης κινδύνων ΤΠΕ και να παραμένουν πλήρως υπεύθυνες ακόμη και όταν οι υπηρεσίες ΤΠΕ ανατίθενται σε τρίτους. Το Article 30 απαιτεί γραπτές συμβάσεις υπηρεσιών ΤΠΕ με περιγραφές υπηρεσιών, όρους υπεργολαβικής ανάθεσης, τοποθεσίες επεξεργασίας, προστασία δεδομένων, πρόσβαση και ανάκαμψη, επίπεδα υπηρεσιών, συνδρομή σε περιστατικά, συνεργασία με αρχές, δικαιώματα καταγγελίας, ενισχυμένους όρους για κρίσιμες ή σημαντικές λειτουργίες, δικαιώματα ελέγχου, μέτρα ασφάλειας, συμμετοχή σε TLPT όπου είναι συναφές και ρυθμίσεις εξόδου.

Αυτό σημαίνει ότι ένα σενάριο TLPT δεν μπορεί να σταματά στο τείχος προστασίας του οργανισμού αν η κρίσιμη λειτουργία εξαρτάται από προμηθευτή.

Η Third-Party and Supplier Security Policy-sme της Clarysec Third-Party and Supplier Security Policy - SME, από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», clause 6.3.1, αναφέρει:

Οι κρίσιμοι ή υψηλού κινδύνου προμηθευτές πρέπει να ανασκοπούνται τουλάχιστον ετησίως. Η ανασκόπηση πρέπει να επαληθεύει:

Η Security Testing and Red-Teaming Policy προσθέτει ειδική απαίτηση για προμηθευτές σε σχέση με δοκιμές στην clause 6.9:

Συντονισμός δοκιμών τρίτων μερών: Όταν οποιοσδήποτε κρίσιμος προμηθευτής ή πάροχος υπηρεσιών εμπίπτει στο πεδίο εφαρμογής της συνολικής ασφάλειας του οργανισμού, σύμφωνα με την Third-Party and Supplier Security Policy, ο οργανισμός πρέπει, όπου είναι εφικτό, να λαμβάνει διασφάλιση σχετικά με τις πρακτικές δοκιμών ασφάλειας του προμηθευτή ή να συντονίζει κοινές δοκιμές. Για παράδειγμα, όταν χρησιμοποιείται Cloud Service Provider (CSP), ο οργανισμός μπορεί να βασίζεται στις αναφορές δοκιμών διείσδυσης του παρόχου ή να τον συμπεριλαμβάνει σε συνεργατικά σενάρια red-team, υπό την επιφύλαξη των συμβατικών προβλέψεων.

Για τεκμήρια DORA έτοιμα για έλεγχο, η διασφάλιση προμηθευτών πρέπει να συνδέεται με το ίδιο σενάριο κινδύνου με το TLPT. Αν ο πάροχος ταυτότητας είναι ουσιώδης για την ανάκαμψη πληρωμών, το πακέτο τεκμηρίων πρέπει να περιλαμβάνει δέουσα επιμέλεια προμηθευτών, συμβατικές απαιτήσεις ασφάλειας, όρους υποστήριξης περιστατικών, συντονισμό δοκιμών, αναφορές διασφάλισης, τεκμήρια επιπέδου υπηρεσίας, στρατηγική εξόδου και περιορισμούς δοκιμών.

Το NIS2 Article 21 έχει επίσης σημασία για παρόχους SaaS, νέφους, διαχειριζόμενων υπηρεσιών, διαχειριζόμενης ασφάλειας, κέντρων δεδομένων, CDN, υπηρεσιών εμπιστοσύνης, DNS, TLD, διαδικτυακών αγορών, αναζήτησης και κοινωνικής δικτύωσης. Απαιτεί προσέγγιση όλων των κινδύνων που καλύπτει ανάλυση κινδύνου, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή ανάπτυξη, αξιολόγηση αποτελεσματικότητας, εκπαίδευση, κρυπτογραφία, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων, MFA και ασφαλείς επικοινωνίες.

Το πρακτικό αποτέλεσμα είναι απλό: οι χρηματοοικονομικές οντότητες πρέπει να δημιουργούν ένα ενιαίο μοντέλο τεκμηρίων που ικανοποιεί πρώτα το DORA και στη συνέχεια διασταυρώνει τις προσδοκίες NIS2 όπου εμπλέκονται προμηθευτές, οντότητες ομίλου ή μη χρηματοοικονομικές ψηφιακές υπηρεσίες.

Ένα πρακτικό μητρώο τεκμηρίων TLPT της Clarysec

Υποθέστε ότι το σενάριο είναι:

«Ένας φορέας απειλής συμβιβάζει έναν λογαριασμό διαχειριστή σε πλατφόρμα υποστήριξης SaaS, μετακινείται στο περιβάλλον λειτουργιών πληρωμών, τροποποιεί τη ρύθμιση παραμέτρων και διακόπτει την επεξεργασία συναλλαγών.»

Δημιουργήστε ένα μητρώο τεκμηρίων με μία γραμμή ανά αντικείμενο τεκμηρίου. Μην περιμένετε να ολοκληρωθεί η δοκιμή. Συμπληρώστε το κατά τον σχεδιασμό, την εκτέλεση, την αποκατάσταση και το κλείσιμο.

Στη συνέχεια, χρησιμοποιήστε το Zenith Blueprint Step 13 για να προσθέσετε ιχνηλασιμότητα στο μητρώο κινδύνων και στη Δήλωση Εφαρμοσιμότητας. Κάθε στοιχείο τεκμηρίων πρέπει να συνδέεται με σενάριο κινδύνου, ιδιοκτήτη κινδύνου, επιλεγμένο έλεγχο, σχέδιο αντιμετώπισης και απόφαση υπολειπόμενου κινδύνου.

Αν ένα εύρημα σχετίζεται με αδυναμία λογισμικού, παραπέμψτε στους ελέγχους ασφαλούς ανάπτυξης και δοκιμών. Η Secure Development Policy-sme της Clarysec Secure Development Policy - SME, από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», clause 6.5.2, απαιτεί:

Οι δοκιμές πρέπει να τεκμηριώνονται με:

Αν ένα εύρημα παράγει υλικό ψηφιακής διερεύνησης, διατηρήστε την αλυσίδα επιμέλειας. Η Evidence Collection and Forensics Policy-sme της Clarysec Evidence Collection and Forensics Policy - SME, από την ενότητα «Απαιτήσεις διακυβέρνησης», clause 5.2.1, αναφέρει:

Κάθε στοιχείο ψηφιακού τεκμηρίου πρέπει να καταγράφεται με:

Αυτό είναι το σημείο που πολλές ομάδες χάνουν. Τα τεκμήρια δεν είναι μόνο οι τελικές αναφορές. Είναι το ελεγχόμενο αρχείο για το ποιος ενέκρινε, ποιος εκτέλεσε, τι συνέβη, τι ανιχνεύθηκε, τι ανακτήθηκε, τι άλλαξε, τι παραμένει εκτεθειμένο και ποιος αποδέχθηκε αυτή την έκθεση.

Πώς οι ελεγκτές εξετάζουν τα ίδια τεκμήρια TLPT

Τα τεκμήρια DORA TLPT θα διαβαστούν διαφορετικά ανάλογα με το υπόβαθρο του ελεγκτή. Η Clarysec σχεδιάζει πακέτα τεκμηρίων ώστε κάθε οπτική να βρίσκει ό,τι χρειάζεται χωρίς να αναγκάζει τις ομάδες να διπλασιάζουν την εργασία.

Το COBIT 2019 εμφανίζεται στην αναφορά διατομεακής συμμόρφωσης του Zenith Blueprint για ασφαλή εκτέλεση ελέγχων και δοκιμών, συμπεριλαμβανομένων των DSS05.03 και MEA03.04. Η σημασία δεν είναι ότι το COBIT αντικαθιστά το DORA ή το ISO 27001, αλλά ότι οι επαγγελματίες διασφάλισης τύπου ISACA θα αναζητήσουν ελεγχόμενη εκτέλεση, παρακολούθηση, αξιολόγηση και τεκμήρια συμμόρφωσης.

Η αφήγηση προς το Διοικητικό Συμβούλιο: τι πρέπει να εγκρίνει η διοίκηση

Η αναφορά προς το Διοικητικό Συμβούλιο πρέπει να αποφεύγει το τεχνικό θέατρο. Το Διοικητικό Συμβούλιο δεν χρειάζεται payloads εκμετάλλευσης. Χρειάζεται τεκμήρια κατάλληλα για λήψη αποφάσεων:

• Ποια κρίσιμη ή σημαντική λειτουργία δοκιμάστηκε;
• Ποιο σενάριο απειλής προσομοιώθηκε και γιατί;
• Λειτούργησε η ανίχνευση;
• Λειτούργησε η κλιμάκωση απόκρισης;
• Η ανάκαμψη πέτυχε τα RTO και RPO;
• Ποιοι προμηθευτές συμμετείχαν ή περιόρισαν τη δοκιμή;
• Ποιες ουσιώδεις αδυναμίες παραμένουν;
• Ποιο είναι το κόστος αποκατάστασης, ο ιδιοκτήτης και το χρονοδιάγραμμα;
• Ποιοι υπολειπόμενοι κίνδυνοι απαιτούν επίσημη αποδοχή;
• Τι θα επανελεγχθεί;

Εδώ γίνεται σημαντική η ISO 27001 Clause 5. Η Ανώτατη Διοίκηση πρέπει να διασφαλίζει ότι η πολιτική και οι στόχοι ασφάλειας πληροφοριών έχουν καθιερωθεί, ευθυγραμμίζονται με τη στρατηγική κατεύθυνση, ενσωματώνονται στις επιχειρησιακές διαδικασίες, διαθέτουν πόρους, επικοινωνούνται και βελτιώνονται συνεχώς. Οι ρόλοι και οι αρμοδιότητες πρέπει να ανατίθενται. Οι στόχοι πρέπει να είναι μετρήσιμοι όπου είναι εφικτό και να λαμβάνουν υπόψη τις εφαρμοστέες απαιτήσεις και τα αποτελέσματα αντιμετώπισης κινδύνων.

Αν το TLPT εντοπίσει ότι ο χρόνος ανάκαμψης είναι έξι ώρες έναντι επιχειρησιακού ορίου ανοχής τεσσάρων ωρών, αυτό δεν είναι απλώς μια εκκρεμότητα υποδομών. Είναι απόφαση διοίκησης που αφορά διάθεση ανάληψης κινδύνου, προϋπολογισμό, δεσμεύσεις προς πελάτες, ρυθμιστική έκθεση, συμβάσεις, αρχιτεκτονική και επιχειρησιακή ικανότητα.

Συνήθεις αστοχίες τεκμηρίων στις δοκιμές ανθεκτικότητας DORA

Οι ανασκοπήσεις της Clarysec συχνά εντοπίζουν τα ίδια κενά τεκμηρίων σε χρηματοοικονομικές οντότητες και παρόχους υπηρεσιών ΤΠΕ που προετοιμάζονται για το DORA.

Πρώτον, το πεδίο εφαρμογής του TLPT δεν αντιστοιχίζεται σε κρίσιμες ή σημαντικές λειτουργίες. Η δοκιμή μπορεί να είναι τεχνικά εντυπωσιακή, αλλά δεν αποδεικνύει την ανθεκτικότητα της επιχειρησιακής διαδικασίας που ενδιαφέρει τις ρυθμιστικές αρχές.

Δεύτερον, οι εξαρτήσεις από προμηθευτές αναγνωρίζονται αλλά δεν τεκμηριώνονται. Οι ομάδες λένε ότι ο πάροχος νέφους, το διαχειριζόμενο SOC ή η πλατφόρμα SaaS είναι εντός πεδίου εφαρμογής, αλλά λείπουν οι συμβάσεις, τα δικαιώματα ελέγχου, οι άδειες δοκιμών, οι όροι υποστήριξης περιστατικών και τα σχέδια εξόδου.

Τρίτον, οι δοκιμές δημιουργούν τεκμήρια αλλά όχι αντιμετώπιση. Τα ευρήματα παραμένουν σε αναφορά red team αντί να μετατρέπονται σε επικαιροποιήσεις μητρώου κινδύνων, αλλαγές ελέγχων, ιδιοκτήτες, ημερομηνίες, επανέλεγχο και αποφάσεις υπολειπόμενου κινδύνου.

Τέταρτον, η ανάκαμψη θεωρείται δεδομένη αντί να αποδεικνύεται. Υπάρχουν πολιτικές αντιγράφων ασφαλείας, αλλά κανείς δεν μπορεί να δείξει χρονοσημάνσεις failover, ελέγχους ακεραιότητας αποκατάστασης, επικύρωση πρόσβασης ή επιβεβαίωση από τον ιδιοκτήτη επιχειρησιακής λειτουργίας.

Πέμπτον, τα τεκμήρια ιδιωτικότητας και ψηφιακής διερεύνησης δεν ελέγχονται. Τα αρχεία καταγραφής και τα στιγμιότυπα οθόνης περιέχουν δεδομένα προσωπικού χαρακτήρα, τα τεχνουργήματα δοκιμών αποθηκεύονται σε κοινόχρηστους δίσκους, οι προσωρινοί λογαριασμοί παραμένουν ενεργοί και η αλυσίδα επιμέλειας τεκμηρίων είναι ελλιπής.

Έκτον, η αναφορά προς τη διοίκηση είναι υπερβολικά τεχνική. Η ανώτερη διοίκηση δεν μπορεί να δει αν η ανθεκτικότητα βελτιώθηκε, αν ο κίνδυνος βρίσκεται εντός των ορίων ανοχής ή ποιες επενδυτικές αποφάσεις απαιτούνται.

Κάθε ένα από αυτά τα κενά μπορεί να λυθεί αντιμετωπίζοντας το DORA TLPT ως δομημένη ροή εργασιών τεκμηρίωσης ISO 27001.

Η ολοκληρωμένη προσέγγιση της Clarysec για ανθεκτικότητα έτοιμη για έλεγχο

Η προσέγγιση της Clarysec συνδυάζει τρία επίπεδα.

Το πρώτο επίπεδο είναι ο οδικός χάρτης υλοποίησης 30 βημάτων Zenith Blueprint. Για αυτό το θέμα, το Step 13 δημιουργεί αντιμετώπιση κινδύνων και ιχνηλασιμότητα SoA, το Step 21 προστατεύει τα συστήματα κατά τις δοκιμές ελέγχου και το Step 23 επικυρώνει την ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια. Αυτά τα βήματα μετατρέπουν το TLPT από τεχνικό γεγονός σε τεκμηριωμένο κύκλο διακυβέρνησης.

Το δεύτερο επίπεδο είναι η βιβλιοθήκη πολιτικών της Clarysec. Η Security Testing and Red-Teaming Policy ορίζει τύπους δοκιμών, πεδίο εφαρμογής, κανόνες εμπλοκής, αποκατάσταση, αναφορά και συντονισμό προμηθευτών. Η Business Continuity Policy and Disaster Recovery Policy-sme θέτει προσδοκίες για ετήσιες δοκιμές BCP και DR και τεκμήρια συνέχειας έτοιμα για έλεγχο. Η Third-Party and Supplier Security Policy-sme υποστηρίζει τη διασφάλιση προμηθευτών. Η Secure Development Policy-sme διασφαλίζει ότι οι δοκιμές ασφάλειας τεκμηριώνονται. Η Evidence Collection and Forensics Policy-sme υποστηρίζει την καταγραφή τεκμηρίων και την πειθαρχία της αλυσίδας επιμέλειας.

Το τρίτο επίπεδο είναι το Zenith Controls, ο οδηγός διατομεακής συμμόρφωσης της Clarysec. Βοηθά στην αντιστοίχιση ελέγχων ISO/IEC 27002:2022 σε χαρακτηριστικά, τομείς, επιχειρησιακές ικανότητες και προσδοκίες μεταξύ πλαισίων. Για το DORA TLPT, το σημαντικότερο μοτίβο δεν είναι ένας έλεγχος. Είναι η σχέση μεταξύ δοκιμών, συνέχειας, διαχείρισης περιστατικών, διαχείρισης προμηθευτών, καταγραφής, παρακολούθησης, ασφαλούς ανάπτυξης, ανεξάρτητης ανασκόπησης και διακυβέρνησης.

Όταν αυτά τα επίπεδα λειτουργούν μαζί, το πρόβλημα του CISO το πρωί της Δευτέρας αλλάζει. Αντί για τρεις ασύνδετες ερωτήσεις από το Διοικητικό Συμβούλιο, τη ρυθμιστική αρχή και τον Εσωτερικό Έλεγχο, ο οργανισμός έχει μία ενιαία ιστορία τεκμηρίων:

«Αναγνωρίσαμε την κρίσιμη λειτουργία. Αξιολογήσαμε τον κίνδυνο ΤΠΕ. Επιλέξαμε και αιτιολογήσαμε ελέγχους. Εξουσιοδοτήσαμε και εκτελέσαμε με ασφάλεια το TLPT. Ανιχνεύσαμε, ανταποκριθήκαμε και ανακάμψαμε. Συμπεριλάβαμε προμηθευτές όπου απαιτούνταν. Τεκμηριώσαμε τεκμήρια. Αποκαταστήσαμε ευρήματα. Πραγματοποιήσαμε επανέλεγχο. Η διοίκηση ανασκόπησε και αποδέχθηκε τον εναπομένοντα κίνδυνο.»

Αυτό είναι ανθεκτικότητα έτοιμη για έλεγχο.

Επόμενα βήματα

Αν το πρόγραμμα DORA TLPT σας εξακολουθεί να οργανώνεται γύρω από αναφορές και όχι γύρω από αλυσίδες τεκμηρίων, ξεκινήστε με μια επισκόπηση τεκμηρίων της Clarysec.

Χρησιμοποιήστε το Zenith Blueprint Zenith Blueprint Step 13 για να συνδέσετε σενάρια TLPT με κινδύνους, ελέγχους και τη Δήλωση Εφαρμοσιμότητας. Χρησιμοποιήστε το Step 21 για να επαληθεύσετε ασφαλή εξουσιοδότηση, κανόνες εμπλοκής, επαναφορά, παρακολούθηση και καθαρισμό. Χρησιμοποιήστε το Step 23 για να αποδείξετε την ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια με τεκμήρια ανάκαμψης.

Στη συνέχεια, ευθυγραμμίστε τα λειτουργικά σας έγγραφα με τη Security Testing and Red-Teaming Policy της Clarysec Security Testing and Red-Teaming Policy, τη Business Continuity Policy and Disaster Recovery Policy-sme Business Continuity Policy and Disaster Recovery Policy - SME, τη Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME, τη Secure Development Policy-sme Secure Development Policy - SME και την Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy - SME.

Τέλος, χρησιμοποιήστε το Zenith Controls Zenith Controls για να αντιστοιχίσετε διατομεακά τα τεκμήρια DORA TLPT σας με ελέγχους ISO 27001, NIS2, GDPR, COBIT 2019 και προσδοκίες ελεγκτών.

Αν θέλετε η επόμενη δοκιμή ανθεκτικότητας να παράγει κάτι περισσότερο από ευρήματα, χρησιμοποιήστε την Clarysec για να τη μετατρέψετε σε τεκμηριωμένη αλυσίδα τεκμηρίων. Κατεβάστε τις εργαλειοθήκες, προγραμματίστε αξιολόγηση ετοιμότητας τεκμηρίων ή ζητήστε επισκόπηση για το πώς η Clarysec αντιστοιχίζει το DORA TLPT σε ελέγχους ISO 27001:2022 από τον σχεδιασμό έως την έγκριση από το Διοικητικό Συμβούλιο.