SLA αποκατάστασης ευπαθειών για NIS2 και DORA

Στις 08:17 ένα πρωινό Τρίτης στις αρχές του 2026, η Anna, επικεφαλής ασφάλειας πληροφοριών μιας ταχέως αναπτυσσόμενης fintech, λαμβάνει το πρώτο μήνυμα πριν προλάβει να τελειώσει τον καφέ της.

Το SOC έχει επισημάνει ενεργή συζήτηση για εκμετάλλευση ευπάθειας σε μια πύλη API που εξυπηρετεί πελάτες. Η ομάδα μηχανικής αναφέρει ότι η διόρθωση είναι διαθέσιμη αλλά ενέχει κίνδυνο, επειδή η πύλη βρίσκεται μπροστά από ροές εργασίας πληρωμών. Ο διευθυντής συμμόρφωσης προωθεί επίσημο αίτημα από εθνική αρμόδια αρχή που ζητά τεκμήρια για τον «χειρισμό και τη γνωστοποίηση ευπαθειών» και απόδειξη ότι η διαδικασία ήταν αποτελεσματική τους τελευταίους 12 μήνες. Το τμήμα προμηθειών προσθέτει ένα τρίτο πρόβλημα: η πύλη τελεί υπό διαχείριση από MSP και η σύμβαση αναφέρει μόνο ότι ο πάροχος θα εφαρμόζει «ενημερώσεις ασφάλειας εγκαίρως».

Μέχρι τις 09:00, αυτό δεν είναι πλέον μόνο ζήτημα εφαρμογής διορθώσεων. Είναι ζήτημα τεκμηρίων ISO/IEC 27001:2022, ζήτημα κυβερνοϋγιεινής NIS2, ζήτημα διαχείρισης κινδύνων ΤΠΕ DORA, ζήτημα διακυβέρνησης προμηθευτών και, δυνητικά, ζήτημα αναφοράς περιστατικών, εάν η εκμετάλλευση επηρεάζει τη συνέχεια υπηρεσιών ή δεδομένα προσωπικού χαρακτήρα.

Αυτό είναι το πρακτικό κενό συμμόρφωσης που θα αντιμετωπίσουν πολλοί οργανισμοί το 2026. Διαθέτουν σαρωτές, πίνακες ελέγχου, δελτία εργασίας και εργαλεία εφαρμογής διορθώσεων, αλλά δεν μπορούν να απαντήσουν με σαφήνεια στα ερωτήματα ελέγχου:

• Ποιος ενέκρινε το SLA αποκατάστασης;
• Πώς τεκμηριώνεται ότι το SLA βασίζεται στον κίνδυνο;
• Τι συμβαίνει όταν μια κρίσιμη διόρθωση υπερβαίνει την προθεσμία;
• Πώς ιεραρχούνται τα περιουσιακά στοιχεία που είναι εκτεθειμένα στο διαδίκτυο;
• Πώς δεσμεύονται οι προμηθευτές στα ίδια χρονοδιαγράμματα;
• Πού βρίσκεται το αρχείο αποδοχής κινδύνου για ένα μη διορθωμένο σύστημα;
• Ποια τεκμήρια αποδεικνύουν ότι ο έλεγχος λειτούργησε και δεν υπήρχε απλώς στα χαρτιά;

Η απάντηση δεν είναι ακόμη ένα υπολογιστικό φύλλο με καταληκτικές ημερομηνίες. Τα SLA αποκατάστασης ευπαθειών πρέπει να διαχειρίζονται ως ζωντανό σύστημα ελέγχων που συνδέει την ιδιοκτησία περιουσιακών στοιχείων, τη βαθμολόγηση ευπαθειών, τις πληροφορίες απειλών σε πραγματικό χρόνο, τη διαχείριση αλλαγών, τα SLA προμηθευτών, τη διαχείριση εξαιρέσεων, την παρακολούθηση, την αντιμετώπιση περιστατικών και την ανασκόπηση από τη διοίκηση.

Εκεί είναι χρήσιμες η Enterprise Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων (VPMP) της Clarysec, η SME Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων-sme (VPMP-SME), η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών-sme (TPSSP-SME), το Zenith Blueprint (ZB) και τα Zenith Controls (ZC). Μαζί, μετατρέπουν το «εφαρμόστε διορθώσεις γρηγορότερα» σε υπερασπίσιμη διαδικασία διακυβέρνησης που αντέχει σε έλεγχο τύπου ISO, NIS2, DORA, GDPR, NIST και ISACA.

Γιατί τα SLA αποκατάστασης ευπαθειών έγιναν τεκμήρια επιπέδου διοικητικού συμβουλίου

Η αποκατάσταση ευπαθειών αντιμετωπιζόταν παλαιότερα ως δείκτης υγιεινής IT. Το 2026, προσεγγίζει περισσότερο μια ρυθμιζόμενη δέσμευση λειτουργικής ανθεκτικότητας.

Το NIS2 καθιστά την κυβερνοασφάλεια ζήτημα λογοδοσίας της διοίκησης. Οι ουσιώδεις και σημαντικές οντότητες πρέπει να διαθέτουν όργανα διοίκησης που εγκρίνουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, εποπτεύουν την εφαρμογή τους και λαμβάνουν εκπαίδευση ώστε να κατανοούν τους κινδύνους και τον αντίκτυπο των πρακτικών ασφάλειας στις υπηρεσίες. Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων της ανάλυσης κινδύνου, του χειρισμού περιστατικών, της επιχειρησιακής συνέχειας, της ασφάλειας εφοδιαστικής αλυσίδας, της ασφαλούς απόκτησης και συντήρησης, του χειρισμού και της γνωστοποίησης ευπαθειών, της κυβερνοϋγιεινής, της εκπαίδευσης, του ελέγχου πρόσβασης, της διαχείρισης περιουσιακών στοιχείων και της αυθεντικοποίησης.

Για τις χρηματοοικονομικές οντότητες, το DORA αποτελεί το εξειδικευμένο καθεστώς λειτουργικής ανθεκτικότητας. Απαιτεί ρυθμίσεις διακυβέρνησης και ελέγχου για τον κίνδυνο ΤΠΕ, με το όργανο διοίκησης να ορίζει, να εγκρίνει, να εποπτεύει και να παραμένει υπεύθυνο για τη διαχείριση κινδύνων ΤΠΕ. Απαιτεί επίσης αναγνώριση περιουσιακών στοιχείων ΤΠΕ και εξαρτήσεων, ελέγχους προστασίας και πρόληψης όπως η εφαρμογή διορθώσεων και η διαχείριση αλλαγών, διαχείριση περιστατικών σχετιζόμενων με ΤΠΕ, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας και διαχείριση κινδύνων ΤΠΕ τρίτων μερών.

Ο πρακτικός αντίκτυπος είναι σημαντικός. Η υπέρβαση προθεσμίας εφαρμογής διόρθωσης μπορεί να υποδηλώνει αστοχία σε:

• Διακυβέρνηση, εάν η διοίκηση δεν έχει εγκρίνει SLA βάσει κινδύνου
• Διαχείριση περιουσιακών στοιχείων, εάν ο ιδιοκτήτης του επηρεαζόμενου συστήματος είναι άγνωστος
• Διαχείριση αλλαγών, εάν η επείγουσα εφαρμογή διορθώσεων δεν ελέγχεται
• Διαχείριση προμηθευτών, εάν τα χρονοδιαγράμματα του παρόχου είναι ασαφή
• Αντιμετώπιση περιστατικών, εάν οι ενδείξεις εκμετάλλευσης δεν αξιολογούνται αρχικά
• Διαχείριση τεκμηρίων, εάν τα δελτία εργασίας και τα αρχεία καταγραφής δεν μπορούν να αποδείξουν το κλείσιμο
• Αντιμετώπιση κινδύνων, εάν οι εξαιρέσεις δεν εγκρίνονται και δεν ανασκοπούνται

Το ISO/IEC 27001:2022 παρέχει τη ραχοκοκαλιά του συστήματος διαχείρισης. Οι ρήτρες 4.1 έως 4.3 απαιτούν από τους οργανισμούς να κατανοούν εσωτερικά και εξωτερικά ζητήματα, απαιτήσεις ενδιαφερόμενων μερών, νομικές και συμβατικές υποχρεώσεις και διεπαφές με άλλους οργανισμούς. Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν αξιολόγηση κινδύνων, αντιμετώπιση κινδύνων, Δήλωση Εφαρμοσιμότητας και έγκριση του υπολειπόμενου κινδύνου από τον ιδιοκτήτη κινδύνου. Οι ρήτρες 9.1, 9.2, 9.3, 10.1 και 10.2 απαιτούν παρακολούθηση, εσωτερικό έλεγχο, ανασκόπηση από τη διοίκηση, συνεχή βελτίωση, διορθωτικές ενέργειες και διατηρούμενα τεκμηριωμένα στοιχεία.

Με απλά λόγια, εάν θέλετε τα SLA αποκατάστασης ευπαθειών να είναι έτοιμα για έλεγχο, πρέπει να αποτελούν μέρος του ISMS και όχι απλώς δείκτη DevOps.

Το μοντέλο SLA που αναμένουν να δουν οι ελεγκτές

Ένα SLA αποκατάστασης ευπαθειών πρέπει να απαντά σε τρία ερωτήματα:

1. Πόσο γρήγορα πρέπει να ενεργήσουμε;
2. Ποιος λογοδοτεί;
3. Ποια τεκμήρια αποδεικνύουν το αποτέλεσμα;

Η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων ορίζει ένα πρακτικό σημείο εκκίνησης για χρονοδιαγράμματα αποκατάστασης βάσει κινδύνου:

Ο οργανισμός πρέπει να ταξινομεί όλες τις εντοπισμένες ευπάθειες με χρήση τυποποιημένης μεθοδολογίας (π.χ. CVSS v3.x) και να εφαρμόζει χρονοδιαγράμματα αποκατάστασης ευθυγραμμισμένα με την επιχειρησιακή κρισιμότητα: 5.2.1 Critical (CVSS 9.0-10.0): Άμεση ανασκόπηση· μέγιστη προθεσμία εφαρμογής διόρθωσης 72 ώρες. 5.2.2 High (7.0-8.9): Απόκριση εντός 48 ωρών· προθεσμία εφαρμογής διόρθωσης 7 ημερολογιακές ημέρες. 5.2.3 Medium (4.0-6.9): Απόκριση εντός 5 ημερών· προθεσμία εφαρμογής διόρθωσης 30 ημερολογιακές ημέρες. 5.2.4 Low (<4.0): Απόκριση εντός 10 ημερών· προθεσμία εφαρμογής διόρθωσης 60 ημερολογιακές ημέρες.

Η ρήτρα αυτή είναι ισχυρή επειδή διαχωρίζει τον χρόνο απόκρισης από την προθεσμία εφαρμογής διόρθωσης. Μια υψηλή ευπάθεια δεν πρέπει να παραμένει αθέατη για έξι ημέρες και να διορθώνεται την έβδομη. Το ρολόι απόκρισης επιβεβαιώνει την αρχική αξιολόγηση, την ιδιοκτησία, την εκτίμηση αντικτύπου και τον σχεδιασμό αποκατάστασης. Η προθεσμία εφαρμογής διόρθωσης επιβεβαιώνει το τεχνικό κλείσιμο ή την εγκεκριμένη εξαίρεση.

Για μικρότερους οργανισμούς, η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων-sme χρησιμοποιεί απλούστερη, αλλά και πάλι ελέγξιμη, διατύπωση:

Οι κρίσιμες διορθώσεις πρέπει να εφαρμόζονται εντός 3 ημερών από τη διάθεσή τους, ιδίως για συστήματα εκτεθειμένα στο διαδίκτυο

Και για το ευρύτερο περιβάλλον διορθώσεων:

Όλες οι άλλες διορθώσεις πρέπει να εφαρμόζονται εντός 30 ημερών, εκτός εάν τεκμηριώνεται έγκυρη εξαίρεση

Το ζητούμενο δεν είναι κάθε οργανισμός να χρησιμοποιεί πανομοιότυπες προθεσμίες. Το ISO/IEC 27001:2022, το NIS2 και το DORA υποστηρίζουν την αναλογικότητα. Το ζητούμενο είναι τα SLA αποκατάστασης να ορίζονται, να εγκρίνονται, να βασίζονται στον κίνδυνο, να παρακολουθούνται και να τεκμηριώνονται.

Εδώ αποτυγχάνουν πολλές εταιρείες. Ορίζουν το SLA αλλά δεν ορίζουν τα τεκμήρια. Από την οπτική του ελεγκτή, μια πολιτική χωρίς επιχειρησιακά αρχεία είναι υπόσχεση, όχι έλεγχος.

Η ιδιοκτησία των περιουσιακών στοιχείων είναι η κρυφή εξάρτηση

Ένας σαρωτής μπορεί να σας πει ότι υπάρχει ένα CVE σε έναν διακομιστή. Δεν μπορεί να σας πει αν ο διακομιστής υποστηρίζει κρίσιμη διαδικασία πληρωμών, αποθηκεύει δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών, συνδέεται με πάροχο εκκαθάρισης ή έχει προγραμματιστεί για παροπλισμό.

Το πλαίσιο αυτό προκύπτει από τη διαχείριση περιουσιακών στοιχείων, την ταξινόμηση δεδομένων, το αποθετήριο προμηθευτών και την αξιολόγηση κινδύνων.

Το ISO/IEC 27001:2022 Annex A control 8.8, Management of technical vulnerabilities, είναι κεντρικό, αλλά δεν λειτουργεί μεμονωμένα. Εξαρτάται σε μεγάλο βαθμό από τη διαχείριση διαμόρφωσης, τη διαχείριση αλλαγών, την παρακολούθηση προμηθευτών, τη διακυβέρνηση νέφους, την καταγραφή, την παρακολούθηση και την αντιμετώπιση κινδύνων.

Το NIST CSF 2.0 εκφράζει το ίδιο πρόβλημα σε γλώσσα αποτελεσμάτων. Η λειτουργία GOVERN αναμένει οι νομικές, κανονιστικές και συμβατικές απαιτήσεις κυβερνοασφάλειας να είναι κατανοητές και υπό διαχείριση, η διάθεση ανάληψης κινδύνου και τα όρια ανοχής να τεκμηριώνονται, οι ρόλοι και οι πόροι να ανατίθενται και οι πολιτικές κυβερνοασφάλειας να θεσπίζονται, να εφαρμόζονται, να ανασκοπούνται και να επικαιροποιούνται. Τα αποτελέσματα IDENTIFY περιλαμβάνουν απογραφές υλικού, λογισμικού, υπηρεσιών, συστημάτων, δεδομένων και κύκλου ζωής, μαζί με αναγνώριση ευπαθειών, ανάλυση κινδύνου, διαχείριση εξαιρέσεων και διαδικασίες γνωστοποίησης ευπαθειών.

Στο σενάριο της Τρίτης το πρωί για την Anna, το πρώτο τεχνικό ερώτημα είναι «πού βρίσκεται το ευάλωτο στοιχείο;». Το πρώτο ερώτημα διακυβέρνησης είναι «ποια υπηρεσία και ποιον κίνδυνο επηρεάζει;».

Το Zenith Blueprint, φάση διαχείρισης κινδύνων, Step 13: Risk Treatment Planning and Statement of Applicability, το αντιμετωπίζει συνδέοντας κινδύνους με ελέγχους, ιδιοκτήτες και χρονοδιαγράμματα:

Επίσης, αναθέστε έναν Ιδιοκτήτη και ένα Χρονοδιάγραμμα για κάθε ενέργεια (ενδεχομένως σε ξεχωριστή στήλη ή στα σχόλια). Π.χ. «Ιδιοκτήτης: Υπεύθυνος Πληροφορικής, Χρονοδιάγραμμα: έως το πρώτο τρίμηνο 2025». Αυτό το καθιστά πραγματικό σχέδιο.

Αυτό ακριβώς απαιτεί η αποκατάσταση ευπαθειών. Ένα εύρημα χωρίς ιδιοκτήτη γίνεται θόρυβος στις εκκρεμότητες. Ένα εύρημα με ιδιοκτήτη, χρονοδιάγραμμα, απόφαση αντιμετώπισης κινδύνου και διαδρομή τεκμηρίων γίνεται ελέγξιμος έλεγχος.

Πώς τα Zenith Controls χαρτογραφούν τις σχέσεις των ελέγχων

Τα Zenith Controls αντιμετωπίζουν το ISO/IEC 27002:2022 control 8.8, Management of technical vulnerabilities, ως προληπτικό έλεγχο που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Το συνδέουν με τις έννοιες κυβερνοασφάλειας Identify και Protect, την επιχειρησιακή ικανότητα διαχείρισης απειλών και ευπαθειών και τους τομείς ασφάλειας της διακυβέρνησης, του οικοσυστήματος, της προστασίας και της άμυνας.

Αυτό έχει σημασία επειδή τα SLA αποκατάστασης δεν είναι μόνο μηχανισμός προστασίας. Είναι επίσης μηχανισμός διακυβέρνησης και μηχανισμός οικοσυστήματος. Η έκθεσή σας διαμορφώνεται από προμηθευτές, πλατφόρμες νέφους, διαχειριζόμενες υπηρεσίες, στοιχεία ανοικτού κώδικα και εξαρτήσεις εκτεθειμένες στο διαδίκτυο.

Τα Zenith Controls χαρτογραφούν το 8.8 σε διάφορους υποστηρικτικούς ελέγχους:

Τα Zenith Controls συνδέουν επίσης τη διαχείριση ευπαθειών με το ISO/IEC 27005:2024, ιδίως με την αναγνώριση ευπαθειών και τα σενάρια κινδύνου που αφορούν μη διορθωμένα συστήματα. Αυτό ενισχύει το επιχείρημα ότι οι προθεσμίες εφαρμογής διορθώσεων πρέπει να βασίζονται στον κίνδυνο και όχι να είναι αυθαίρετες. Συνδέει επίσης την παρακολούθηση προμηθευτών με το ISO/IEC 27036-4:2016 για επίπεδα ασφάλειας συμφωνιών υπηρεσιών νέφους και με το ISO/IEC 20000-1:2018 για σχεδιασμό παράδοσης υπηρεσιών και διαχείριση αλλαγών.

Αυτή η διαπροτυπική δομή έχει σημασία κατά τον έλεγχο. Εάν ένας οργανισμός δηλώσει ότι «οι κρίσιμες ευπάθειες διορθώνονται εντός 72 ωρών», ο ελεγκτής θα ελέγξει εάν η δήλωση αυτή υποστηρίζεται από αξιολόγηση κινδύνου, ταξινόμηση περιουσιακών στοιχείων, υποχρεώσεις προμηθευτών, αρχεία αλλαγών και τεκμήρια παρακολούθησης.

Κυβερνοϋγιεινή NIS2: από τον χειρισμό ευπαθειών στις διορθωτικές ενέργειες

Το NIS2 Article 21 απαιτεί προσέγγιση όλων των κινδύνων για τα δίκτυα και τα πληροφοριακά συστήματα. Για τα SLA αποκατάστασης ευπαθειών, αρκετά στοιχεία του Article 21 είναι άμεσα συναφή:

• Ανάλυση κινδύνου και πολιτικές ασφάλειας πληροφοριακών συστημάτων
• Χειρισμός περιστατικών
• Επιχειρησιακή συνέχεια και διαχείριση κρίσεων
• Ασφάλεια εφοδιαστικής αλυσίδας
• Ασφαλής απόκτηση, ανάπτυξη και συντήρηση, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών
• Διαδικασίες αξιολόγησης της αποτελεσματικότητας της κυβερνοασφάλειας
• Βασική κυβερνοϋγιεινή και εκπαίδευση
• Έλεγχος πρόσβασης και διαχείριση περιουσιακών στοιχείων
• Πολυπαραγοντική αυθεντικοποίηση ή συνεχής αυθεντικοποίηση όπου ενδείκνυται

Το NIS2 Article 20 καθιστά τα όργανα διοίκησης υπόλογα για την έγκριση και την εποπτεία των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας. Αυτό σημαίνει ότι οι μετρικές αποκατάστασης ευπαθειών δεν μπορούν να παραμένουν μόνο σε πίνακα ελέγχου της ομάδας μηχανικής. Πρέπει να εμφανίζονται σε αναφορές προς τη διοίκηση, πακέτα επιτροπής κινδύνων ή αρχεία ανασκόπησης από τη διοίκηση του ISMS.

Το Article 21 αναμένει επίσης από τις οντότητες που εντοπίζουν μη συμμόρφωση με τα απαιτούμενα μέτρα να λαμβάνουν διορθωτικές ενέργειες χωρίς αδικαιολόγητη καθυστέρηση. Η φράση αυτή έχει σημασία. Εάν ο πίνακας ελέγχου σας εμφανίζει εκπρόθεσμες κρίσιμες ευπάθειες, τα τεκμήρια συμμόρφωσης δεν πρέπει να σταματούν στο «το γνωρίζουμε». Πρέπει να δείχνουν κλιμάκωση, ανασκόπηση κινδύνου, ορατότητα από τη διοίκηση, διορθωτικές ενέργειες και επανεξέταση.

Το NIS2 Article 23 προσθέτει μια ακόμη διάσταση. Εάν η εκμετάλλευση μιας μη διορθωμένης ευπάθειας προκαλεί ή μπορεί να προκαλέσει σοβαρή διατάραξη λειτουργίας, οικονομική απώλεια ή ζημία σε άλλα πρόσωπα, μπορεί να καταστεί σημαντικό περιστατικό. Ο κύκλος ζωής αναφοράς περιλαμβάνει έγκαιρη προειδοποίηση εντός 24 ωρών από τη στιγμή που γίνεται αντιληπτό το σημαντικό περιστατικό, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες αναφορές κατόπιν αιτήματος και τελική αναφορά εντός ενός μήνα από την κοινοποίηση του περιστατικού. Η τελική αυτή αναφορά πρέπει να περιλαμβάνει σοβαρότητα, αντίκτυπο, πιθανή ανάλυση βασικής αιτίας, μετριασμούς και διασυνοριακό αντίκτυπο, όπου εφαρμόζεται.

Επομένως, η διαδικασία SLA πρέπει να συνδέεται με την αντιμετώπιση περιστατικών. Μια κρίσιμη ευπάθεια με τεκμήρια ενεργής εκμετάλλευσης πρέπει να ενεργοποιεί αρχική αξιολόγηση ασφάλειας, παρακολούθηση, διατήρηση τεκμηρίων και αξιολόγηση υποχρέωσης αναφοράς, όχι απλώς ένα συνήθες δελτίο εργασίας διόρθωσης.

Κίνδυνος ΤΠΕ DORA: τα χρονοδιαγράμματα αποκατάστασης ως τεκμήρια ανθεκτικότητας

Για τις χρηματοοικονομικές οντότητες, το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και θεσπίζει ενιαίες απαιτήσεις για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά μειζόνων περιστατικών σχετιζόμενων με ΤΠΕ, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, την ανταλλαγή πληροφοριών και τη διαχείριση κινδύνων ΤΠΕ τρίτων μερών. Αντιμετωπίζεται ως η ειδική ανά τομέα νομική πράξη της ΕΕ για τις καλυπτόμενες χρηματοοικονομικές οντότητες που προσδιορίζονται βάσει των εθνικών κανόνων NIS2.

Το λειτουργικό μοντέλο του DORA προσεγγίζει ένα ολοκληρωμένο ISMS. Τα Articles 5 και 6 απαιτούν διακυβέρνηση, πολιτικές, διαδικασίες, εργαλεία, ετήσια ή περιοδική ανασκόπηση, έλεγχο, αποκατάσταση κρίσιμων ευρημάτων ελέγχου και στρατηγική ψηφιακής επιχειρησιακής ανθεκτικότητας. Το Article 8 απαιτεί αναγνώριση και απογραφή επιχειρησιακών λειτουργιών που υποστηρίζονται από ΤΠΕ, πληροφοριακών περιουσιακών στοιχείων, περιουσιακών στοιχείων ΤΠΕ, εξαρτήσεων, διεργασιών τρίτων μερών και κινδύνων ΤΠΕ παλαιού τύπου. Το Article 9 απαιτεί ελέγχους προστασίας και πρόληψης, συμπεριλαμβανομένης της εφαρμογής διορθώσεων και της διαχείρισης αλλαγών. Τα Articles 11 και 12 απαιτούν συνέχεια, απόκριση, ανάκαμψη, αντίγραφα ασφαλείας, αποκατάσταση και στόχους ανάκαμψης.

Τα DORA Articles 17 έως 19 απαιτούν διαδικασία διαχείρισης περιστατικών σχετιζόμενων με ΤΠΕ η οποία ανιχνεύει, διαχειρίζεται, καταγράφει, ταξινομεί, κλιμακώνει, αναφέρει, επικοινωνεί, αναλύει τη βασική αιτία και αποκαθιστά ασφαλείς λειτουργίες. Τα Articles 24 έως 26 απαιτούν δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, συμπεριλαμβανομένων κατάλληλων δοκιμών εργαλείων και συστημάτων ΤΠΕ, αξιολογήσεων ευπαθειών, αξιολογήσεων ασφάλειας δικτύων, αναλύσεων αποκλίσεων, ανασκοπήσεων πηγαίου κώδικα όπου είναι εφικτό, δοκιμών διείσδυσης και δοκιμών διείσδυσης καθοδηγούμενων από απειλές για ορισμένες χρηματοοικονομικές οντότητες. Τα Articles 28 και 30 απαιτούν διαχείριση κινδύνων ΤΠΕ τρίτων μερών, μητρώα συμβάσεων υπηρεσιών ΤΠΕ, δέουσα επιμέλεια, δικαιώματα ελέγχου και επιθεώρησης, επίπεδα υπηρεσιών, συνδρομή παρόχου κατά τη διάρκεια περιστατικών, δικαιώματα καταγγελίας και ρυθμίσεις εξόδου.

Για τα SLA αποκατάστασης, το DORA αλλάζει τις προσδοκίες τεκμηρίων με τρεις τρόπους.

Πρώτον, τα ευρήματα ευπαθειών από δοκιμές πρέπει να τροφοδοτούν μια ιεραρχημένη διαδικασία αποκατάστασης. Μια αναφορά σάρωσης δεν αρκεί.

Δεύτερον, η αποκατάσταση κρίσιμων ευρημάτων πρέπει να παρακολουθείται μέσω διακυβέρνησης και ελέγχου. Το DORA αναμένει επίσημη αποκατάσταση κρίσιμων ευρημάτων ελέγχου για μη πολύ μικρές επιχειρήσεις.

Τρίτον, οι πάροχοι ΤΠΕ τρίτων μερών πρέπει να δεσμεύονται με μετρήσιμες υποχρεώσεις. Εάν ο πάροχος cloud, SaaS ή MSP ελέγχει το παράθυρο εφαρμογής διορθώσεων, η σύμβαση και το μητρώο σας πρέπει να δείχνουν πώς τα χρονοδιαγράμματα αποκατάστασης του παρόχου υποστηρίζουν τις υποχρεώσεις ανθεκτικότητάς σας.

Η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων το αντιμετωπίζει άμεσα:

Εφαρμογή διορθώσεων από τρίτα μέρη και εποπτεία κινδύνου SaaS 6.6.1 Όλα τα συστήματα τρίτων μερών (SaaS, PaaS, υπό διαχείριση MSP) πρέπει να αποδεικνύουν επαρκείς ελέγχους διαχείρισης ευπαθειών και διορθώσεων. 6.6.2 Τα SLA προμηθευτών πρέπει να περιλαμβάνουν χρονικά πλαίσια αποκατάστασης ισοδύναμα με τα εσωτερικά καθορισμένα όρια βάσει κρισιμότητας.

Η ρήτρα αυτή είναι συχνά η ελλείπουσα γέφυρα μεταξύ των εσωτερικών τεκμηρίων ISO και της εποπτείας προμηθευτών DORA.

GDPR: όταν οι καθυστερήσεις διορθώσεων γίνονται αστοχίες λογοδοσίας για δεδομένα προσωπικού χαρακτήρα

Το GDPR δεν είναι πρότυπο διαχείρισης ευπαθειών, αλλά αλλάζει τις συνέπειες μιας αστοχίας εφαρμογής διορθώσεων.

Το GDPR Article 5 απαιτεί τα δεδομένα προσωπικού χαρακτήρα να υποβάλλονται σε ασφαλή επεξεργασία και απαιτεί από τον υπεύθυνο επεξεργασίας να μπορεί να αποδεικνύει τη συμμόρφωση. Το Article 32 απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση επιπέδου ασφάλειας ανάλογου προς τον κίνδυνο. Όταν μη διορθωμένα συστήματα επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, ιδίως δεδομένα ταυτότητας, χρηματοοικονομικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, δεδομένα απασχόλησης ή πληροφορίες KYC, τα SLA αποκατάστασης καθίστανται μέρος της λογοδοσίας για την ασφάλεια της επεξεργασίας.

Μια καθυστερημένη διόρθωση μπορεί να είναι υπερασπίσιμη εάν ο κίνδυνος αξιολογήθηκε, εφαρμόστηκαν αντισταθμιστικοί έλεγχοι και ο υπολειπόμενος κίνδυνος έγινε αποδεκτός από το κατάλληλο πρόσωπο. Είναι πολύ πιο δύσκολο να υποστηριχθεί εάν η ευπάθεια ήταν εκπρόθεσμη, εκτεθειμένη στο διαδίκτυο και χωρίς ιδιοκτήτη.

Τα Zenith Controls χαρτογραφούν τη διαχείριση ευπαθειών στα GDPR Articles 32 και 5(1)(f), επειδή η έγκαιρη εφαρμογή διορθώσεων μειώνει τους κινδύνους για την εμπιστευτικότητα και την ακεραιότητα των δεδομένων προσωπικού χαρακτήρα. Χαρτογραφούν επίσης τη διαχείριση αλλαγών στο GDPR Article 24 και Article 32, επειδή οι αλλαγές σε συστήματα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να αξιολογούνται ως προς τον κίνδυνο, να εγκρίνονται, να τεκμηριώνονται και να ανασκοπούνται.

Το μάθημα συμμόρφωσης είναι σαφές: εάν εμπλέκονται δεδομένα προσωπικού χαρακτήρα, τα τεκμήρια εφαρμογής διορθώσεων πρέπει να περιλαμβάνουν το πλαίσιο των δεδομένων. Οι ελεγκτές και οι ρυθμιστικές αρχές δεν θα ρωτήσουν μόνο «διορθώθηκε;», αλλά «ποια δεδομένα εκτέθηκαν σε κίνδυνο, για πόσο διάστημα και ποιοι έλεγχοι μείωσαν αυτόν τον κίνδυνο;».

Πρακτική ροή εργασίας Clarysec για τεκμήρια SLA έτοιμα για έλεγχο

Μια ώριμη διαδικασία αποκατάστασης ευπαθειών δεν ξεκινά όταν ένας ελεγκτής ζητήσει αρχεία. Σχεδιάζεται ώστε να παράγει αρχεία κάθε μήνα.

Βήμα 1: Εγκρίνετε την πολιτική SLA

Ξεκινήστε με την Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων ή την Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων-sme, ανάλογα με το λειτουργικό σας μοντέλο. Προσαρμόστε τα όρια SLA στη διάθεση ανάληψης κινδύνου, το κανονιστικό πεδίο εφαρμογής, την κρισιμότητα υπηρεσιών, την ευαισθησία δεδομένων και τους τεχνικούς περιορισμούς σας. Διασφαλίστε έγκριση από τον CISO, την επιτροπή κινδύνων ή το όργανο διοίκησης.

Για επιχειρησιακά περιβάλλοντα, χρησιμοποιήστε CVSS, κρισιμότητα περιουσιακών στοιχείων, εκμεταλλευσιμότητα, έκθεση στο διαδίκτυο, ευαισθησία δεδομένων και επιχειρηματικό αντίκτυπο. Για SMEs, κρατήστε το μοντέλο απλό αλλά ρητό: κρίσιμες διορθώσεις εντός τριών ημερών, άλλες διορθώσεις εντός 30 ημερών, εκτός εάν υπάρχει έγκυρη εξαίρεση.

Βήμα 2: Χαρτογραφήστε τα περιουσιακά στοιχεία σε ιδιοκτήτες και κρίσιμες υπηρεσίες

Κάθε εύρημα ευπάθειας πρέπει να αντιστοιχίζεται σε:

• Όνομα περιουσιακού στοιχείου και μοναδικό αναγνωριστικό
• Επιχειρησιακή υπηρεσία ή εφαρμογή
• Ιδιοκτήτη συστήματος
• Τεχνικό ιδιοκτήτη
• Ταξινόμηση δεδομένων
• Έκθεση στο διαδίκτυο
• Εξάρτηση από προμηθευτή, εφόσον εφαρμόζεται
• Κρισιμότητα της υποστηριζόμενης λειτουργίας

Αυτό υποστηρίζει την ιδιοκτησία κινδύνου κατά ISO/IEC 27001:2022, τη διαχείριση περιουσιακών στοιχείων NIS2, την απογραφή περιουσιακών στοιχείων και εξαρτήσεων ΤΠΕ DORA και τα αποτελέσματα IDENTIFY του NIST CSF.

Βήμα 3: Αξιολογήστε αρχικά την ευπάθεια

Δημιουργήστε δελτίο εργασίας για κάθε εύρημα ή ομαδοποιημένο σύνολο ευρημάτων. Συμπεριλάβετε βαθμολογία CVSS, σαρωτή προέλευσης, επηρεαζόμενο περιουσιακό στοιχείο, κατάσταση εκμετάλλευσης, πληροφορίες απειλών σε πραγματικό χρόνο, επιχειρησιακή κρισιμότητα και απαιτούμενο SLA. Εάν υπάρχει υποψία εκμετάλλευσης, συνδέστε το δελτίο εργασίας με αξιολόγηση περιστατικού.

Βήμα 4: Εκτελέστε μέσω διαχείρισης αλλαγών

Η εφαρμογή διορθώσεων είναι αλλαγή. Χρησιμοποιήστε πρότυπη αλλαγή για τακτικές ενημερώσεις και επείγουσα αλλαγή για κρίσιμες ενεργά εκμεταλλευόμενες ευπάθειες. Συμπεριλάβετε τεκμήρια δοκιμών, έγκριση, χρονοσήμανση υλοποίησης, σχέδιο επαναφοράς και επικύρωση μετά την αλλαγή.

Αυτό αντιστοιχεί στη σχέση των Zenith Controls μεταξύ 8.8 και 8.32, όπου η εφαρμογή διορθώσεων διέπεται από τη διαχείριση αλλαγών ώστε να ισορροπεί η επείγουσα ανάγκη με τη λειτουργική σταθερότητα.

Βήμα 5: Επικυρώστε το κλείσιμο

Μην κλείνετε δελτία εργασίας μόνο με βάση την ένδειξη «η διόρθωση εγκαταστάθηκε». Απαιτήστε επικύρωση μέσω επανασάρωσης, επιβεβαίωσης έκδοσης, επαλήθευσης διαμόρφωσης ή επιβεβαίωσης αντισταθμιστικού ελέγχου. Όταν η διόρθωση δεν μπορεί να εφαρμοστεί, ανοίξτε εξαίρεση.

Βήμα 6: Καταγράψτε εξαιρέσεις και υπολειπόμενο κίνδυνο

Η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων ορίζει το απαιτούμενο περιεχόμενο εξαίρεσης:

Τα αιτήματα εξαίρεσης πρέπει να περιλαμβάνουν: 7.2.1 Επιχειρησιακή αιτιολόγηση για την καθυστέρηση ή τη μη αποκατάσταση 7.2.2 Αξιολόγηση κινδύνου (βάσει CVSS, κρισιμότητας περιουσιακού στοιχείου, πληροφοριών απειλών σε πραγματικό χρόνο) 7.2.3 Προτεινόμενους αντισταθμιστικούς ελέγχους 7.2.4 Χρονοδιάγραμμα αποκατάστασης ή επανεξέτασης

Ορίζει επίσης την έγκριση και την ανασκόπηση:

Οι εξαιρέσεις πρέπει να εγκρίνονται από τον CISO ή από εξουσιοδοτημένη Επιτροπή Κινδύνων και να καταγράφονται στο Μητρώο Εξαιρέσεων ISMS, με διάστημα ανασκόπησης που δεν υπερβαίνει τις 90 ημέρες.

Αυτό το μητρώο εξαιρέσεων γίνεται ουσιώδες τεκμήριο για την Clause 6.1.3 του ISO/IEC 27001:2022 σχετικά με την αντιμετώπιση κινδύνου και την αποδοχή υπολειπόμενου κινδύνου, καθώς και για την ανασκόπηση από τη διοίκηση.

Το αρχείο αυτό αποδεικνύει ότι ο οργανισμός δεν αγνόησε την ευπάθεια. Αξιολόγησε τον κίνδυνο, εφάρμοσε αντισταθμιστικούς ελέγχους, ενέκρινε τον υπολειπόμενο κίνδυνο και όρισε ημερομηνία ανασκόπησης.

Βήμα 7: Δημιουργήστε το μηνιαίο πακέτο τεκμηρίων

Το μηνιαίο πακέτο τεκμηρίων αποκατάστασης ευπαθειών πρέπει να περιλαμβάνει:

Για SMEs, τα τεκμήρια μπορούν να είναι ελαφρύτερα, αλλά πρέπει να παραμένουν συνεπή. Η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων-sme απαιτεί αρχεία καταγραφής διορθώσεων με ιχνηλασιμότητα:

Τα αρχεία καταγραφής πρέπει να περιλαμβάνουν το όνομα της συσκευής, την ενημέρωση που εφαρμόστηκε, την ημερομηνία εφαρμογής της διόρθωσης και τον λόγο για οποιαδήποτε καθυστέρηση

Αυτή η μοναδική ρήτρα έχει μεγάλη αξία στον έλεγχο. Μετατρέπει την εφαρμογή διορθώσεων από ισχυρισμό σε αρχείο.

Εφαρμογή διορθώσεων από προμηθευτές: η σύμβαση πρέπει να αντιστοιχεί στο SLA σας

Εάν ένας MSP, πάροχος SaaS, πάροχος PaaS ή πάροχος υπηρεσιών νέφους ελέγχει την εγκατάσταση διορθώσεων, τα εσωτερικά SLA είναι άχρηστα εκτός εάν οι υποχρεώσεις προμηθευτών τα αντιστοιχούν.

Η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών-sme περιλαμβάνει υποχρεώσεις ασφάλειας πληροφοριών ως απαίτηση διακυβέρνησης. Για την αποκατάσταση ευπαθειών, οι υποχρεώσεις αυτές πρέπει να μετατραπούν σε μετρήσιμη συμβατική διατύπωση:

• Παράθυρα ειδοποίησης για κρίσιμες ευπάθειες
• Χρονοδιαγράμματα αποκατάστασης για κρίσιμες, υψηλές, μεσαίες και χαμηλές ευπάθειες
• Διαδικασία επείγουσας αλλαγής
• Απαιτήσεις έγκρισης πελάτη για διακοπή λειτουργίας
• Μορφότυπος τεκμηρίων για την ολοκλήρωση διορθώσεων
• Διαδικασία γνωστοποίησης ευπαθειών
• Υποχρεώσεις συνδρομής σε περιστατικά
• Δικαίωμα ελέγχου ή λήψης αναφορών διασφάλισης
• Υποχρεώσεις εφαρμογής διορθώσεων υπεργολάβων επεξεργασίας ή υπεργολάβων
• Υποστήριξη εξόδου και μετάβασης για κρίσιμες υπηρεσίες

Το Zenith Blueprint, φάση Controls in Action, Step 20, Control 8.21 Security of network services, διατυπώνει ξεκάθαρα την αρχή:

Όταν υπηρεσίες παρέχονται εξωτερικά, συμπεριλαμβανομένων ISPs, προμηθευτών SD-WAN ή ιδιωτικών παρόχων νέφους, οι απαιτήσεις ασφάλειας πρέπει να ενσωματώνονται στις συμβάσεις και στα SLA. Αυτό περιλαμβάνει εγγυήσεις διαθεσιμότητας, χρόνους απόκρισης για περιστατικά, υποχρεώσεις εφαρμογής διορθώσεων ή μετριασμού ευπαθειών και σαφή όρια διαχείρισης δεδομένων. Δεν πρέπει ποτέ να θεωρείτε ότι ένας πάροχος ανταποκρίνεται στις προσδοκίες σας, εκτός εάν αυτό είναι γραπτό, μετρήσιμο και ελέγξιμο.

Το DORA το καθιστά ιδιαίτερα σημαντικό για τις χρηματοοικονομικές οντότητες. Οι ρυθμίσεις με τρίτους παρόχους ΤΠΕ πρέπει να περιλαμβάνουν επίπεδα υπηρεσιών, συνδρομή παρόχου κατά τη διάρκεια περιστατικών ΤΠΕ, πρόσβαση και ανάκτηση δεδομένων, συνεργασία με αρχές, δικαιώματα καταγγελίας και ισχυρότερες προβλέψεις για κρίσιμες ή σημαντικές λειτουργίες, συμπεριλαμβανομένων παρακολούθησης, δικαιωμάτων ελέγχου, σχεδίων αντιμετώπισης εκτάκτων καταστάσεων και μέτρων ασφάλειας.

Το NIST CSF 2.0 αναφέρει το ίδιο μέσω των αποτελεσμάτων κινδύνου εφοδιαστικής αλυσίδας: οι προμηθευτές πρέπει να είναι γνωστοί, να ιεραρχούνται με βάση την κρισιμότητα, να αξιολογούνται πριν από την ανάθεση, να διέπονται από συμβατικές απαιτήσεις, να παρακολουθούνται καθ’ όλη τη διάρκεια της σχέσης, να περιλαμβάνονται στον σχεδιασμό περιστατικών και να διαχειρίζονται κατά τη λύση της συνεργασίας.

Τι θα ρωτήσουν πραγματικά οι ελεγκτές

Η συζήτηση ελέγχου αλλάζει ανάλογα με το υπόβαθρο του ελεγκτή.

Ένας ελεγκτής ISO/IEC 27001:2022 θα ξεκινήσει από το ISMS. Θα ελέγξει εάν η διαχείριση ευπαθειών περιλαμβάνεται στη Δήλωση Εφαρμοσιμότητας, εάν η αξιολόγηση κινδύνου αναγνωρίζει τα μη διορθωμένα συστήματα ως κίνδυνο, εάν τα σχέδια αντιμετώπισης κινδύνων έχουν ιδιοκτήτες και χρονοδιαγράμματα, εάν ο Annex A control 8.8 έχει υλοποιηθεί, εάν τα τεκμήρια διατηρούνται και εάν ο εσωτερικός έλεγχος και η ανασκόπηση από τη διοίκηση αξιολογούν την απόδοση.

Το Zenith Blueprint, φάση Controls in Action, Step 19, καθιστά ρητή την προσδοκία ελέγχου:

Πρόκειται για έλεγχο υψηλής προτεραιότητας για τους ελεγκτές και συνήθως θα εξετάσουν σε βάθος. Αναμένετε να ερωτηθείτε πόσο συχνά εφαρμόζονται διορθώσεις στα συστήματα, ποια διαδικασία ακολουθείτε όταν ανακοινώνεται zero-day και ποια συστήματα είναι δυσκολότερο να διορθωθούν.

Συνεχίζει με πρακτικές προσδοκίες τεκμηρίων:

Οι ελεγκτές πιθανότατα θα ζητήσουν αποτελέσματα σαρώσεων ευπαθειών. Εάν χρησιμοποιείτε εργαλεία όπως Nessus, OpenVAS ή Qualys, εξαγάγετε αναφορά που δείχνει πρόσφατες ευπάθειες που εντοπίστηκαν και πώς αντιμετωπίστηκαν. Ιδανικά, αυτό πρέπει να περιλαμβάνει αξιολογήσεις κινδύνου (CVSS) και χρονοδιαγράμματα αποκατάστασης.

Ένας ελεγκτής ή αρμόδια αρχή με εστίαση στο NIS2 θα αναζητήσει έγκριση από το διοικητικό συμβούλιο, αναλογικότητα, κυβερνοϋγιεινή, χειρισμό ευπαθειών, ασφάλεια προμηθευτών, χειρισμό περιστατικών, αξιολόγηση αποτελεσματικότητας, διορθωτικές ενέργειες χωρίς αδικαιολόγητη καθυστέρηση και αρχεία αποφάσεων αναφοράς εάν η εκμετάλλευση προκάλεσε σημαντικό αντίκτυπο.

Ένας επόπτης DORA θα ελέγξει εάν τα ευρήματα ευπαθειών ενσωματώνονται στη διαχείριση κινδύνων ΤΠΕ, στις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, στην ταξινόμηση περιστατικών, στην ανάλυση βασικής αιτίας, στα μητρώα τρίτων μερών, στις συμβατικές υποχρεώσεις, στα δικαιώματα ελέγχου και στην αποκατάσταση κρίσιμων ευρημάτων.

Ένας αξιολογητής NIST CSF πιθανότατα θα οργανώσει την ανασκόπηση γύρω από τις λειτουργίες GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND και RECOVER. Θα ρωτήσει εάν οι νομικές και συμβατικές απαιτήσεις είναι κατανοητές, εάν τα όρια ανοχής κινδύνου τεκμηριώνονται, εάν οι ευπάθειες αναγνωρίζονται και ιεραρχούνται, εάν οι εξαιρέσεις διαχειρίζονται, εάν η παρακολούθηση ανιχνεύει εκμετάλλευση και εάν οι ενέργειες απόκρισης και ανάκαμψης συντονίζονται.

Ένας ελεγκτής COBIT 2019 ή τύπου ISACA θα εστιάσει σε στόχους διακυβέρνησης, ικανότητα διεργασιών, πρακτικές διαχείρισης, μετρικές, ιδιοκτησία, σχεδιασμό ελέγχων, λειτουργία ελέγχων και επάρκεια τεκμηρίων. Θα ρωτήσει εάν η αποκατάσταση ευπαθειών είναι επαναλήψιμη, μετρήσιμη, κλιμακούμενη, βελτιούμενη και ευθυγραμμισμένη με τους επιχειρησιακούς στόχους και τη διάθεση ανάληψης κινδύνου.

Κλιμάκωση και μετρικές: πώς αποδεικνύεται ότι το SLA τελεί υπό διαχείριση

Ένα SLA χωρίς κλιμάκωση είναι απλώς στόχος. Ένα υπερασπίσιμο πρόγραμμα αποκατάστασης ευπαθειών χρειάζεται κλιμάκωση πριν από την παραβίαση, κατά την παραβίαση και μετά από επαναλαμβανόμενη αστοχία.

Η Clarysec συνιστά μοντέλο κλιμάκωσης τεσσάρων επιπέδων:

1. Επιχειρησιακή κλιμάκωση, ο κάτοχος του δελτίου εργασίας και ο τεχνικός επικεφαλής ειδοποιούνται πριν από την παραβίαση.
2. Κλιμάκωση κινδύνου, ο ιδιοκτήτης περιουσιακού στοιχείου και ο ιδιοκτήτης κινδύνου ανασκοπούν τον αντίκτυπο όταν η παραβίαση είναι πιθανή.
3. Κλιμάκωση διακυβέρνησης ασφάλειας, ο CISO ή η επιτροπή κινδύνων εγκρίνει εξαίρεση ή επείγουσα ενέργεια.
4. Κλιμάκωση προς τη διοίκηση, επαναλαμβανόμενες ή κρίσιμες παραβιάσεις SLA αναφέρονται στην ανασκόπηση από τη διοίκηση με διορθωτικές ενέργειες.

Η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων ενισχύει αυτή την προσδοκία ελέγχου:

Περιοδικοί έλεγχοι πρέπει να διενεργούνται από τον εσωτερικό έλεγχο ή από ανεξάρτητο τρίτο μέρος για την επαλήθευση: 5.6.1 Συμμόρφωσης με τα SLA 5.6.2 Τεκμηρίων ιεράρχησης βάσει κινδύνου 5.6.3 Αποτελεσματικότητας των εγκατεστημένων διορθώσεων 5.6.4 Ελέγχων επί μη διορθωμένων συστημάτων

Οι μετρικές πρέπει να υποστηρίζουν αποφάσεις, όχι να διακοσμούν πίνακες ελέγχου. Οι ισχυρότερες μετρικές για το 2026 περιλαμβάνουν:

• Ποσοστό συμμόρφωσης με SLA για κρίσιμες ευπάθειες
• Ποσοστό συμμόρφωσης με SLA για υψηλές ευπάθειες
• Μέσος χρόνος έως την αρχική αξιολόγηση
• Μέσος χρόνος αποκατάστασης ανά κατηγορία περιουσιακού στοιχείου
• Αριθμός εκπρόθεσμων κρίσιμων ευπαθειών
• Αριθμός αποδεκτών εξαιρέσεων ανά ηλικία
• Εξαιρέσεις που υπερβαίνουν τις 90 ημέρες
• Πλήθος κρίσιμων εκθέσεων εκτεθειμένων στο διαδίκτυο
• Παραβιάσεις SLA προμηθευτών
• Ευπάθειες που άνοιξαν εκ νέου μετά την επικύρωση
• Επείγουσες αλλαγές που προκλήθηκαν από ενεργά εκμεταλλευόμενες ευπάθειες
• Αστοχίες διορθώσεων ανά πλατφόρμα ή επιχειρησιακή μονάδα

Συνδέστε αυτές τις μετρικές με την Clause 9.3 του ISO/IEC 27001:2022 για την ανασκόπηση από τη διοίκηση, την αναφορά διακυβέρνησης DORA και την εποπτεία διοίκησης NIS2. Για το NIST CSF 2.0, χρησιμοποιήστε τις για την επικαιροποίηση Current και Target Profiles, της ανάλυσης κενών και των σχεδίων ενεργειών.

Λίστα ελέγχου SLA αποκατάστασης της Clarysec

Χρησιμοποιήστε αυτή τη λίστα ελέγχου για να αξιολογήσετε το τρέχον πρόγραμμά σας:

• Υπάρχει εγκεκριμένη πολιτική διαχείρισης ευπαθειών και διορθώσεων;
• Έχουν οριστεί SLA αποκατάστασης βάσει σοβαρότητας και επιχειρησιακής κρισιμότητας;
• Επιταχύνονται οι εκτεθειμένες στο διαδίκτυο και οι ενεργά εκμεταλλευόμενες ευπάθειες;
• Έχουν χαρτογραφηθεί τα περιουσιακά στοιχεία σε ιδιοκτήτες, υπηρεσίες, δεδομένα και προμηθευτές;
• Μετατρέπονται τα ευρήματα σαρωτών σε ανατεθειμένα δελτία εργασίας;
• Εκτελούνται οι διορθώσεις μέσω διαχείρισης αλλαγών;
• Τεκμηριώνονται και ανασκοπούνται οι επείγουσες αλλαγές;
• Επικυρώνονται τα αποτελέσματα αποκατάστασης με επανασάρωση ή ελέγχους έκδοσης;
• Οι εξαιρέσεις αξιολογούνται ως προς τον κίνδυνο, εγκρίνονται και ανασκοπούνται τουλάχιστον κάθε 90 ημέρες;
• Τεκμηριώνονται αντισταθμιστικοί έλεγχοι για μη επιδιορθώσιμα συστήματα;
• Είναι οι συμβάσεις προμηθευτών ευθυγραμμισμένες με τα εσωτερικά όρια αποκατάστασης;
• Είναι τα αρχεία καταγραφής διορθώσεων αρκετά πλήρη ώστε να αποδεικνύουν τι συνέβη και πότε;
• Κλιμακώνονται και διορθώνονται οι παραβιάσεις SLA;
• Ανασκοπούνται οι μετρικές από τη διοίκηση;
• Ενεργοποιούνται αξιολογήσεις περιστατικών και παραβιάσεων όταν υπάρχει υποψία εκμετάλλευσης;

Εάν αρκετές απαντήσεις είναι «όχι», το ζήτημα δεν είναι τα εργαλεία. Είναι ο σχεδιασμός ελέγχων.

Επόμενα βήματα: μετατρέψτε τις προθεσμίες διορθώσεων σε ανθεκτικότητα έτοιμη για έλεγχο

Τα SLA αποκατάστασης ευπαθειών το 2026 πρέπει να κάνουν περισσότερα από το να ικανοποιούν έναν πίνακα ελέγχου σαρωτή. Πρέπει να αποδεικνύουν ότι ο οργανισμός σας μπορεί να αναγνωρίζει την έκθεση, να ιεραρχεί τον κίνδυνο, να ενεργεί εντός εγκεκριμένων χρονοδιαγραμμάτων, να ελέγχει τις εξαιρέσεις, να διέπει τους προμηθευτές και να τεκμηριώνει αποφάσεις έναντι των προσδοκιών ελέγχου των ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 και COBIT 2019.

Η Clarysec μπορεί να σας βοηθήσει να μεταβείτε από αποσπασματικά δελτία εργασίας διορθώσεων σε ολοκληρωμένο πρόγραμμα αποκατάστασης ευπαθειών βασισμένο σε τεκμήρια, χρησιμοποιώντας:

• Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων
• Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων-sme
• Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών-sme
• Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές
• Zenith Controls: Ο οδηγός διασυμμόρφωσης

Ξεκινήστε με μία υπηρεσία υψηλού κινδύνου. Χαρτογραφήστε τα περιουσιακά στοιχεία, τους προμηθευτές, τις ευπάθειες, τα δελτία εργασίας, τις αλλαγές, τις εξαιρέσεις και τα τεκμήριά της. Στη συνέχεια εφαρμόστε σε αυτήν τα ερωτήματα ελέγχου. Εάν δεν μπορείτε να αποδείξετε το SLA από την ανίχνευση έως το κλείσιμο, αυτό είναι το πρώτο σας έργο αποκατάστασης.

Ο στόχος δεν είναι η τέλεια εφαρμογή διορθώσεων. Ο στόχος είναι η αποκατάσταση να διέπεται από διακυβέρνηση, να βασίζεται στον κίνδυνο, να είναι μετρήσιμη και ελέγξιμη. Κατεβάστε τα πρότυπα πολιτικών της Clarysec, εκτελέστε στοχευμένη αξιολόγηση κενών ή κλείστε επίδειξη της Clarysec για να μετατρέψετε την αποκατάσταση ευπαθειών από πίεση ελέγχου σε λειτουργική ανθεκτικότητα.