Τεκμήρια ελέγχου ISO 27001 για NIS2 και DORA

Είναι 08:17, Τρίτη πρωί, και ο Επικεφαλής Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης εταιρείας fintech SaaS έχει τρία μηνύματα σε εκκρεμότητα.

Το πρώτο είναι από έναν σημαντικό τραπεζικό πελάτη: «Παρακαλούμε αποστείλετε την πιο πρόσφατη έκθεση εσωτερικού ελέγχου, τα πρακτικά ανασκόπησης από τη διοίκηση, την κατάσταση των διορθωτικών ενεργειών, τη διαδικασία αναφοράς περιστατικών, το μητρώο προμηθευτών και τεκμήρια εποπτείας από το Διοικητικό Συμβούλιο.»

Το δεύτερο είναι από τον CFO: «Εμπίπτουμε στο πεδίο εφαρμογής του NIS2 ή του DORA και ποια τεκμήρια διαθέτουμε ήδη;»

Το τρίτο είναι από τον CEO: «Μπορούμε να πούμε ότι είμαστε έτοιμοι για έλεγχο;»

Η δυσάρεστη απάντηση σε πολλούς οργανισμούς δεν είναι ότι δεν γίνεται τίποτα. Είναι χειρότερη. Εργασίες ασφάλειας εκτελούνται παντού, αλλά τα τεκμήρια δεν βρίσκονται πουθενά. Υπάρχουν μέτρα ελέγχου, αλλά όχι διαδρομή ελέγχου. Υπάρχουν δελτία εργασίας, αλλά όχι σαφής σύνδεση με κινδύνους. Υπάρχουν ενημερώσεις προς την ηγεσία, αλλά όχι επίσημα αποτελέσματα ανασκόπησης από τη διοίκηση. Υπάρχουν συζητήσεις με προμηθευτές, αλλά όχι τεκμηριωμένο μητρώο προμηθευτών, ανασκόπηση συμβάσεων ή στρατηγική εξόδου που να μπορεί να υποστηριχθεί σε έλεγχο.

Ακριβώς σε αυτό το κενό ο εσωτερικός έλεγχος και η ανασκόπηση από τη διοίκηση κατά ISO/IEC 27001:2022 γίνονται κάτι περισσότερο από δραστηριότητες πιστοποίησης. Γίνονται ο επιχειρησιακός ρυθμός για NIS2, DORA, GDPR, διασφάλιση πελατών, κυβερνοασφάλιση και λογοδοσία του Διοικητικού Συμβουλίου.

Οι ομάδες SaaS, υπηρεσιών νέφους, MSP, MSSP και fintech σπάνια αποτυγχάνουν επειδή δεν έχουν δραστηριότητα ασφάλειας. Αποτυγχάνουν επειδή η δραστηριότητα είναι διάσπαρτη σε Slack, Jira, υπολογιστικά φύλλα, πύλες προμηθευτών, δελτία SOC, αρχεία προμηθειών και παρουσιάσεις προς το Διοικητικό Συμβούλιο. Μια ρυθμιστική αρχή, ένας εξωτερικός ελεγκτής ή ένας εταιρικός πελάτης δεν θέλει ηρωικές εξηγήσεις. Θέλει αντικειμενικά τεκμήρια.

Η πρακτική λύση δεν είναι να λειτουργούν ξεχωριστά προγράμματα ελέγχου για κάθε πλαίσιο. Είναι να χρησιμοποιείται το ISMS ISO 27001 ως κεντρικός μηχανισμός τεκμηρίων και στη συνέχεια τα τεκμήρια να επισημαίνονται για NIS2, DORA, GDPR και συμβατικές απαιτήσεις. Όταν γίνεται σωστά, ένας κύκλος εσωτερικού ελέγχου και μία ανασκόπηση από τη διοίκηση μπορούν να απαντήσουν σε πολλά ερωτήματα συμμόρφωσης.

Από την κόπωση των πλαισίων σε ενιαίο μοντέλο τεκμηρίων ISMS

Πολλοί CISO αντιμετωπίζουν μια εκδοχή του προβλήματος της Μαρίας. Η Μαρία ηγείται της ασφάλειας σε μια B2B εταιρεία SaaS με πελάτες στον χρηματοοικονομικό τομέα. Η ομάδα της πέρασε έλεγχο πιστοποίησης ISO/IEC 27001:2022 πριν από έξι μήνες. Το ISMS ωριμάζει, οι πολιτικές τηρούνται και οι υπεύθυνοι μέτρων ελέγχου κατανοούν τις αρμοδιότητές τους. Στη συνέχεια, ο CEO προωθεί δύο άρθρα, ένα για την Οδηγία NIS2 και ένα για το DORA, με μια σύντομη ερώτηση: «Καλυπτόμαστε;»

Η απάντηση εξαρτάται από το πεδίο εφαρμογής, τις υπηρεσίες, τους πελάτες και τις νομικές οντότητες. Όμως η επιχειρησιακή απάντηση είναι σαφής: αν η Μαρία αντιμετωπίσει το NIS2 και το DORA ως ξεχωριστά έργα συμμόρφωσης, θα δημιουργήσει διπλή εργασία, ασυνεπή τεκμήρια και κλιμακούμενη κόπωση ελέγχων. Αν τα αντιμετωπίσει ως απαιτήσεις ενδιαφερόμενων μερών εντός του ISMS, μπορεί να χρησιμοποιήσει το ISO 27001 για να τις ενσωματώσει, να τις ελέγξει και να αποδείξει την ετοιμότητα.

Το ISO/IEC 27001:2022 έχει σχεδιαστεί για αυτό. Η παράγραφος 4 απαιτεί από τον οργανισμό να κατανοεί το πλαίσιο λειτουργίας του και τις απαιτήσεις των ενδιαφερόμενων μερών, συμπεριλαμβανομένων νομικών, κανονιστικών, συμβατικών υποχρεώσεων και υποχρεώσεων που απορρέουν από εξαρτήσεις. Η παράγραφος 5 απαιτεί ηγεσία και ενσωμάτωση στις επιχειρησιακές διαδικασίες. Η παράγραφος 6 απαιτεί αξιολόγηση κινδύνων και αντιμετώπιση κινδύνων. Η παράγραφος 9 απαιτεί αξιολόγηση επιδόσεων μέσω παρακολούθησης, εσωτερικού ελέγχου και ανασκόπησης από τη διοίκηση. Η παράγραφος 10 απαιτεί βελτίωση και διορθωτική ενέργεια.

Το NIS2 και το DORA εντάσσονται φυσικά σε αυτή τη δομή.

Το NIS2 απαιτεί από τις βασικές και σημαντικές οντότητες να εφαρμόζουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας. Επίσης αναθέτει στα όργανα διοίκησης την ευθύνη να εγκρίνουν αυτά τα μέτρα, να εποπτεύουν την υλοποίησή τους και να μπορούν να θεωρηθούν υπεύθυνα για παραβάσεις. Τα ελάχιστα μέτρα του καλύπτουν ανάλυση κινδύνων, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή ανάπτυξη, χειρισμό ευπαθειών, αξιολόγηση αποτελεσματικότητας, εκπαίδευση, κρυπτογραφία, ασφάλεια Ανθρώπινου Δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων και, όπου ενδείκνυται, πολυπαραγοντική αυθεντικοποίηση ή συνεχή αυθεντικοποίηση.

Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και δημιουργεί ειδικό καθεστώς ψηφιακής επιχειρησιακής ανθεκτικότητας για χρηματοπιστωτικές οντότητες. Απαιτεί ευθύνη του οργάνου διοίκησης για τη διαχείριση κινδύνων ΤΠΕ, τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, στρατηγική ψηφιακής ανθεκτικότητας, σχέδια επιχειρησιακής συνέχειας ΤΠΕ και ανάκαμψης, δοκιμές ανθεκτικότητας, διακυβέρνηση περιστατικών ΤΠΕ και διαχείριση κινδύνου τρίτων παρόχων υπηρεσιών ΤΠΕ. Για παρόχους SaaS και υπηρεσιών νέφους που εξυπηρετούν χρηματοπιστωτικές οντότητες, το DORA μπορεί να εμφανιστεί μέσω συμβατικών υποχρεώσεων, ελέγχων πελατών και προσδοκιών διαχείρισης κινδύνου τρίτων παρόχων υπηρεσιών ΤΠΕ, ακόμη και όταν ο πάροχος δεν είναι ο ίδιος χρηματοπιστωτική οντότητα.

Το GDPR προσθέτει το επίπεδο λογοδοσίας. Όταν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία εντός του πεδίου εφαρμογής του GDPR, οι οργανισμοί πρέπει να μπορούν να αποδεικνύουν συμμόρφωση με τις αρχές προστασίας δεδομένων και με τα κατάλληλα τεχνικά και οργανωτικά μέτρα.

Το ISO 27001 δεν είναι μαγικό πιστοποιητικό συμμόρφωσης για αυτές τις υποχρεώσεις. Είναι το σύστημα διαχείρισης που μπορεί να τις οργανώνει, να τις τεκμηριώνει και να τις βελτιώνει.

Το ερώτημα του πεδίου εφαρμογής: τι αποδεικνύετε και για ποιον;

Πριν από τη δημιουργία ενός πακέτου τεκμηρίων έτοιμου για έλεγχο, η ηγεσία πρέπει να απαντήσει σε ένα βασικό ερώτημα: ποιες υποχρεώσεις εμπίπτουν στο πεδίο εφαρμογής;

Για επιχειρήσεις SaaS και υπηρεσιών νέφους, το πεδίο εφαρμογής του NIS2 μπορεί να είναι ευρύτερο από το αναμενόμενο. Το NIS2 εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες σε καθορισμένους τομείς που πληρούν όρια μεγέθους, καθώς και σε ορισμένες οντότητες υψηλού αντικτύπου ανεξαρτήτως μεγέθους. Οι σχετικοί τομείς μπορεί να περιλαμβάνουν ψηφιακή υποδομή, παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους κέντρων δεδομένων, δίκτυα διανομής περιεχομένου, παρόχους υπηρεσιών εμπιστοσύνης, παρόχους δημόσιων ηλεκτρονικών επικοινωνιών και B2B παρόχους διαχείρισης υπηρεσιών ΤΠΕ, όπως πάροχοι διαχειριζόμενων υπηρεσιών (MSPs) και πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας. Οι πάροχοι SaaS πρέπει να δίνουν ιδιαίτερη προσοχή στον τρόπο παροχής των υπηρεσιών, στους τομείς που υποστηρίζουν και στο αν επιτρέπουν διαχείριση κατ’ απαίτηση και ευρεία απομακρυσμένη πρόσβαση σε κλιμακούμενους κοινόχρηστους υπολογιστικούς πόρους.

Για παρόχους fintech και υπηρεσιών προς τον χρηματοοικονομικό τομέα, το DORA πρέπει να αναλύεται ξεχωριστά. Το DORA καλύπτει άμεσα ευρύ φάσμα χρηματοπιστωτικών οντοτήτων, συμπεριλαμβανομένων πιστωτικών ιδρυμάτων, ιδρυμάτων πληρωμών, παρόχων υπηρεσιών πληροφοριών λογαριασμού, ιδρυμάτων ηλεκτρονικού χρήματος, επιχειρήσεων επενδύσεων, παρόχων υπηρεσιών κρυπτοστοιχείων, τόπων διαπραγμάτευσης, διαχειριστών κεφαλαίων, ασφαλιστικών και αντασφαλιστικών επιχειρήσεων και παρόχων υπηρεσιών συμμετοχικής χρηματοδότησης. Οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ αποτελούν επίσης μέρος του οικοσυστήματος DORA, επειδή οι χρηματοπιστωτικές οντότητες πρέπει να διαχειρίζονται τις εξαρτήσεις ΤΠΕ, να τηρούν μητρώα συμβατικών ρυθμίσεων και να περιλαμβάνουν ειδικές συμβατικές διατάξεις για υπηρεσίες ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες.

Το NIS2 και το DORA αλληλεπιδρούν επίσης. Όταν ειδική τομεακή νομική πράξη της ΕΕ επιβάλλει ισοδύναμες απαιτήσεις διαχείρισης κινδύνων κυβερνοασφάλειας ή κοινοποίησης περιστατικών, οι αντίστοιχες διατάξεις του NIS2 ενδέχεται να μην εφαρμόζονται στις εν λόγω οντότητες για αυτούς τους τομείς. Το DORA είναι το ειδικό τομεακό καθεστώς επιχειρησιακής ανθεκτικότητας για τις χρηματοπιστωτικές οντότητες. Αυτό δεν καθιστά το NIS2 άσχετο για όλους τους γύρω παρόχους. Σημαίνει ότι το μοντέλο τεκμηρίων πρέπει να διακρίνει αν ο οργανισμός είναι χρηματοπιστωτική οντότητα που υπάγεται άμεσα στο DORA, τρίτος πάροχος υπηρεσιών ΤΠΕ που υποστηρίζει χρηματοπιστωτικές οντότητες, πάροχος SaaS εντός πεδίου εφαρμογής NIS2 ή όμιλος με πολλαπλές νομικές οντότητες και γραμμές υπηρεσιών.

Αυτή η ανάλυση πεδίου εφαρμογής ανήκει στο πλαίσιο του ISMS και στο μητρώο ενδιαφερόμενων μερών. Χωρίς αυτήν, το σχέδιο ελέγχου θα ελέγξει λάθος αντικείμενα.

Μία διαδρομή ελέγχου, πολλά ερωτήματα συμμόρφωσης

Συνηθισμένο λάθος είναι η δημιουργία ξεχωριστών πακέτων τεκμηρίων για ISO 27001, NIS2, DORA, GDPR, κυβερνοασφάλιση και ελέγχους πελατών. Αυτή η προσέγγιση δημιουργεί επανάληψη και αντικρουόμενες απαντήσεις. Καλύτερη προσέγγιση είναι ένα ενιαίο μοντέλο τεκμηρίων με πολλαπλές οπτικές.

Στο κέντρο βρίσκεται το ISMS. Γύρω του υπάρχουν πέντε οικογένειες τεκμηρίων.

Αυτή η δομή ευθυγραμμίζεται με το Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint. Στη φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, το Βήμα 25 εστιάζει στο πρόγραμμα εσωτερικών ελέγχων, το Βήμα 26 στην εκτέλεση ελέγχου, το Βήμα 28 στην ανασκόπηση από τη διοίκηση και το Βήμα 29 στη συνεχή βελτίωση.

Η καθοδήγηση του Βήματος 25 του Blueprint είναι σκόπιμα πρακτική:

«Αναπτύξτε ένα χρονοδιάγραμμα που καθορίζει πότε θα πραγματοποιούνται οι έλεγχοι και τι θα καλύπτουν.»

«Χρησιμοποιήστε το πρότυπο Σχεδίου Εσωτερικού Ελέγχου, εφόσον παρέχεται· μπορεί να είναι ένα απλό έγγραφο ή υπολογιστικό φύλλο που παραθέτει ημερομηνίες ελέγχου, πεδίο εφαρμογής και ανατεθειμένους ελεγκτές.»

Από το Zenith Blueprint, φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 25: Πρόγραμμα Εσωτερικού Ελέγχου Zenith Blueprint

Αυτό το απλό σχέδιο ελέγχου γίνεται ισχυρό όταν βασίζεται στον κίνδυνο και επισημαίνεται με υποχρεώσεις NIS2, DORA και GDPR.

Μέτρα ελέγχου ISO 27001 που θεμελιώνουν την ετοιμότητα ελέγχου

Για την ετοιμότητα ελέγχου, τρία μέτρα ελέγχου ISO/IEC 27002:2022 είναι ιδιαίτερα σημαντικά όταν ερμηνεύονται μέσω του Zenith Controls: Οδηγός διασυμμόρφωσης Zenith Controls:

• 5.4 Αρμοδιότητες της διοίκησης
• 5.35 Ανεξάρτητη ανασκόπηση της ασφάλειας πληροφοριών
• 5.36 Συμμόρφωση με πολιτικές, κανόνες και πρότυπα για την ασφάλεια πληροφοριών

Αυτά δεν είναι ξεχωριστά «μέτρα ελέγχου Zenith». Είναι μέτρα ελέγχου ISO/IEC 27002:2022 που το Zenith Controls βοηθά να χαρτογραφηθούν, να ελεγχθούν και να ερμηνευτούν σε διαφορετικά πλαίσια.

Το μέτρο ελέγχου 5.4 εξετάζει αν οι αρμοδιότητες ασφάλειας πληροφοριών έχουν ανατεθεί και είναι κατανοητές. Το μέτρο ελέγχου 5.35 εξετάζει αν η ασφάλεια πληροφοριών ανασκοπείται ανεξάρτητα. Το μέτρο ελέγχου 5.36 εξετάζει αν ο οργανισμός συμμορφώνεται με τις πολιτικές, τους κανόνες και τα πρότυπά του.

Το Zenith Controls ταξινομεί το μέτρο ελέγχου 5.35 με προσανατολισμό στη διασφάλιση:

Το μέτρο ελέγχου 5.35 του ISO/IEC 27002:2022, «Ανεξάρτητη ανασκόπηση της ασφάλειας πληροφοριών», αντιμετωπίζεται στο Zenith Controls ως «Προληπτικό, Διορθωτικό», υποστηρίζοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα μέσω των εννοιών κυβερνοασφάλειας «Identify» και «Protect», με επιχειρησιακή ικανότητα στη «Διασφάλιση Ασφάλειας Πληροφοριών». Zenith Controls

Αυτό έχει σημασία επειδή ο εσωτερικός έλεγχος είναι ταυτόχρονα προληπτικός και διορθωτικός. Προλαμβάνει τυφλά σημεία ελέγχοντας το ISMS πριν από εξωτερική εξέταση και διορθώνει αδυναμίες μέσω τεκμηριωμένων ενεργειών.

Η ευρύτερη αντιστοίχιση ξεκινά με τις απαιτήσεις NIS2 και DORA και στη συνέχεια εντοπίζει τα τεκμήρια ISO 27001 που μπορούν να τις αποδείξουν.

Η χαρτογράφηση μέτρων ελέγχου είναι χρήσιμη μόνο όταν τα τεκμήρια είναι ισχυρά. Αν το αρχείο είναι αδύναμο, καμία αντιστοίχιση δεν θα το σώσει. Αν το αρχείο είναι πλήρες, τα ίδια τεκμήρια μπορούν να απαντήσουν σε ερωτήματα τύπου ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 και COBIT 2019.

Τεκμήρια πολιτικών που η Clarysec αναμένει να διατηρούν οι οργανισμοί

Οι πολιτικές της Clarysec μετατρέπουν τη θεωρία του ISMS σε προσδοκίες τεκμηρίων.

Για ΜΜΕ, η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ απαιτεί έγκριση από την ηγεσία και πειθαρχία ελέγχων:

«Ο Γενικός Διευθυντής (GM) πρέπει να εγκρίνει ετήσιο σχέδιο ελέγχου.»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Απαιτήσεις διακυβέρνησης, παράγραφος 5.1.1 Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ

Θέτει επίσης ελάχιστη συχνότητα:

«Οι εσωτερικοί έλεγχοι ή οι ανασκοπήσεις συμμόρφωσης πρέπει να διενεργούνται τουλάχιστον ετησίως.»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Απαιτήσεις διακυβέρνησης, παράγραφος 5.2.1

Και συνδέει τα ευρήματα με τη διόρθωση και την ανασκόπηση από τη διοίκηση:

«Ο GM πρέπει να εγκρίνει σχέδιο διορθωτικών ενεργειών και να παρακολουθεί την υλοποίησή του.»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Απαιτήσεις διακυβέρνησης, παράγραφος 5.4.2

«Τα ευρήματα ελέγχου και οι ενημερώσεις κατάστασης πρέπει να περιλαμβάνονται στη διαδικασία ανασκόπησης από τη διοίκηση του ISMS.»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Απαιτήσεις διακυβέρνησης, παράγραφος 5.4.3

Η διατήρηση τεκμηρίων είναι επίσης ρητή:

«Τα τεκμήρια πρέπει να διατηρούνται για τουλάχιστον δύο έτη ή περισσότερο όταν απαιτείται από συμφωνίες πιστοποίησης ή πελατών.»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Απαιτήσεις εφαρμογής της πολιτικής, παράγραφος 6.2.4

Για μεγαλύτερους οργανισμούς, η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, που σε ορισμένο υλικό της Clarysec αναφέρεται επίσης ως P33 Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, επεκτείνει τη δομή:

«Ένα σχέδιο ελέγχου βάσει κινδύνου πρέπει να αναπτύσσεται και να εγκρίνεται ετησίως, λαμβάνοντας υπόψη:»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, Απαιτήσεις διακυβέρνησης, παράγραφος 5.2 Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης

«Ο οργανισμός πρέπει να τηρεί Μητρώο Ελέγχων που περιέχει:»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, Απαιτήσεις διακυβέρνησης, παράγραφος 5.4

«Οι εσωτερικοί έλεγχοι πρέπει να ακολουθούν τεκμηριωμένη διαδικασία που περιλαμβάνει:»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, Απαιτήσεις εφαρμογής της πολιτικής, παράγραφος 6.1.1

«Όλα τα ευρήματα πρέπει να οδηγούν σε τεκμηριωμένο CAPA που περιλαμβάνει:»

Από την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, Απαιτήσεις εφαρμογής της πολιτικής, παράγραφος 6.2.1

Η ανασκόπηση από τη διοίκηση θεμελιώνεται στην Πολιτική Ασφάλειας Πληροφοριών Πολιτική Ασφάλειας Πληροφοριών, που σε ορισμένο υλικό της Clarysec αναφέρεται επίσης ως P01 Πολιτική Ασφάλειας Πληροφοριών:

«Οι δραστηριότητες ανασκόπησης από τη διοίκηση (σύμφωνα με το ISO/IEC 27001 παράγραφος 9.3) πρέπει να διενεργούνται τουλάχιστον ετησίως και πρέπει να περιλαμβάνουν:»

Από την Πολιτική Ασφάλειας Πληροφοριών, Απαιτήσεις διακυβέρνησης, παράγραφος 5.3 Πολιτική Ασφάλειας Πληροφοριών

Αυτές οι απαιτήσεις δημιουργούν την αλυσίδα τεκμηρίων που αναμένουν οι ελεγκτές: εγκεκριμένο σχέδιο, καθορισμένη διαδικασία, μητρώο ελέγχων, ευρήματα, CAPA, διατήρηση και ανασκόπηση από την ηγεσία.

Δημιουργία πακέτου τεκμηρίων έτοιμου για έλεγχο

Ένα πακέτο τεκμηρίων έτοιμο για έλεγχο δεν είναι ένας τεράστιος φάκελος που δημιουργείται δύο ημέρες πριν από τον έλεγχο. Είναι μια ζωντανή δομή που συντηρείται καθ’ όλη τη διάρκεια του έτους.

Το πακέτο τεκμηρίων πρέπει να χαρτογραφείται στις παραγράφους ISO/IEC 27001:2022 και στα μέτρα ελέγχου του Παραρτήματος A, αλλά να επισημαίνεται ως προς τη ρυθμιστική συνάφεια. Ένα αρχείο ελέγχου προμηθευτή, για παράδειγμα, μπορεί να υποστηρίζει μέτρα ελέγχου προμηθευτών του Παραρτήματος A, την ασφάλεια εφοδιαστικής αλυσίδας NIS2 και τη διαχείριση κινδύνου τρίτων παρόχων υπηρεσιών ΤΠΕ DORA. Ένα αρχείο άσκησης επιτραπέζιου σεναρίου για περιστατικά μπορεί να υποστηρίζει τη διαχείριση περιστατικών ISO 27001, την ετοιμότητα σταδιακής κοινοποίησης NIS2 και τη διακυβέρνηση μείζονων περιστατικών που σχετίζονται με ΤΠΕ στο πλαίσιο DORA.

Πώς να εκτελέσετε τον ενοποιημένο εσωτερικό έλεγχο

Το Βήμα 26 του Zenith Blueprint δίνει έμφαση στα αντικειμενικά τεκμήρια:

«Εκτελέστε τον έλεγχο συλλέγοντας αντικειμενικά τεκμήρια για κάθε στοιχείο της λίστας ελέγχου σας.»

«Πραγματοποιήστε συνεντεύξεις με το σχετικό προσωπικό.»

«Ανασκοπήστε την τεκμηρίωση.»

«Παρατηρήστε πρακτικές.»

«Πραγματοποιήστε δειγματοληψία και δειγματοληπτικούς ελέγχους.»

Από το Zenith Blueprint, φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 26: Εκτέλεση Ελέγχου Zenith Blueprint

Αυτό ακριβώς απαιτεί η ετοιμότητα για NIS2 και DORA. Οι ρυθμιστικές αρχές και οι πελάτες δεν θα αποδεχθούν το «πιστεύουμε ότι λειτουργεί». Θα ρωτήσουν πώς το γνωρίζετε.

Ένας σωστά διενεργημένος έλεγχος εξετάζει τέσσερις διαστάσεις τεκμηρίων.

Εξετάστε ένα προσομοιωμένο συμβάν ransomware σε διακομιστή σταδιοποίησης. Ο ελεγκτής ελέγχει αν η διαδικασία απόκρισης σε περιστατικά μπορεί να καλύψει τις απαιτήσεις ISO 27001, τις προσδοκίες σταδιακής αναφοράς NIS2 και τις υποχρεώσεις πελατών DORA.

Το NIS2 διαθέτει δομή σταδιακής αναφοράς για σημαντικά περιστατικά, συμπεριλαμβανομένης έγκαιρης προειδοποίησης εντός 24 ωρών από την επίγνωση, κοινοποίησης περιστατικού εντός 72 ωρών και τελικής έκθεσης εντός ενός μήνα από την κοινοποίηση του περιστατικού. Το DORA διαθέτει δικό του πλαίσιο ταξινόμησης και αναφοράς περιστατικών που σχετίζονται με ΤΠΕ για χρηματοπιστωτικές οντότητες. Ο εσωτερικός έλεγχος πρέπει να επαληθεύει ότι τα playbooks καταγράφουν τον χρόνο επίγνωσης, τα κριτήρια σοβαρότητας, τις επηρεαζόμενες υπηρεσίες, τις ενδείξεις συμβιβασμού, τις ενέργειες μετριασμού, τη βασική αιτία, τα καθήκοντα κοινοποίησης προς πελάτες και τα δεδομένα τελικής αναφοράς.

Μετατροπή ενός ευρήματος ελέγχου σε τεκμήρια NIS2 και DORA

Ένα ρεαλιστικό εύρημα προμηθευτή δείχνει πώς πρέπει να ρέουν τα τεκμήρια.

Κατά τον εσωτερικό έλεγχο, ο ελεγκτής λαμβάνει δείγμα πέντε κρίσιμων προμηθευτών. Ένας πάροχος καταγραφής σε περιβάλλον νέφους υποστηρίζει την παρακολούθηση απάτης και τις ειδοποιήσεις ασφάλειας για την πλατφόρμα fintech. Ο προμηθευτής αναφέρεται στο αποθετήριο, αλλά δεν υπάρχει τεκμηριωμένο σχέδιο εξόδου, δεν υπάρχουν τεκμήρια ετήσιας ανασκόπησης ασφάλειας και δεν υπάρχει επιβεβαίωση ότι η σύμβαση περιλαμβάνει υποστήριξη σε περιστατικά ή δικαιώματα ελέγχου.

Ο ελεγκτής καταγράφει μη συμμόρφωση έναντι των απαιτήσεων ασφάλειας προμηθευτών και εξόδου από υπηρεσίες νέφους. Μια αδύναμη απόκριση θα έλεγε «λείπει ανασκόπηση προμηθευτή». Μια ισχυρή απόκριση δημιουργεί αλυσίδα τεκμηρίων διασυμμόρφωσης:

1. Καταγράψτε το εύρημα στην έκθεση ελέγχου, συμπεριλαμβάνοντας μέγεθος δείγματος, όνομα προμηθευτή, αναφορά σύμβασης και ελλείποντα τεκμήρια.
2. Προσθέστε καταχώριση CAPA με βασική αιτία, όπως «η λίστα ελέγχου ένταξης προμηθευτή δεν περιλάμβανε ταξινόμηση κρισιμότητας ή έναυσμα σχεδίου εξόδου».
3. Αναθέστε τον ιδιοκτήτη προμηθευτή και τον ιδιοκτήτη κινδύνου.
4. Επικαιροποιήστε το μητρώο προμηθευτών ώστε να επισημαίνει την υπηρεσία ως υποστηρικτική κρίσιμης ή σημαντικής λειτουργίας.
5. Πραγματοποιήστε αξιολόγηση κινδύνου που καλύπτει διακοπή υπηρεσίας, πρόσβαση σε δεδομένα, κίνδυνο συγκέντρωσης, εξάρτηση αναφοράς περιστατικών και συμβατικά κενά.
6. Επικαιροποιήστε το σχέδιο αντιμετώπισης κινδύνων και τη Δήλωση Εφαρμοσιμότητας όπου απαιτείται.
7. Εξασφαλίστε επικαιροποιημένο συμβατικό προσάρτημα ή τεκμηριωμένη αποδοχή κινδύνου.
8. Δημιουργήστε ή δοκιμάστε σχέδιο εξόδου.
9. Επανελέγξτε τα τεκμήρια προμηθευτή μετά την αποκατάσταση.
10. Αναφέρετε το εύρημα, τον κίνδυνο και τις ανάγκες πόρων στην ανασκόπηση από τη διοίκηση.

Αυτή η ενιαία αλυσίδα υποστηρίζει πολλαπλές υποχρεώσεις. Το NIS2 αναμένει ασφάλεια εφοδιαστικής αλυσίδας και εξέταση των ευπαθειών προμηθευτών, των πρακτικών κυβερνοασφάλειας και των διαδικασιών ασφαλούς ανάπτυξης. Το DORA απαιτεί από τις χρηματοπιστωτικές οντότητες να διαχειρίζονται τον κίνδυνο τρίτων παρόχων υπηρεσιών ΤΠΕ, να τηρούν μητρώα συμβατικών ρυθμίσεων, να αξιολογούν παρόχους πριν από τη σύναψη σύμβασης, να περιλαμβάνουν δικαιώματα ελέγχου και επιθεώρησης όπου απαιτείται, να διατηρούν δικαιώματα λύσης και να τεκμηριώνουν στρατηγικές εξόδου για υπηρεσίες ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες. Το GDPR μπορεί επίσης να είναι σχετικό αν ο προμηθευτής επεξεργάζεται δεδομένα προσωπικού χαρακτήρα.

Το αρχείο ελέγχου δεν είναι πλέον απλώς τεκμήριο συμμόρφωσης. Είναι τεκμήριο ανθεκτικότητας.

Ανασκόπηση από τη διοίκηση: εκεί όπου τα τεκμήρια γίνονται λογοδοσία

Ο εσωτερικός έλεγχος αποκαλύπτει την πραγματική κατάσταση. Η ανασκόπηση από τη διοίκηση αποφασίζει τι θα γίνει γι’ αυτήν.

Το Βήμα 28 του Zenith Blueprint περιγράφει το πακέτο εισροών ανασκόπησης από τη διοίκηση:

«Το ISO 27001 καθορίζει αρκετές υποχρεωτικές εισροές στην ανασκόπηση από τη διοίκηση. Προετοιμάστε σύντομη αναφορά ή παρουσίαση που καλύπτει αυτά τα σημεία.»

Το Blueprint παραθέτει την κατάσταση προηγούμενων ενεργειών, αλλαγές σε εξωτερικά και εσωτερικά ζητήματα, απόδοση και αποτελεσματικότητα του ISMS, περιστατικά ή μη συμμορφώσεις, ευκαιρίες βελτίωσης και ανάγκες πόρων.

Από το Zenith Blueprint, φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 28: Ανασκόπηση από τη Διοίκηση Zenith Blueprint

Για NIS2 και DORA, η ανασκόπηση από τη διοίκηση είναι το σημείο όπου η λογοδοσία σε επίπεδο Διοικητικού Συμβουλίου γίνεται ορατή. Η ανασκόπηση δεν πρέπει να λέει μόνο «συζητήθηκε η ασφάλεια». Πρέπει να δείχνει ότι η ηγεσία εξέτασε:

• Αλλαγές σε απαιτήσεις NIS2, DORA, GDPR, πελατών και συμβάσεων.
• Αλλαγές πεδίου εφαρμογής, συμπεριλαμβανομένων νέων χωρών, προϊόντων, ρυθμιζόμενων πελατών ή εξαρτήσεων ΤΠΕ.
• Αποτελέσματα εσωτερικού ελέγχου, συμπεριλαμβανομένων σημαντικών και ήσσονος σημασίας μη συμμορφώσεων.
• Κατάσταση CAPA και εκπρόθεσμων ενεργειών.
• Στόχους και μετρικές ασφάλειας.
• Τάσεις περιστατικών, παρ’ ολίγον συμβάντα και διδάγματα.
• Κινδύνους συγκέντρωσης προμηθευτών και υπηρεσιών νέφους.
• Αποτελέσματα δοκιμών επιχειρησιακής συνέχειας και αντιγράφων ασφαλείας.
• Απόδοση διαχείρισης ευπαθειών και εφαρμογής διορθώσεων.
• Ανάγκες πόρων, συμπεριλαμβανομένων ανθρώπων, εργαλείων, εκπαίδευσης και προϋπολογισμού.
• Υπολειπόμενους κινδύνους που απαιτούν επίσημη αποδοχή.
• Αποφάσεις βελτίωσης και υπόλογους ιδιοκτήτες.

Εδώ η Μαρία μπορεί να μετατρέψει μια τεχνική αναφορά σε στρατηγική διασφάλιση. Αντί να πει «εντοπίσαμε ένα κενό στη διαδικασία περιστατικών», μπορεί να πει: «Ο έλεγχος εντόπισε μία ήσσονος σημασίας μη συμμόρφωση στα κριτήρια απόφασης για αναφορά περιστατικών NIS2. Το CAPA επικαιροποιεί τη διαδικασία, προσθέτει μήτρα αποφάσεων και απαιτεί άσκηση επιτραπέζιου σεναρίου εντός 30 ημερών. Χρειαζόμαστε έγκριση της διοίκησης για νομική ανασκόπηση και χρόνο εκπαίδευσης.»

Αυτό είναι το είδος αρχείου που υποστηρίζει διακυβέρνηση, εποπτεία και τεκμηριωμένη λήψη αποφάσεων.

Διορθωτική ενέργεια: η διαφορά μεταξύ ευρήματος και ωριμότητας

Ένας εσωτερικός έλεγχος χωρίς διορθωτική ενέργεια είναι μόνο διάγνωση.

Το Βήμα 29 του Zenith Blueprint καθοδηγεί τους οργανισμούς να χρησιμοποιούν αρχείο CAPA:

«Συμπληρώστε το με κάθε ζήτημα: περιγραφή ζητήματος, βασική αιτία, διορθωτική ενέργεια, υπεύθυνο ιδιοκτήτη, καταληκτική ημερομηνία ολοκλήρωσης, κατάσταση.»

Από το Zenith Blueprint, φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 29: Συνεχής Βελτίωση Zenith Blueprint

Κάνει επίσης μια σημαντική διάκριση:

«Με όρους ελέγχου: η διόρθωση διορθώνει το σύμπτωμα, η διορθωτική ενέργεια διορθώνει την αιτία. Και τα δύο είναι σημαντικά.»

Από το Zenith Blueprint, φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 29: Συνεχής Βελτίωση

Αν λείπουν τεκμήρια επαναφοράς αντιγράφων ασφαλείας, η διόρθωση μπορεί να είναι η εκτέλεση και τεκμηρίωση δοκιμής επαναφοράς αυτή την εβδομάδα. Η διορθωτική ενέργεια είναι η αλλαγή της διαδικασίας αντιγράφων ασφαλείας ώστε οι δοκιμές επαναφοράς να προγραμματίζονται τριμηνιαία, να δημιουργούνται αυτοματοποιημένα δελτία εργασίας, να ανασκοπούνται από τον ιδιοκτήτη υπηρεσίας και να περιλαμβάνονται στις μετρικές ανασκόπησης από τη διοίκηση.

Οι ελεγκτές αναζητούν αυτή την ωριμότητα. Ένας ελεγκτής ISO 27001 ελέγχει τη συμμόρφωση προς το ISMS και τα επιλεγμένα μέτρα ελέγχου. Ένας αξιολογητής NIS2 ρωτά αν τα μέτρα διαχείρισης κινδύνων είναι αποτελεσματικά και εποπτεύονται. Ένας αξιολογητής DORA αναζητά ενσωμάτωση πλαισίου κινδύνων ΤΠΕ, δοκιμές ανθεκτικότητας, διαχείριση εξαρτήσεων από τρίτους και αποκατάσταση. Ένας αξιολογητής NIST Cybersecurity Framework 2.0 μπορεί να ρωτήσει αν λειτουργούν τα αποτελέσματα διακυβέρνησης, αναγνώρισης, προστασίας, ανίχνευσης, απόκρισης και ανάκαμψης. Ένας ελεγκτής COBIT 2019 μπορεί να εστιάσει σε στόχους διακυβέρνησης, ιδιοκτησία, δείκτες επιδόσεων και διασφάλιση.

Το ίδιο αρχείο CAPA μπορεί να ικανοποιήσει αυτές τις οπτικές αν περιλαμβάνει βασική αιτία, ιδιοκτήτη, αντίκτυπο κινδύνου, διορθωτική ενέργεια, καταληκτική ημερομηνία, τεκμήρια υλοποίησης, ανασκόπηση αποτελεσματικότητας και ορατότητα στη διοίκηση.

Οι πολλαπλές οπτικές του ελεγκτή

Διαφορετικοί ελεγκτές διαβάζουν τα ίδια τεκμήρια διαφορετικά. Το Zenith Controls βοηθά στην πρόβλεψη αυτών των ερωτήσεων λειτουργώντας ως οδηγός διασυμμόρφωσης για τα μέτρα ελέγχου ISO/IEC 27002:2022 και σχετικά πλαίσια.

Το μέτρο ελέγχου 5.36 είναι καλό παράδειγμα. Ο ελεγκτής ISO 27001 μπορεί να εστιάσει στο αν οι ανασκοπήσεις συμμόρφωσης πραγματοποιούνται και τροφοδοτούν διορθωτικές ενέργειες. Ο αξιολογητής NIS2 μπορεί να ρωτήσει αν αυτές οι ανασκοπήσεις ελέγχουν νομικά μέτρα κυβερνοασφάλειας, όχι μόνο εσωτερικούς κανόνες. Ο αξιολογητής DORA μπορεί να εστιάσει στο αν οι ανασκοπήσεις συμμόρφωσης περιλαμβάνουν κρίσιμους παρόχους ΤΠΕ και συμβατική εφαρμογή.

Γι’ αυτό τα τεκμήρια πρέπει να σχεδιάζονται εξαρχής για πολλαπλούς αναγνώστες.

Πρακτικός κύκλος 30 ημερών για ετοιμότητα ελέγχου

Αν ο CEO ρωτήσει αν ο οργανισμός μπορεί να είναι έτοιμος για έλεγχο σε 30 ημέρες, η ειλικρινής απάντηση είναι: μπορείτε να δημιουργήσετε αξιόπιστη βασική γραμμή τεκμηρίων αν η ηγεσία υποστηρίξει τον κύκλο και το πεδίο εφαρμογής είναι ρεαλιστικό.

Αυτός ο κύκλος δεν αντικαθιστά τη μακροπρόθεσμη ωριμότητα. Δημιουργεί μια τεκμηριωμένη επιχειρησιακή βασική γραμμή. Η πραγματική αξία προκύπτει όταν ο οργανισμός επαναλαμβάνει τον κύκλο τριμηνιαία ή εξαμηνιαία, όχι μόνο μία φορά τον χρόνο.

Συνηθισμένες αστοχίες τεκμηρίων που εντοπίζει η Clarysec

Οι ίδιες αδυναμίες εμφανίζονται σε ελέγχους SaaS, υπηρεσιών νέφους και fintech:

• Το σχέδιο ελέγχου υπάρχει, αλλά δεν βασίζεται στον κίνδυνο.
• Η λίστα ελέγχου ελέγχει παραγράφους ISO αλλά αγνοεί υποχρεώσεις NIS2, DORA, GDPR και πελατών.
• Υπάρχουν πρακτικά ανασκόπησης από τη διοίκηση, αλλά δεν δείχνουν αποφάσεις, κατανομή πόρων ή αποδοχή κινδύνου.
• Τα αρχεία CAPA παραθέτουν ενέργειες αλλά όχι βασική αιτία.
• Τα ευρήματα κλείνουν χωρίς επαλήθευση αποτελεσματικότητας.
• Οι ανασκοπήσεις προμηθευτών πραγματοποιούνται, αλλά οι κρίσιμοι προμηθευτές δεν διακρίνονται από προμηθευτές χαμηλού κινδύνου.
• Υπάρχουν playbooks περιστατικών, αλλά κανείς δεν μπορεί να αποδείξει ότι η ροή εργασίας αναφοράς εντός 24 ή 72 ωρών θα λειτουργούσε.
• Οι εργασίες αντιγράφων ασφαλείας είναι πράσινες, αλλά οι δοκιμές επαναφοράς δεν τεκμηριώνονται.
• Οι αναθεωρήσεις δικαιωμάτων πρόσβασης εξάγονται, αλλά οι εξαιρέσεις δεν παρακολουθούνται έως το κλείσιμο.
• Τα αρχεία καταγραφής συλλέγονται, αλλά κανείς δεν μπορεί να δείξει παρακολούθηση, κλιμάκωση ή απόκριση.
• Τα τεκμήρια αποθηκεύονται σε προσωπικούς φακέλους αντί σε ελεγχόμενο αποθετήριο.
• Οι απαιτήσεις διατήρησης είναι ασαφείς ή ασύμβατες με τις συμβάσεις πελατών.

Αυτές οι αστοχίες διορθώνονται. Απαιτούν δομημένη αρχιτεκτονική τεκμηρίων ISMS, όχι κυνήγι εγγράφων της τελευταίας στιγμής.

Πώς φαίνεται η καλή εικόνα για το Διοικητικό Συμβούλιο

Όταν ο CISO επιστρέφει στον CEO και τον CFO, η ισχυρότερη απάντηση δεν είναι «περάσαμε μια λίστα ελέγχου». Είναι:

«Έχουμε εγκεκριμένο σχέδιο ελέγχου. Πραγματοποιήσαμε εσωτερικό έλεγχο βάσει κινδύνου. Εντοπίσαμε ευρήματα με αντικειμενικά τεκμήρια. Εγκρίναμε CAPA με ιδιοκτήτες και καταληκτικές ημερομηνίες. Κλιμακώσαμε ουσιώδεις κινδύνους, περιστατικά, εξαρτήσεις προμηθευτών και ανάγκες πόρων στην ανασκόπηση από τη διοίκηση. Χαρτογραφήσαμε τα τεκμήρια σε ISO/IEC 27001:2022, NIS2, DORA και GDPR. Μπορούμε να δείξουμε τη διαδρομή ελέγχου.»

Αυτή η απάντηση αλλάζει τη συζήτηση. Δίνει στον CEO εμπιστοσύνη έναντι πελατών. Δίνει στον CFO σαφήνεια ως προς τη ρυθμιστική έκθεση. Δίνει στο Διοικητικό Συμβούλιο τεκμηριωμένο αρχείο εποπτείας. Δίνει στον CISO έναν ιεραρχημένο οδικό χάρτη αντί για σωρό ασύνδετων αιτημάτων.

Το σημαντικότερο είναι ότι μετακινεί τον οργανισμό από το θέατρο συμμόρφωσης στη λειτουργική ανθεκτικότητα.

Επόμενα βήματα με την Clarysec

Ο επόμενος έλεγχός σας δεν πρέπει να είναι αγώνας πανικού. Πρέπει να είναι ορατή απόδειξη ότι το ISMS σας λειτουργεί, η ηγεσία συμμετέχει και ο οργανισμός είναι έτοιμος για ISO 27001, NIS2, DORA, GDPR και διασφάλιση πελατών.

Η Clarysec μπορεί να σας βοηθήσει να:

• Δημιουργήσετε σχέδιο εσωτερικού ελέγχου βάσει κινδύνου χρησιμοποιώντας το Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint.
• Χαρτογραφήσετε τεκμήρια ελέγχου μέσω του Zenith Controls: Οδηγός διασυμμόρφωσης Zenith Controls.
• Υλοποιήσετε διακυβέρνηση ελέγχων για ΜΜΕ ή μεγάλες επιχειρήσεις χρησιμοποιώντας την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ ή την Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης.
• Προετοιμάσετε πακέτα ανασκόπησης από τη διοίκηση ευθυγραμμισμένα με την Πολιτική Ασφάλειας Πληροφοριών Πολιτική Ασφάλειας Πληροφοριών και τις προσδοκίες του ISO/IEC 27001:2022 παράγραφος 9.3.
• Μετατρέψετε ευρήματα σε αρχεία CAPA, αποφάσεις διοίκησης και μετρήσιμη βελτίωση.

Κατεβάστε τα toolkits της Clarysec, κλείστε αξιολόγηση ετοιμότητας ή ζητήστε demo για να μετατρέψετε τον επόμενο εσωτερικό σας έλεγχο σε τεκμήρια έτοιμα για το Διοικητικό Συμβούλιο για ISO 27001, NIS2, DORA και πέραν αυτών.