Pilviympäristön auditointinäyttö ISO 27001-, NIS2- ja DORA-vaatimuksiin

Maria, nopeasti kasvavan talousanalytiikkayhtiön tietoturvajohtaja, oli kuuden viikon päässä kolmen määräajan samanaikaisesta toteutumisesta. Hänen ISO 27001:2022 -valvonta-auditointinsa oli jo aikataulutettu. NIS2 oli nostanut yhtiön tärkeänä toimijana uudelle johdon osoitusvelvollisuuden tasolle. DORA oli koettelemassa, pystyivätkö hänen fintech-toimintonsa osoittamaan digitaalisen operatiivisen häiriönsietokyvyn. Samaan aikaan merkittävä yritysasiakas piti sopimusta odottamassa, kunnes hänen tiiminsä läpäisisi yksityiskohtaisen tietoturva-arvioinnin.

Yhtiö ei ollut turvaton. Se ajoi tuotannon työkuormia AWS- ja Azure-ympäristöissä, käytti Microsoft 365:tä ja useita kriittisiä SaaS-alustoja, sovelsi MFA:ta, varmuuskopioi tietoja, skannasi haavoittuvuuksia ja keräsi pilvilokeja. Ongelma oli näyttö.

Näyttö oli hajallaan Slack-kuvakaappauksissa, kehittäjien wikisivuilla, pilvikonsolien vienneissä, hankintakansioissa, lakiosaston sopimusarkistoissa ja alustaomistajien suullisissa vakuutuksissa. Kun auditoija kysyi: ”Näyttäkää, miten hallitsette pilviympäristöänne”, linkki pilvipalveluntarjoajan vaatimustenmukaisuussivulle ei riittänyt. Palveluntarjoajan sertifikaatit osoittivat palveluntarjoajan kontrollit. Ne eivät osoittaneet Marian organisaation osuutta jaetun vastuun mallissa.

Tässä moni pilviturvallisuuden auditointinäyttöohjelma epäonnistuu. Ei siksi, että kontrollit puuttuisivat, vaan siksi, ettei organisaatio pysty osoittamaan jäsennellysti ja jäljitettävästi, mitkä vastuut kuuluvat palveluntarjoajalle, mitkä asiakkaalle, miten SaaS- ja IaaS-kontrollit on konfiguroitu, miten toimittajien sitoumuksia sovelletaan ja miten näyttö säilytetään auditoijia, viranomaisia ja asiakkaita varten.

Pilvipalvelujen vaatimustenmukaisuus ei ole enää tekninen liite. NIS2:n piiriin kuuluvalle SaaS-palveluntarjoajalle, DORA:n piiriin kuuluvalle finanssitoimijalle tai mille tahansa ISO 27001:2022 -organisaatiolle, joka käyttää IaaS-, PaaS- ja SaaS-palveluja, pilvipalvelujen hallinnointi on osa ISMS:n soveltamisalaa, riskienkäsittelysuunnitelmaa, toimittajan elinkaarta, poikkeamaprosessia, tietosuojan osoitusvelvollisuutta ja johdon katselmointia.

Käytännön tavoite on selkeä: rakenna yksi viranomaisvalmis pilvinäyttöarkkitehtuuri, joka vastaa ISO 27001:2022-, NIS2-, DORA-, GDPR-, asiakasvarmennus- ja sisäisen tarkastuksen kysymyksiin ilman, että näyttö rakennetaan uudelleen jokaista viitekehystä varten.

Pilvi kuuluu aina soveltamisalaan, vaikka infrastruktuuri olisi ulkoistettu

Ensimmäinen auditointiansa on olettaa, että ulkoistettu infrastruktuuri on ISMS:n ulkopuolella. Se ei ole. Ulkoistaminen muuttaa kontrollirajaa, mutta ei poista vastuuvelvollisuutta.

ISO/IEC 27001:2022 edellyttää, että organisaatio määrittää toimintaympäristönsä, sidosryhmänsä, ISMS:n soveltamisalan, rajapinnat, riippuvuudet ja prosessit. Pilvipainotteisessa liiketoiminnassa identiteetintarjoaja, pilvi-isännöintitili, CRM, sähköpostialusta, tietovarasto, CI/CD-putki, tikettijärjestelmä ja varmuuskopiointipalvelu ovat usein liiketoiminnan ydininfrastruktuuria.

Clarysecin Zenith Blueprint: auditoijan 30 vaiheen tiekartta Zenith Blueprint tekee tämän selväksi ISMS Foundation & Leadership -vaiheen vaiheessa 2, Stakeholder Needs and ISMS Scope:

”Jos ulkoistat IT-infrastruktuurisi pilvipalveluntarjoajalle, se ei sulje sitä pois soveltamisalasta; sen sijaan sisällytät kyseisen suhteen hallinnan ja pilviomaisuuserät soveltamisalaan, koska pilvessä olevien tietojesi turvallisuus on sinun vastuullasi.”

Tämä lausuma on auditoinnin ankkuri. Soveltamisalan ei pidä todeta: ”AWS on suljettu pois, koska Amazon hallinnoi sitä.” Sen tulisi todeta, että AWS-palveluissa ylläpidettyihin palveluihin liittyvät tietovarat ja prosessit kuuluvat soveltamisalaan, mukaan lukien pilviturvallisuuskontrollien, identiteetin, lokituksen, salauksen, varmuuskopioinnin, toimittajavarmennuksen ja tietoturvapoikkeamiin reagoinnin hallinta.

ISO 27001:2022:n osalta tämä tukee lausekkeita 4.1–4.4, jotka koskevat toimintaympäristöä, sidosryhmiä, soveltamisalaa ja ISMS-prosesseja. NIS2:n osalta se tukee Article 21 -odotuksia riskianalyysistä, poikkeamien käsittelystä, liiketoiminnan jatkuvuudesta, toimitusketjun tietoturvasta, turvallisesta hankinnasta ja ylläpidosta, pääsynhallinnasta, omaisuudenhallinnasta, kryptografiasta, kontrollien tehokkuudesta ja MFA:sta soveltuvin osin. DORA:n osalta se tukee periaatetta, jonka mukaan finanssitoimijat ovat edelleen vastuussa ICT-riskistä, vaikka ICT-palvelut olisi ulkoistettu.

Kysymys ei ole siitä, onko pilvipalveluntarjoajasi turvallinen. Kysymys on siitä, hallinnoitko palveluntarjoajan käyttöä, konfiguroitko oman vastuualueesi oikein, valvotko palvelua, hallitsetko toimittajan sitoumuksia ja säilytätkö näytön.

Jaetusta vastuusta on tehtävä jaettua näyttöä

Pilvipalveluntarjoajat kuvaavat jaetun vastuun. Auditoijat testaavat, onko se viety käytäntöön.

IaaS-mallissa palveluntarjoaja yleensä suojaa fyysiset toimitilat, keskeisen infrastruktuurin ja hypervisorin. Asiakas hallitsee identiteetin, työkuormien konfiguraation, käyttöjärjestelmän koventamisen, sovellusturvallisuuden, tietojen luokittelun, salausasetukset, verkkosäännöt, lokituksen, varmuuskopiot, paikkauksen ja tietoturvapoikkeamiin reagoinnin.

SaaS-mallissa palveluntarjoaja hallitsee suurinta osaa alustan toiminnoista, mutta asiakas hallitsee edelleen tenantin konfiguraation, käyttäjät, ylläpitäjäroolit, integraatiot, tietojen jakamisen, säilytyksen, lokitusvaihtoehdot ja eskalointimenettelyt.

Clarysecin Zenith Controls: vaatimustenmukaisuuden yhteiskartoitusopas Zenith Controls käsittelee ISO/IEC 27002:2022 -kontrollia 5.23, Information security for use of cloud services, keskeisenä pilvipalvelujen hallinnointikontrollina, jonka tarkoitus on ennaltaehkäisevä luottamuksellisuuden, eheyden ja saatavuuden näkökulmasta. Se yhdistää pilvipalvelut toimittajasuhteisiin, turvalliseen tietojen siirtoon, omaisuusluetteloon, tietovuotojen estämiseen, päätelaite- ja verkkoturvallisuuteen sekä turvallisen kehityksen käytäntöihin.

Keskeinen Zenith Controls -tulkinta toteaa:

”Pilvipalveluntarjoajat (CSP) toimivat kriittisinä toimittajina, joten kaikki toimittajien valintaa, sopimista ja riskienhallintaa koskevat 5.19-kontrollit soveltuvat. 5.23 menee kuitenkin pidemmälle käsittelemällä pilvikohtaisia riskejä, kuten moniasiakkuutta, tietojen sijainnin läpinäkyvyyttä ja jaetun vastuun malleja.”

Tämä ero on ratkaiseva. Pelkät toimittajasertifikaatit eivät täytä liite A.5.23 -vaatimusta. Tarvitset asiakkaan vastuulla olevaa näyttöä siitä, että pilvipalvelua hallinnoidaan, konfiguroidaan, valvotaan ja katselmoidaan.

Tämä erottaa pilvikontrollien olemassaolon auditointivalmiista pilvikontrolleista.

Aloita pilvipalvelurekisteristä, jota auditoijat voivat käyttää

Nopein tapa parantaa pilviympäristön auditointivalmiutta on luoda kattava pilvipalvelurekisteri. Sen ei pidä olla hankintaluettelo tai taloushallinnon vienti. Sen tulee yhdistää pilvipalvelut tietoihin, omistajiin, alueisiin, käyttöoikeuksiin, sopimuksiin, kriittisyyteen, sääntelymerkitykseen ja näyttöön.

Clarysecin pk-yrityksille tarkoitettu Pilvipalvelujen käyttöpolitiikka pk-yrityksille Pilvipalvelujen käyttöpolitiikka pk-yrityksille antaa tiiviin ja auditointiystävällisen perustason lausekkeessa 5.3:

”IT-palveluntarjoajan tai toimitusjohtajan on ylläpidettävä pilvipalvelurekisteriä. Rekisteriin on kirjattava: 5.3.1 kunkin hyväksytyn pilvipalvelun nimi ja käyttötarkoitus 5.3.2 vastuuhenkilö tai -tiimi (sovellusomistaja) 5.3.3 tallennettavien tai käsiteltävien tietojen tyypit 5.3.4 maa tai alue, jossa tiedot säilytetään 5.3.5 käyttäjien käyttöoikeudet ja hallinnolliset tilit 5.3.6 sopimustiedot, uusimispäivät ja tukiyhteystiedot”

Yritysympäristöissä Clarysecin Pilvipalvelujen käyttöpolitiikka Pilvipalvelujen käyttöpolitiikka määrittää laajemman velvoitteen:

”Tämä politiikka määrittää organisaation pakolliset vaatimukset pilvipalvelujen turvalliselle, vaatimustenmukaiselle ja vastuulliselle käytölle Infrastructure-as-a-Service (IaaS)-, Platform-as-a-Service (PaaS)- ja Software-as-a-Service (SaaS) -toimitusmalleissa.”

Pilvipalvelujen käyttöpolitiikka edellyttää keskitettyä rekisteriä, jonka omistaa tietoturvajohtaja, sekä hyväksyttyjä peruskonfiguraatioita pilviympäristöille. Rekisteristä tulee useiden velvoitteiden yhteinen näyttöperusta.

ISO 27001:2022:n osalta se tukee omaisuusluetteloa, pilvipalvelujen käytön hallinnointia, toimittajasuhteita, pääsynhallintaa, lakisääteisiä ja sopimusperusteisia vaatimuksia, riskien käsittelyä ja dokumentoitua tietoa. NIS2:n osalta se tukee toimitusketjun tietoturvaa, omaisuudenhallintaa, riskianalyysiä, poikkeamien käsittelyä ja jatkuvuutta. DORA:n osalta se tukee ICT-omaisuuden ja riippuvuuksien kartoitusta, ICT-kolmansien osapuolten rekistereitä, kriittisten tai tärkeiden toimintojen kartoitusta ja keskittymäriskin analyysiä. GDPR:n osalta se tunnistaa, käsitelläänkö henkilötietoja, missä ne sijaitsevat, mikä palveluntarjoaja toimii käsittelijänä ja mitä siirto- tai tietojenkäsittelyehtoja sovelletaan.

Jos rekisteri ei tunnista tietoluokkia ja alueita, tietosuojaa ja häiriönsietokykyä koskeva näyttö jää puutteelliseksi. Jos se ei tunnista sovellusomistajia, käyttöoikeuskatselmoinnit jäävät ilman omistajuutta. Jos se ei tunnista sopimuksia ja uusimispäiviä, toimittajien tietoturvalausekkeita ei voida testata.

Tee ISO 27001:2022:sta pilvinäytön selkäranka

ISO 27001:2022 on paras selkäranka pilvinäytölle, koska se yhdistää liiketoimintaympäristön, riskit, kontrollit, operatiivisen näytön, valvonnan ja parantamisen.

Keskeisiä pilviympäristöihin liittyviä ISO 27001:2022 -vaatimuksia ovat:

• Lausekkeet 4.1–4.4 toimintaympäristöstä, sidosryhmistä, ISMS:n soveltamisalasta, rajapinnoista, riippuvuuksista ja prosesseista.
• Lausekkeet 5.1–5.3 johtajuudesta, politiikasta, rooleista, vastuista ja vastuuvelvollisuudesta.
• Lausekkeet 6.1.1–6.1.3 riskien arvioinnista, riskien käsittelystä, liite A -vertailusta, soveltuvuuslausunnosta ja jäännösriskin hyväksynnästä.
• Lauseke 7.5 hallitusta dokumentoidusta tiedosta.
• Lausekkeet 8.1–8.3 operatiivisesta suunnittelusta, riskien arvioinnin toteuttamisesta ja riskien käsittelyn toteuttamisesta.
• Lausekkeet 9.1–9.3 seurannasta, mittaamisesta, sisäisestä auditoinnista ja johdon katselmoinnista.
• Lauseke 10 poikkeamista, korjaavista toimenpiteistä ja jatkuvasta parantamisesta.

Liite A -kontrollit, joilla on suurin painoarvo pilvinäytössä, ovat A.5.19 Information security in supplier relationships, A.5.20 Addressing information security within supplier agreements, A.5.21 Managing information security in the ICT supply chain, A.5.22 Monitoring, review and change management of supplier services, A.5.23 Information security for use of cloud services, A.5.24–A.5.27 poikkeamien hallinta, A.5.29 Information security during disruption, A.5.30 ICT readiness for business continuity, A.5.31 Legal, statutory, regulatory and contractual requirements, A.5.34 Privacy and protection of PII, A.5.36 Compliance with policies, rules and standards for information security, A.8.8 Management of technical vulnerabilities, A.8.9 Configuration management, A.8.13 Information backup, A.8.15 Logging, A.8.16 Monitoring activities, A.8.24 Use of cryptography, A.8.25 Secure development life cycle, A.8.29 Security testing in development and acceptance sekä A.8.32 Change management.

Zenith Blueprint selittää Controls in Action -vaiheen vaiheessa 23 pilvipalvelut tavalla, joka vastaa auditoijien näkökulmaa:

”Siirtyminen pilvipalveluihin muuttaa luottamusmallia perusteellisesti. Et enää hallitse palvelinta, verkkoperimetriä tai hypervisoria. Usein et edes tiedä, missä tiedot fyysisesti sijaitsevat. Se, mitä hallitset ja mitä tämä kontrolli edellyttää, on kyseisen suhteen hallinnointi, näkyvyys siihen, mitä käytät, ja tietoturvaodotukset, jotka asetat palveluntarjoajillesi.”

Vahva soveltuvuuslausunnon merkintä A.5.23:lle ei saa sanoa vain ”Soveltuu, pilvipalveluntarjoaja sertifioitu.” Sen tulee selittää, miksi kontrolli soveltuu, mitä riskejä se käsittelee, miten se on toteutettu ja missä näyttö säilytetään.

Lisää SoA:han tai kontrolliseurantaan näytön sijaintia koskeva sarake. Auditoijien ei pitäisi joutua etsimään näyttöä sähköpostista, tikettijärjestelmistä ja jaetuista asemista.

Käytä yhtä näyttömallia ISO 27001:2022-, NIS2- ja DORA-vaatimuksiin

NIS2 ja DORA edellyttävät molemmat dokumentoitua, riskiperusteista ja johdon ohjaamaa kyberturvallisuutta. Päällekkäisyyttä on paljon, mutta valvontapaine on erilainen.

NIS2 koskee monia EU:n keskeisiä ja tärkeitä toimijoita, mukaan lukien digitaalisen infrastruktuurin tarjoajat, hallinnoidut palveluntarjoajat, hallinnoidut tietoturvapalveluntarjoajat, pankkitoiminta, finanssimarkkinainfrastruktuurit ja digitaaliset palveluntarjoajat. Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, mukaan lukien riskianalyysi, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, turvallinen hankinta ja ylläpito, haavoittuvuuksien käsittely, kontrollien tehokkuuden arviointi, kyberhygienia, koulutus, kryptografia, pääsynhallinta, omaisuudenhallinta sekä MFA tai suojattu viestintä soveltuvin osin.

Pilviturvallisuuden auditointinäytön kannalta NIS2 kysyy, hallitaanko pilvi- ja toimittajariskejä osana palvelun tuottamiseen liittyvää riskiä. Se tuo myös rakenteisen merkittävien poikkeamien raportoinnin, mukaan lukien ennakkovaroituksen 24 tunnin kuluessa, poikkeamailmoituksen 72 tunnin kuluessa ja loppuraportin yhden kuukauden kuluessa.

DORA:a sovelletaan 17. tammikuuta 2025 alkaen moniin EU:n finanssitoimijoihin, ja se luo yhtenäiset vaatimukset ICT-riskien hallinnalle, merkittävien ICT-poikkeamien raportoinnille, digitaalisen operatiivisen häiriönsietokyvyn testaukselle, tietojen jakamiselle ja ICT-kolmansien osapuolten riskille. Finanssitoimijoiden osalta, jotka tunnistetaan myös NIS2:n nojalla, DORA katsotaan alakohtaiseksi unionin säädökseksi päällekkäisten operatiivisten velvoitteiden osalta.

Pilven osalta DORA on suoraviivainen. Finanssitoimijat ovat edelleen vastuussa ICT-riskistä, kun palveluja ulkoistetaan. Ne tarvitsevat ICT-kolmansia osapuolia koskevat strategiat, sopimusrekisterit, sopimusta edeltävät arvioinnit, due diligence -aineiston, auditointi- ja pääsyoikeudet, päättämisperusteet, keskittymäriskin analyysin, alihankintakontrollit ja testatut irtautumisstrategiat.

Zenith Controls kartoittaa ISO/IEC 27002:2022 -kontrollin 5.23 EU:n NIS2 Article 21 -vaatimukseen ja DORA Articles 28 to 31 -artikloihin. Se viittaa myös tukeviin standardeihin, kuten ISO/IEC 27017 pilviturvallisuuden rooleista ja valvonnasta, ISO/IEC 27018 henkilötietojen suojaamisesta julkisessa pilvessä, ISO/IEC 27701 tietosuojan hallinnasta pilvikäsittelijäsuhteissa, ISO/IEC 27036-4 pilvipalvelujen valvonnasta ja toimittajasopimuksista sekä ISO/IEC 27005 pilviriskien arvioinnista.

Käytännön seuraus on yksinkertainen. Älä rakenna erillisiä näyttöpaketteja ISO 27001:2022-, NIS2-, DORA- ja GDPR-vaatimuksille. Rakenna yksi pilvinäyttöarkkitehtuuri, jossa on viitekehyskohtaiset kartoitukset.

Toimittajasopimukset ovat kontrollinäyttöä, eivät lakiosaston arkistoja

Pilviympäristön auditointinäyttö katkeaa usein sopimustasolla. Tietoturvalla on toimittajakysely. Lakiasioilla on MSA. Hankinnalla on uusimispäivä. Tietosuojavastaavalla on DPA. Kenelläkään ei ole yhtä kokonaisnäkymää siitä, sisältääkö sopimus ISO 27001:2022:n, NIS2:n, DORA:n ja GDPR:n edellyttämät tietoturvalausekkeet.

Clarysecin pk-yrityksille tarkoitettu Kolmansien osapuolten ja toimittajien tietoturvapolitiikka pk-yrityksille Kolmansien osapuolten ja toimittajien tietoturvapolitiikka pk-yrityksille toteaa lausekkeessa 5.3:

”Sopimusten tulee sisältää pakolliset lausekkeet, jotka kattavat: 5.3.1 luottamuksellisuuden ja salassapidon 5.3.2 tietoturvallisuusvelvoitteet 5.3.3 henkilötietojen tietoturvaloukkauksista ilmoittamisen määräajat (esim. 24–72 tunnin kuluessa) 5.3.4 auditointioikeudet tai vaatimustenmukaisuusnäytön saatavuuden 5.3.5 lisäalihankinnan rajoitukset ilman hyväksyntää 5.3.6 päättämisehdot, mukaan lukien tietojen turvallinen palautus tai hävittäminen”

Auditoinnin yhdenmukaisuuden vuoksi nämä lausekkeet tulee muuntaa sopimuskatselmointimatriisiksi. ISO 27001:2022 liite A.5.20 odottaa, että tietoturvavaatimuksista sovitaan toimittajien kanssa. GDPR Article 28 edellyttää käsittelijäehtoja, jotka kattavat luottamuksellisuuden, turvatoimet, avustamisen, alikäsittelijät, tietojen poistamisen tai palauttamisen sekä auditointituen. DORA Article 30 edellyttää yksityiskohtaisia sopimusmääräyksiä ICT-kolmansien osapuolten palveluntarjoajille, mukaan lukien palvelukuvaukset, tietojen sijainti, turvallisuus, poikkeama-avustus, yhteistyö viranomaisten kanssa, auditointioikeudet, pääsyoikeudet, päättäminen ja siirtymäjärjestelyt. Myös NIS2:n toimitusketjun tietoturva edellyttää sitovaa toimittajayhteistyötä.

Zenith Controls kartoittaa ISO/IEC 27002:2022 -kontrollin 5.20 toimittajasopimuksiin ja huomioi yhteydet 5.19-toimittajasuhteisiin, 5.14-tietojen siirtoon, 5.22-toimittajaseurantaan, 5.11-omaisuuden palautukseen ja 5.36-vaatimustenmukaisuuteen.

Keskeinen asia on käytäntöön vienti. Jos pilvisopimus antaa pääsyn SOC 2 -raportteihin, auditoijat voivat kysyä, hankittiinko raportti, katselmoitiinko poikkeukset, seurattiinko korjaavat toimenpiteet ja arvioitiinko riski uudelleen. Jos sopimus lupaa loukkausilmoituksen, he voivat kysyä, sisältääkö poikkeamapelikirja toimittajan yhteyspolun ja sääntelypäätöspisteet. Jos alihankkijamuutokset edellyttävät hyväksyntää tai ilmoitusta, he voivat kysyä, katselmoidaanko alikäsittelijäilmoitukset ennen hyväksyntää.

Sopimus ilman katselmointinäyttöä on arkisto. Sopimus, joka on yhdistetty toimittajariskiin, valvontatallenteisiin ja poikkeamien työnkulkuihin, on kontrolli.

SaaS-lokitus ja -konfiguraatio ovat yleisiä auditoinnin sokeita pisteitä

Pilvihavainnot syntyvät usein SaaS-palveluista, eivät IaaS-ympäristöistä. Infrastruktuuritiimeillä on yleensä tekniset omistajat, lokitusputket, perustason kontrollit ja muutostallenteet. SaaS-alustat ovat hajautuneet myyntiin, henkilöstöhallintoon, taloushallintoon, asiakastyöhön, markkinointiin ja operaatioihin. Jokainen niistä voi käsitellä arkaluonteista tai sääntelyn alaista tietoa.

Clarysecin Lokitus- ja valvontapolitiikka pk-yrityksille Lokitus- ja valvontapolitiikka pk-yrityksille käsittelee tätä suoraan lausekkeessa 5.5:

”5.5 Pilvipalvelut ja kolmansien osapuolten lokitus 5.5.1 Alustoihin, joiden lokitus ei ole suoraan IT:n hallinnassa (esim. SaaS-sähköposti), sovelletaan seuraavia vaatimuksia: 5.5.1.1 Lokitus on otettava käyttöön ja konfiguroitava, jos se on saatavilla 5.5.1.2 Hälytykset on reititettävä IT-tukipalveluntarjoajalle 5.5.1.3 Sopimusten tulee edellyttää, että palveluntarjoajat säilyttävät lokit vähintään 12 kuukautta ja antavat niihin pääsyn pyynnöstä”

Yrityksille Pilvipalvelujen käyttöpolitiikka lisää:

”Pilvipalvelut on integroitava organisaation SIEM-ratkaisuun jatkuvaa valvontaa varten.”

Tämä vaatimus siirtää SaaS-palvelun ”liiketoimintatyökalusta” valvotuksi tietojärjestelmäksi. Näyttöön tulisi sisällyttää lokitusasetusten viennit, SIEM-liittimen todentava aineisto, hälytyssäännöt, luokittelutiketit, säilytysasetukset ja hallinnollisten käyttöoikeuksien katselmoinnit.

Kriittisten SaaS-palvelujen osalta valmistele näyttö ylläpitäjätilien luomisesta, epäilyttävistä kirjautumisista, massalatauksista, julkisesta jakamisesta, MFA:n poistamisesta käytöstä, API-tokenien luomisesta, ulkoisten vieraiden toiminnasta ja käyttöoikeuksien korotuksesta. IaaS-ympäristöissä valmistele CloudTrail tai vastaava hallintatason lokitus, tallennuspalvelujen käyttölokit, IAM-muutokset, flow log -lokit soveltuvin osin, CSPM-havainnot, haavoittuvuusskannaukset, paikkausnäyttö, salausasetukset, varmuuskopioinnin tila, verkkoturvaryhmien katselmoinnit ja muutostiketit.

Zenith Controls -auditointimenetelmä kontrollille 5.23 toteaa, että ISO/IEC 27007 -tyylinen auditointi voi tarkastaa AWS S3 -säilöjen oikeuksia, salausta, IAM-käytäntöjä ja CloudTrail-lokitusta. COBIT-suuntautunut auditoija voi katselmoida hälytyskonfiguraatioita, DLP-kontrolleja, Microsoft 365 Secure Score -käyttöä ja muutoksenhallinnan lokeja. NIST SP 800-53A -näkökulma voi testata käyttäjätilien hallintaa ja valvontaa, mukaan lukien sen, paikataanko, skannataanko ja valvotaanko pilvityökuormia samalla huolellisuudella kuin sisäisiä järjestelmiä.

Eri auditoijat puhuvat eri murteita. Näytön tulisi olla sama.

Rakenna viranomaisvalmis näyttöpaketti yhdelle SaaS- ja yhdelle IaaS-palvelulle

Käytännön työnkulku alkaa yhdestä kriittisestä SaaS-alustasta ja yhdestä kriittisestä IaaS-ympäristöstä. Esimerkiksi Microsoft 365 yhteistyöhön ja AWS tuotannon isännöintiin.

Vaihe 1: Päivitä pilvipalvelurekisteri

Kirjaa Microsoft 365:n osalta käyttötarkoitus, omistaja, tietotyypit, alue, ylläpitäjätilit, sopimus, DPA, tukiyhteyshenkilö, uusimispäivä ja kriittisyys. Kirjaa AWS:n osalta tuotantotili, alueet, tietoluokat, työkuormat, tilinomistaja, root-tilin tila, tukipaketti, sopimusehdot ja linkitetyt liiketoimintapalvelut.

Käytä Pilvipalvelujen käyttöpolitiikka pk-yrityksille -kenttiä vähimmäistietoaineistona. Lisää kriittisyys, sääntelymerkitys ja näytön sijainti.

Vaihe 2: Dokumentoi jaettu vastuu

Microsoft 365:n osalta asiakkaan vastuita ovat käyttäjän elinkaari, MFA, ehdollinen pääsy, vierasjako, säilytysmerkinnät, DLP käytettäessä, lokitus ja poikkeamien eskalointi. AWS:n osalta asiakkaan vastuita ovat IAM, verkkosäännöt, työkuormien koventaminen, salausmääritykset, varmuuskopiointi, lokitus, paikkaus ja sovellusturvallisuus.

Liitä palveluntarjoajan jaetun vastuun dokumentaatio ja kartoita sen jälkeen jokainen asiakkaan vastuu kontrollinomistajaan ja näyttölähteeseen.

Vaihe 3: Kerää konfiguraationäyttö

Vie tai ota kuvakaappaukset Microsoft 365:n MFA- ja ehdollisen pääsyn käytännöistä, ylläpitäjärooleista, ulkoisen jakamisen asetuksista, auditointilokituksesta, säilytysmäärityksistä ja Secure Score -toimenpiteistä. Vie AWS:n osalta IAM-salasanakäytäntö, etuoikeutetun MFA:n tila, CloudTrail-konfiguraatio, S3:n julkisen pääsyn esto, salauksen tila, security group -katselmointi, varmuuskopiointityöt ja haavoittuvuusskannauksen tila.

Pilvipalvelujen käyttöpolitiikka edellyttää, että pilviympäristöt noudattavat dokumentoitua peruskonfiguraatiota, jonka pilviturvallisuusarkkitehti on hyväksynyt. Näyttöpaketin tulisi sisältää sekä perustaso että todentava aineisto yhdenmukaisuudesta.

Vaihe 4: Yhdistä toimittaja- ja tietosuojanäyttö

Liitä sopimus, DPA, alikäsittelijäluettelo, loukkausilmoitusehdot, auditointivarmennusraportit ja tietojen sijaintia koskeva näyttö. Jos henkilötietoja käsitellään, kirjaa, toimiiko palveluntarjoaja käsittelijänä, miten poistaminen käsitellään, miten rekisteröityjen pyyntöjen tuki toimii ja mitä siirron suojatoimia sovelletaan.

DORA:n osalta tunnista, tukeeko pilvipalvelu kriittistä tai tärkeää toimintoa. Jos tukee, yhdistä näyttö ICT-kolmannen osapuolen rekisteriin, due diligence -aineistoon, auditointioikeuksiin, exit-suunnitelmaan ja keskittymäriskin arviointiin.

Vaihe 5: Yhdistä lokitus tietoturvapoikkeamiin reagointiin

Osoita, että lokit ovat käytössä, reititettyjä, katselmoituja ja käytettyjä. Liitä SIEM-mittaristot, hälytyssäännöt ja vähintään yksi suljettu hälytystiketti. Kartoita sen jälkeen työnkulku NIS2- ja DORA-raportoinnin päätöspisteisiin.

NIS2:n osalta poikkeamaprosessin tulee tukea merkittävien poikkeamien 24 tunnin ennakkovaroitusta, 72 tunnin poikkeamailmoitusta ja yhden kuukauden loppuraporttia. DORA:n osalta ICT-poikkeamaprosessin tulisi luokitella poikkeamat vaikutuksen kohteena olevien asiakkaiden, tapahtumien, keston, käyttökatkon, maantieteellisen laajuuden, tietovaikutuksen, palvelun kriittisyyden ja taloudellisen vaikutuksen perusteella.

Vaihe 6: Säilytä näyttö kurinalaisesti

Clarysecin Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka pk-yrityksille Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka pk-yrityksille lauseke 6.2 määrittää käytännön näyttökurin:

”6.2 Näytön kerääminen ja dokumentointi 6.2.1 Kaikki näyttö on säilytettävä keskitetyssä auditointikansiossa. 6.2.2 Tiedostonimien on viitattava selkeästi auditointiaiheeseen ja päivämäärään. 6.2.3 Metatiedot (esim. kuka keräsi näytön, milloin ja mistä järjestelmästä) on dokumentoitava. 6.2.4 Näyttöä on säilytettävä vähintään kaksi vuotta tai pidempään, jos sertifiointi- tai asiakassopimukset sitä edellyttävät.”

Yrityksille tarkoitettu Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka määrittää tavoitteen:

”Tuottaa puolustettavaa näyttöä ja auditointijälki viranomaistiedustelujen, oikeudenkäyntien tai asiakkaiden varmentamispyyntöjen tueksi.”

Kuvakaappaus nimeltä ”screenshot1.png” on heikko näyttö. Tiedosto nimeltä ”AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png” on vahvempi, koska se kuvaa järjestelmän, kontrollin, päivämäärän ja kerääjän. Metatiedoilla on merkitystä, koska auditoijien täytyy voida luottaa siihen, milloin näyttö kerättiin, kuka sen keräsi ja mistä järjestelmästä.

Miten auditoijat testaavat samaa pilvikontrollia

Vahvimmat pilvinäyttöpaketit on suunniteltu useita auditointinäkökulmia varten. ISO 27001:2022 -auditoijat testaavat, onko kontrolli mukana ISMS:ssä, riskien arvioinnissa, riskien käsittelyssä ja SoA:ssa. NIST-suuntautuneet arvioijat testaavat teknistä toteutusta. COBIT 2019 -auditoijat testaavat hallinnointia, toimittajan suorituskykyä ja prosessi-integraatiota. Tietosuojan auditoijat keskittyvät käsittelijävelvoitteisiin, tietojen sijaintiin, loukkausvalmiuteen ja rekisteröityjen oikeuksiin. DORA-valvontakatselmukset keskittyvät ICT-kolmansien osapuolten riskiin ja häiriönsietokykyyn.

Zenith Controls sisältää nämä auditointimenetelmien erot pilvipalveluille, toimittajasopimuksille ja toimittajaseurannalle. Kontrollin 5.22, Monitoring, review and change management of supplier services, osalta se korostaa, että auditoijat voivat tarkastaa neljännesvuosittaisia toimittajakatselmointien pöytäkirjoja, KPI-raportteja, SOC-raporttien arviointeja, muutoslokeja, riskien arviointeja, toimittajapoikkeamia ja asioiden seurantaa. Kontrollin 5.20, Addressing information security within supplier agreements, osalta se korostaa sopimusotantaa luottamuksellisuuden, tietoturvavelvoitteiden, loukkausilmoitusten, auditointioikeuksien, alihankkijan hyväksynnän ja päättämisehtojen osalta.

Vaatimustenmukaisuuden yhteiskontrollit, jotka kantavat pilviauditoinnin kuorman

Viranomaisvalmis pilvinäyttömalli rakentuu pienelle joukolle korkean vaikuttavuuden kontrolleja. Nämä kontrollit kantavat suuren osan vaatimustenmukaisuuden kuormasta ISO 27001:2022-, NIS2-, DORA-, GDPR-, NIST- ja COBIT 2019 -vaatimuksissa.

NIST SP 800-53 Rev.5 lisää teknistä syvyyttä käyttäjätilien hallinnan, ulkoisten järjestelmäpalvelujen, jatkuvan valvonnan, järjestelmävalvonnan ja rajasuojauksen kautta. COBIT 2019 lisää hallinnointisyvyyttä toimittajasuhteiden hallinnan, toimittajariskin, tiedonvaihdon, verkkoturvallisuuden ja muutosvalmiuden kautta.

Tukevat ISO-standardit tarkentavat näyttömallia. ISO/IEC 27017 tarjoaa pilvikohtaista ohjeistusta jaetuista rooleista, virtuaalikoneiden konfiguraatiosta ja asiakkaan toiminnan valvonnasta. ISO/IEC 27018 keskittyy henkilötietojen suojaamiseen julkisessa pilvessä. ISO/IEC 27701 laajentaa tietosuojavelvoitteet käsittelijän ja rekisterinpitäjän toimintaan. ISO/IEC 27036-4 tukee pilvitoimittajasopimuksia ja valvontaa. ISO/IEC 27005 tukee pilviriskien arviointia.

Johdon katselmoinnin tulee nähdä pilviriski, ei vain pilven käytettävyys

Yksi eniten sivuutetuista auditointiaineistoista on johdon katselmointi. ISO 27001:2022 odottaa johdon katselmoinnin huomioivan muutokset, sidosryhmien tarpeet, suorituskykytrendit, auditointitulokset, riskien käsittelyn tilan ja parantamismahdollisuudet. NIS2 edellyttää, että johtohenkilöt hyväksyvät kyberturvallisuusriskien hallintatoimenpiteet ja valvovat niiden toteutusta. DORA edellyttää, että johtoelin määrittää, hyväksyy ja valvoo ICT-riskienhallintaa sekä säilyttää vastuuvelvollisuuden siitä.

Neljännesvuosittaisen pilviturvallisuuden ja toimittajahallinnan näkymän tulisi näyttää:

• Hyväksyttyjen pilvipalvelujen lukumäärä.
• Kriittiset pilvipalvelut ja niiden omistajat.
• Henkilötietoja käsittelevät palvelut.
• Kriittisiä tai tärkeitä toimintoja tukevat palvelut.
• Avoimet korkean riskin pilvikonfiguraatiovirheet.
• MFA:n ja etuoikeutettujen käyttöoikeuksien katselmoinnin tila.
• Kriittisten SaaS- ja IaaS-alustojen lokien kattavuus.
• Vastaanotetut ja katselmoidut toimittajavarmennusraportit.
• Sopimuspoikkeukset ja hyväksytyt riskit.
• Pilvipoikkeamat, läheltä piti -tilanteet ja opit.
• Varmuuskopiointi- ja palautustestien tulokset.
• Keskittymäriskin ja exit-suunnitelman tila.

Tästä mittaristosta tulee näyttöä ISO 27001:2022 -johtajuudelle ja suorituskyvyn arvioinnille, NIS2-hallinnoinnille ja DORA:n johdon vastuuvelvollisuudelle.

Zenith Blueprint suosittelee Risk Management -vaiheen vaiheessa 14 sääntelyvaatimusten ristiinviittaamista riskienkäsittelyjen ja politiikkojen toteutuksessa. Se toteaa, että keskeisten sääntelyvaatimusten kartoitus ISMS-kontrolleihin on hyödyllinen sisäinen harjoitus ja ”tekee myös vaikutuksen auditoijiin/arvioijiin, koska et hallitse turvallisuutta tyhjiössä vaan ymmärrät oikeudellisen kontekstin.”

Tätä kypsyystasoa viranomaiset ja yritysasiakkaat odottavat.

Yleiset pilviauditointihavainnot ja miten ne vältetään

Pilviympäristön auditointivalmiudessa toistuvat havainnot ovat ennakoitavissa:

1. Pilvipalvelurekisteri on olemassa, mutta SaaS-työkaluja puuttuu.
2. Tietojen sijaintia ei ole kirjattu tai se on kopioitu markkinointisivuilta sopimusnäytön sijaan.
3. MFA on otettu käyttöön työntekijöille, mutta ei kaikille hallinnollisille tai break glass -tileille.
4. Pilvilokit on otettu käyttöön, mutta niitä ei katselmoida, säilytetä tai yhdistetä tietoturvapoikkeamiin reagointiin.
5. Toimittajien SOC-raportit arkistoidaan, mutta niitä ei arvioida.
6. Sopimuslausekkeet ovat olemassa uusille toimittajille, mutta eivät legacy-kriittisille palveluille.
7. Alikäsittelijäilmoitukset vastaanotetaan sähköpostitse, mutta niille ei tehdä riskien arviointia.
8. Varmuuskopiointityöt onnistuvat, mutta palautustesteistä ei ole näyttöä.
9. Insinöörit ymmärtävät jaetun vastuun, mutta sitä ei ole dokumentoitu auditoijia varten.
10. SoA merkitsee pilvikontrollit soveltuviksi, mutta ei yhdistä niitä riskimerkintöihin, näyttöön tai omistajiin.

Nämä ovat jäljitettävyysongelmia. Korjaus on yhdistää politiikka, riski, kontrolli, omistaja, näyttö ja katselmointi.

Kun Marian auditointipäivä koitti, hän ei enää tukeutunut hajallaan oleviin kuvakaappauksiin. Hän avasi keskitetyn mittariston, joka näytti pilvipalvelurekisterin, riskien arvioinnit, SoA-merkinnät, peruskonfiguraationäytön, toimittajakatselmointiaineistot, lokitusnäytön ja DORA-keskittymäriskin arvioinnin. Kun auditoija kysyi, miten pilviriskejä hallinnoitiin, hän näytti ISMS:n. Kun auditoija kysyi, miten palvelut oli konfiguroitu turvallisesti, hän näytti perustason ja CSPM-näytön. Kun auditoija kysyi ICT-kolmansien osapuolten riskistä, hän näytti sopimuskatselmoinnin, toimittajaseurannan ja exit-suunnittelun.

Tuloksena ei ollut täydellinen ympäristö. Mikään pilviympäristö ei ole täydellinen. Ero oli siinä, että riskipäätökset oli dokumentoitu, näyttö oli puolustettavaa ja vastuuvelvollisuus oli näkyvissä.

Rakenna pilvinäyttöpaketti ennen kuin auditoija kysyy

Jos organisaatiosi tukeutuu SaaS-, IaaS- tai PaaS-palveluihin, seuraava auditointisi ei hyväksy vastausta ”palveluntarjoaja hoitaa sen” riittäväksi. Sinun on osoitettava jaettu vastuu, asiakkaan vastuulla oleva konfiguraatio, toimittajalausekkeet, lokitus, valmius poikkeamatilanteisiin, häiriönsietokyky ja johdon valvonta.

Aloita tällä viikolla kolmella käytännön toimenpiteellä:

1. Luo tai päivitä pilvipalvelurekisteri Clarysecin Pilvipalvelujen käyttöpolitiikan Pilvipalvelujen käyttöpolitiikka tai Pilvipalvelujen käyttöpolitiikka pk-yrityksille Pilvipalvelujen käyttöpolitiikka pk-yrityksille avulla.
2. Kartoita viisi tärkeintä pilvipalveluasi ISO 27001:2022 liite A -kontrolleihin, NIS2 Article 21 -vaatimukseen, soveltuviin DORA:n ICT-kolmansia osapuolia koskeviin velvoitteisiin ja GDPR:n käsittelijävaatimuksiin.
3. Rakenna keskitetty näyttökansio käyttämällä Auditointi- ja vaatimustenmukaisuuden seurantapolitiikan Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka tai Auditointi- ja vaatimustenmukaisuuden seurantapolitiikan pk-yritysversiota Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka pk-yrityksille säilytys- ja metatietokurin toteuttamiseen.

Käytä sen jälkeen Zenith Blueprint Zenith Blueprint -materiaalia työn sijoittamiseen 30 vaiheen ISMS-auditointitiekarttaan ja Zenith Controls Zenith Controls -materiaalia vaatimustenmukaisuuden yhteiskartoitusten, tukevien ISO-standardien ja auditointimenetelmäodotusten validointiin.

Clarysec voi auttaa muuttamaan hajallaan olevat pilvikuvakaappaukset, toimittaja-aineistot ja SaaS-asetukset viranomaisvalmiiksi näyttöpaketiksi, joka kestää ISO 27001:2022 -sertifiointiauditoinnit, NIS2-valvontakysymykset, DORA:n ICT-kolmansien osapuolten katselmoinnit ja yritysasiakkaiden varmentamisvaatimukset.