Izvan vatrozida: zašto revizijski spremna usklađenost zahtijeva stvarni sustav upravljanja, uz mapiranje na ISO 27001, NIS2 i DORA
Revizijska katastrofa: zašto vatrozidi ne mogu spasiti vašu usklađenost
Predrevizijsko izvješće snažno je pogodilo organizaciju; bilo da je riječ o financijskoj instituciji s popisa Fortune 500 ili fintech izazivaču, problem je svugdje isti. Sarah, CISO u FinCorp Innovationsu, gledala je u gomilu crvenih oznaka unatoč sedmeroznamenkastom ulaganju u kibernetičku sigurnost: vatrozide nove generacije, vrhunsku zaštitu krajnjih točaka i snažnu MFA uvedenu za sve korisnike. Tehnologija je bila besprijekorna. Ipak, kada je njezin revizor za ISO/IEC 27001:2022 iznio nalaz, postalo je jasno da sama tehnologija nije dovoljna.
Navedene veće nesukladnosti:
- Nema dokazive predanosti najvišeg rukovodstva.
- Ad hoc procjena rizika, odvojena od poslovnog konteksta.
- Sigurnost dobavljača vodi se putem neformalnih e-poruka, bez vrednovanja rizika ili pregleda ugovora.
Sarahina „sigurna utvrda” pala je na reviziji ne zato što joj je nedostajala tehnologija, nego zato što nije imala dokaze o cjelovitom, strateškom sustavu upravljanja. Isti se scenarij ponavlja u reguliranim industrijama pod NIS2 i DORA. Nije riječ o tehničkom neuspjehu, nego o slomu upravljanja na razini cijele organizacije. Vatrozidi se ne mapiraju na strateške smjernice, upravljanje rizikom dobavljača ili naučene lekcije. Okviri usklađenosti zahtijevaju više.
Zašto usklađenost vođena IT-jem ne uspijeva: razjašnjenje poslovnog rizika
Mnoge se organizacije uljuljkaju u lažan osjećaj sigurnosti tretirajući usklađenost kao IT projekt: softver je implementiran, korisnici osposobljeni, zapisi dnevnika proslijeđeni u SIEM. Međutim, ISO/IEC 27001:2022, NIS2 i DORA zahtijevaju dokaze o razmišljanju u okvirima sustava upravljanja:
- Uključenost upravljačkog tijela i izvršnog rukovodstva u sigurnosne odluke.
- Dokumentirane procjene rizika usklađene s poslovanjem.
- Sustavno upravljanje dobavljačima, upravljanje ugovorima i dubinska analiza dobavljača.
- Strukturirani ciklusi kontinuiranog poboljšanja s naučenim lekcijama na razini cijele organizacije.
Clarysecovo višegodišnje revizijsko iskustvo to potvrđuje: usklađenost nije vatrozid. Prolazak revizije ovisi o vlasništvu na razini cijele organizacije, dokumentiranom procesu, međufunkcionalnom angažmanu i kontinuiranom poboljšanju.
“Predanost rukovodstva i integracija informacijske sigurnosti u organizacijske procese ključni su za usklađenost. Dokumentirani pristup sustavu upravljanja, potkrijepljen dokazima o provedbi i kontinuiranom poboljšanju, razlikuje zrele organizacije od nastojanja usklađenosti svedenih na označavanje kućica.”
(Zenith Controls: vodič za usklađenost kroz okvire, kontekst točke 5 ISMS-a)
Sustav upravljanja naspram tehničkog projekta
ISMS (sustav upravljanja informacijskom sigurnošću) nije projekt, nego kontinuirana, ciklička disciplina povezana sa strategijom, rizikom i poboljšanjem. Počinje upravljanjem, određivanjem opsega i usklađivanjem vodstva, a ne u poslužiteljskoj sobi.
- IT projekt: jednokratni kontrolni popis (implementirati vatrozid, ažurirati softver).
- ISMS: sustav vođen s razine uprave (definirati kontekst, postaviti ciljeve, dodijeliti uloge, pregledavati i poboljšavati).
Revizori ne traže samo tehničke kontrole, nego i „zašto” iza svakog procesa: predanost vodstva, integraciju s poslovnom strategijom te dokumentirane sustave koji se razvijaju.
Priče o neuspjehu: stvarni slomovi u reviziji
Pogledajmo kako neuspjeh na reviziji izgleda u praksi.
Studija slučaja FinCorp Innovations
| Revizijski nalaz | Zašto je došlo do neuspjeha |
|---|---|
| Nema dokumentiranih preispitivanja ISMS-a od strane najvišeg rukovodstva | Revizori očekuju angažman izvršnog rukovodstva/upravljačkog tijela; opseg ograničen samo na IT nije dovoljan |
| Procjene rizika ograničene su na ranjivosti | Moraju uključivati dobavljače, HR, procese, pravne rizike i rizike usklađenosti, a ne samo tehničke rizike |
| Ugovori s dobavljačima nisu sadržavali sigurnosnu dubinsku analizu | Sigurnost dobavljača odgovornost je cijele organizacije prema ISO/IEC 27036 |
| Nema dokaza o praćenju korektivnih radnji | ISO/IEC 27001 točka 10 zahtijeva dokazivo poboljšanje |
| Ne mjeri se djelotvornost ISMS-a | Revizija očekuje kontinuirano preispitivanje, a ne statičan projekt |
Unatoč tehničkoj izvrsnosti, izostanak elemenata sustava upravljanja vođenih poslovanjem — vlasništva, upravljanja i poboljšanja — učinio je certifikaciju nedostižnom.
Razumijevanje zahtjeva „izvan IT-a”: kako suvremeni standardi proširuju opseg
NIS2, DORA i ISO 27001 nisu tehnički kontrolni popisi. Oni propisuju operativne modele digitalne otpornosti koji obuhvaćaju poslovne funkcije:
- Predanost izvršnog rukovodstva: integracija sa strateškim ciljevima i nadzor upravljačkog tijela.
- Upravljanje rizicima: formalizirane metodologije za poslovni rizik, rizik dobavljača, pravni rizik i rizik usklađenosti.
- Upravljanje dobavljačima: sustavno uvođenje dobavljača, dubinska analiza dobavljača i sigurnosne odredbe u ugovorima.
- Kontinuirano poboljšanje: aktivne naučene lekcije, korektivne radnje i pregled nakon incidenta.
Clarysecovi Zenith Controls objedinjuju taj opseg mapiranjem na ISO/IEC 27014 (upravljanje), ISO/IEC 27005 (rizik) i ISO/IEC 27036 (upravljanje dobavljačima), čime osiguravaju disciplinu na razini cijele organizacije koju revizori zahtijevaju.
Od projekta do sustava: Zenith Blueprint plan u 30 koraka
Clarysecov “Zenith Blueprint: ISMS plan za revizore u 30 koraka” zatvara prazninu u upravljanju i pruža strukturiran, praktičan tijek rada za organizacije spremne izaći iz tehničkih silosa.
Istaknuti elementi plana
Počinje na vrhu:
- Izvršno sponzorstvo i strateško usklađivanje.
- Definiranje opsega i konteksta.
- Jasna dodjela uloga izvan IT-a.
Integracija cijele organizacije:
- Uključeni dobavljači, HR, nabava, pravni poslovi i upravljanje rizicima.
- Suradnja između odjela.
Proces i poboljšanje:
- Planirana preispitivanja, dokumentirane korektivne radnje i ciklusi kontinuiranog poboljšanja.
Ključne faze
| Faza | Koraci | Fokus |
|---|---|---|
| 1 | 1-5 | Potpora najvišeg rukovodstva, opseg ISMS-a, kontekst, uloge, metodologija rizika |
| 2 | 6-10 | Upravljanje rizicima, identifikacija imovine, analiza rizika, obrada rizika i usklađivanje |
| 3 | 11-20 | Procjena dobavljača/trećih strana, svijest na razini cijele organizacije, sigurnost ugovora |
| 4 | 21-26 | Integracija operacija, kontinuirano praćenje, metrike uspješnosti |
| 5 | 27-30 | Formalna preispitivanja od strane uprave, naučene lekcije, organizacijsko poboljšanje |
Ishod za revizora: ne samo dokazi o IT procesu, nego vlasništvo na razini sustava, odgovornost, dokumentirano poboljšanje i sljedivost prema poslovnoj vrijednosti.
Sustav upravljanja u praksi: kontrole koje razbijaju IT silos
Revizori se usredotočuju na to kako se pojedinačne kontrole integriraju u širi sustav. Dvije ključne kontrole pokazuju razliku.
1. Uloge i odgovornosti u informacijskoj sigurnosti (ISO/IEC 27002:2022 kontrola 5.1)
Zahtjev kontrole:
Jasne sigurnosne uloge i odgovornosti dodijeljene na razini cijele organizacije, od upravljačkog tijela do operativnog osoblja.
Kontekst i revizijsko očekivanje:
- Obuhvaća HR, pravne poslove, rizike i nabavu, a ne samo IT.
- Zahtijeva dokumentaciju (opise uloga, periodične preglede, RACI matrice).
- Usklađuje se s upravljačkim okvirima: ISO/IEC 27014, COBIT 2019, NIS2, DORA.
Tipične kontrolne točke revizora:
- Dokumentirane uloge vodstva.
- Dokazi o međufunkcionalnoj integraciji.
- Sljedivost između smjernica upravljačkog tijela i operativne provedbe.
2. Sigurnost odnosa s dobavljačima (ISO/IEC 27002:2022 kontrola 5.19)
Zahtjev kontrole:
Upravljati pristupom dobavljača/trećih strana, njihovim uvođenjem, ugovorima i kontinuiranim praćenjem.
Mapiranje usklađenosti kroz okvire:
- ISO/IEC 27036: upravljanje životnim ciklusom dobavljača (provjera, uvođenje, prestanak angažmana).
- NIS2: rizik opskrbnog lanca ugrađen u upravljanje.
- DORA: izdvajanje poslovnih procesa i IKT rizik kao prioritet operativne otpornosti.
- GDPR: ugovori s izvršiteljima obrade s definiranim odredbama o informacijskoj sigurnosti i prijavi povrede.
| Okvir | Perspektiva revizora |
|---|---|
| ISO/IEC 27001 | Vrednovanje dubinske analize dobavljača, ugovornih odredbi i procesa praćenja |
| NIS2 | Upravljanje rizicima utjecaja opskrbnog lanca, a ne samo tehničkim integracijama |
| DORA | Rizik trećih strana/vanjskog ugovaranja, pregled na razini upravljačkog tijela |
| COBIT 2019 | Praćenje kontrola i učinkovitost dobavljača |
| GDPR | Ugovori o obradi podataka, tijek rada za prijavu povrede |
Ove kontrole zahtijevaju aktivno vlasništvo i poslovno vodstvo. Kontrolni popis nije dovoljan; revizori traže sustavni angažman.
Kontrole usklađene s više okvira: Clarysecov kompas za višestruko usklađivanje okvira
Clarysecovi Zenith Controls omogućuju mapiranje kontrola kroz standarde i otkrivaju disciplinu na razini cijele organizacije koja omogućuje pouzdanu usklađenost.
“Sigurnost dobavljača organizacijska je upravljačka aktivnost koja uključuje identifikaciju rizika, dubinsku analizu dobavljača, strukturiranje ugovora i kontinuirano osiguranje; mapirana je na ISO/IEC 27001:2022 (cl.8), ISO/IEC 27036, NIS2 Art. 21, DORA Art. 28, COBIT 2019 DSS02 i NIST SP 800-161.”
(Zenith Controls: odjeljak Sigurnost dobavljača i trećih strana)
Usporedna tablica: sigurnost dobavljača kroz okvire
| ISO/IEC 27002:2022 | NIS2 | DORA | GDPR | COBIT 2019 | Što revizori traže |
|---|---|---|---|---|---|
| 5.19 Sigurnost dobavljača | Art. 21 Sigurnost opskrbnog lanca | Art. 28 IKT rizik trećih strana | Art. 28 Ugovori s izvršiteljima obrade | DSS02 Usluge trećih strana | Dokazi o upravljanju rizikom dobavljača, praćenju, preispitivanju na razini upravljačkog tijela i sigurnosnim odredbama ugovora |
Temelj politike: stvarne politike za cjelovitu usklađenost
Dokumentacija je okosnica sustava upravljanja; politike moraju nadilaziti IT.
Clarysecove politike integriraju najbolje prakse usklađenosti kroz okvire:
“Dobavljači i treće strane moraju biti podvrgnuti sigurnosnim provjerama i procjenama rizika prije početka angažmana; moraju se ugovoriti odredbe koje osiguravaju sigurnost i usklađenost s pravnim i regulatornim obvezama, a njihova se učinkovitost kontinuirano prati. Korektivne radnje i poboljšanja provode se kada se utvrde problemi povezani s rizikom ili učinkovitošću.”
(Odjeljak 3.2, Procjena dobavljača, Politika sigurnosti trećih strana i dobavljača)
Ove politike povezuju rizik, uvođenje dobavljača, pravno oblikovanje ugovora i kontinuirano preispitivanje te revizorima pružaju čvrste dokaze o angažmanu cijele organizacije potrebne za prolazak bilo koje procjene.
Praktični scenarij: izgradnja sigurnosti dobavljača spremne za reviziju
Kako tehnički tim može prerasti u sustav upravljanja?
Korak po korak:
- Usklađivanje politike: Aktivirajte Clarysecovu “Politiku sigurnosti trećih strana i dobavljača” radi međuresornog konsenzusa o ulogama i minimalnim ugovornim odredbama.
- Procjena vođena rizikom: Upotrijebite plan Zenith Blueprint za sistematizaciju provjere dobavljača, dokumentacije o uvođenju i periodičnog preispitivanja.
- Mapiranje kontrola: Primijenite usporedna mapiranja Zenith Controls za zahtjeve prema NIS2, DORA, GDPR, sadržaj ugovora s izvršiteljima obrade i dokaze otpornosti opskrbnog lanca.
- Integracija preispitivanja od strane uprave: Uključite rizik dobavljača u preispitivanja ISMS-a od strane uprave, uz praćenje radnji najvišeg rukovodstva, registar poboljšanja i kontinuiranu pripremu za reviziju.
Konačni rezultat:
Revizor više ne vidi IT kontrolne popise. Vidi dokumentiran, poslovno vođen proces upravljanja integriran kroz nabavu, pravne poslove, HR i nadzor upravljačkog tijela.
Što revizori stvarno žele: pogled kroz više standarda
Revizori različitih standarda traže sustavne dokaze:
| Revizorska perspektiva | Fokus i traženi dokazi |
|---|---|
| ISO/IEC 27001 | Organizacijski kontekst (točka 4), predanost najvišeg rukovodstva (točka 5), dokumentirane politike, registri organizacijskih rizika, kontinuirano poboljšanje |
| NIS2 | Integracija opskrbnog lanca i poslovnog rizika, poveznice s upravljanjem, upravljanje vanjskim partnerima |
| DORA | Operativna otpornost, izdvajanje poslovnih procesa/IKT rizik, odgovor na incidente i preispitivanje na razini upravljačkog tijela |
| ISACA/COBIT 2019 | Usklađenost IT-a i poslovanja, integracija kontrola, odgovornost upravljačkog tijela, mjerenje uspješnosti |
“Odgovornost uprave za rizik dobavljača mora se dokazati zapisnicima sjednica upravljačkog tijela, izričitim zapisima pregleda dobavljača i dokazima o naučenim lekcijama/korektivnim radnjama iz stvarnih incidenata ili problema s dobavljačima.”
(Zenith Controls: pregled revizijske metodologije)
Clarysecov skup alata osigurava da se svi ti dokazi sustavno generiraju i mapiraju za bilo koji okvir.
Otpornost izvan IT-a: neprekidnost poslovanja i učenje iz incidenata
IKT spremnost za neprekidnost poslovanja: primjer usklađenosti kroz okvire
Što revizori očekuju od kontrola poput ISO/IEC 27002:2022 kontrole 5.30?
| Revizorska perspektiva | Područje fokusa | Potporni okviri |
|---|---|---|
| ISO/IEC 27001 | Analiza utjecaja na poslovanje (BIA), ciljevi vremena oporavka (RTO), dokazi o testovima oporavka od katastrofe, uključivanje u preglede rizika i preispitivanja od strane uprave | ISO/IEC 22301, ISO/IEC 22313 |
| DORA | Regulatorni zahtjevi za RTO, testovi otpornosti, uključivanje kritičnih pružatelja, napredno penetracijsko testiranje | DORA Articles 11-14 |
| NIST | Zrelost funkcija odgovora/oporavka, definicija procesa, aktivno mjerenje | NIST CSF PR.IP, RS.RP, RC.RP |
| COBIT/ISACA | Vlasništvo upravljačkog tijela, RACI matrice, KPI-jevi, metrike upravljanja | COBIT APO12, BAI04 |
Ovdje revizori zahtijevaju upravljačku povratnu petlju koja povezuje poslovne zahtjeve s tehničkim kontrolama, potvrđenu testiranjem i kontinuiranim preispitivanjem. Zenith Controls pokazuju da je otpornost mreža procesa, a ne proizvod.
Odgovor na incidente: sustavno učenje naspram zatvaranja prijave
- Tehnički pristup: incident je otkriven, ograničen, prijava je zatvorena.
- Sustav upravljanja:
- Plan: unaprijed definiran odgovor, međufunkcionalne uloge, sigurna komunikacija.
- Procjena: utjecaj je izmjeren, poslovni zahtjev određuje eskalaciju.
- Odgovor: koordinirano djelovanje, postupanje s dokazima, obavještavanje dionika (prema obvezama izvješćivanja iz NIS2/DORA).
- Pregled/učenje: naknadna analiza, uklanjanje temeljnog uzroka, ažuriranja politika/procesa (kontinuirano poboljšanje).
Clarysecov blueprint i mapirane kontrole provode ovaj ciklus u praksi, osiguravajući da svaki incident potiče sustavno poboljšanje i uspjeh na reviziji.
Zamke i kritične točke: gdje nastaju neuspjesi revizije i kako ih riješiti
| Zamka | Način neuspjeha u reviziji | Clarysecovo rješenje |
|---|---|---|
| ISMS „samo u IT-u” | Opseg sustava upravljanja preuzak je za standarde | Zenith Blueprint faza 1 za dodjelu uloga na razini cijele organizacije |
| Politike usmjerene na IT | Nedostaju rizik, dobavljači, HR i pravni opseg; nije moguće proći NIS2/DORA/GDPR | Clarysecov paket politika mapiran na Zenith Controls za potpunu pokrivenost |
| Nema sigurnosne provjere u procesu dobavljača | Nabava propušta regulatorne rizike | Usklađivanje Politike sigurnosti trećih strana i dobavljača, mapirano uvođenje/pregled |
| Preskočena ili slaba preispitivanja od strane uprave | Propuštaju se ključne točke sustava upravljanja | Zenith Blueprint faza 5, formalna preispitivanja vođena na razini upravljačkog tijela i registar poboljšanja |
| Radnje poboljšanja nisu vidljive kroz poslovanje | Potrebna je korektivna radnja na razini organizacije | Dokumentirana i sljediva metodologija poboljšanja (Clarysecov skup alata) |
Pretvaranje neuspjeha revizije u sustavni uspjeh: praktični koraci transformacije
Vaš daljnji put:
- Pokrenite s upravljačkim tijelom: svako putovanje počinje jasnim upravljanjem, predanošću politici, proračunskom potporom i usklađivanjem sa strateškim smjerom.
- Aktivirajte Blueprint: upotrijebite Clarysecov plan u 30 koraka za izgradnju sustava upravljanja po fazama, s međufunkcionalnim ključnim etapama i ciklusima poboljšanja.
- Uvedite mapirane politike: implementirajte Clarysecovu biblioteku politika na razini organizacije (uključujući Politiku informacijske sigurnosti i predanost najvišeg rukovodstva te Politiku sigurnosti trećih strana i dobavljača).
- Usporedno mapirajte kontrole: učinite svoje kontrole spremnima za reviziju kroz ISO, NIS2, DORA, GDPR i COBIT; koristite Zenith Controls vodič za usklađenost kroz okvire za potpuno mapiranje.
- Potičite kontinuirano poboljšanje: planirajte preispitivanja od strane uprave, sastanke o naučenim lekcijama i održavajte registar poboljšanja spreman za reviziju.
Ishod:
Usklađenost prerasta u poslovnu otpornost. Revizije postaju pokretači poboljšanja, a ne okidači panike.
Integracija usklađenosti kroz okvire: cjelovita mapa sustava upravljanja
Clarysecovi Zenith Controls ne pružaju samo „usklađenost”, nego stvarno usklađivanje: atribute za svaku kontrolu, mapiranu potporu za povezane standarde, metodologiju korak po korak i revizijske dokaze na razini upravljačkog tijela.
Samo za sigurnost dobavljača dobivate:
- Atributi: opseg, poslovna funkcija, kontekst rizika.
- Potporne kontrole: poveznice na neprekidnost poslovanja, HR provjere i upravljanje rizicima.
- Mapiranje ISO/okvira: poveznice na ISO/IEC 27005, 27014, 27036, NIS2, DORA, GDPR, COBIT 2019, NIST.
- Revizijski koraci: zadržavanje dokaza, protokoli pregleda, okidači ciklusa poboljšanja.
Ova sustavna integracija znači da se za revizije nikada ne pripremate parcijalno. Kontinuirano ste otporni, uz svakodnevno usklađivanje upravljačkog tijela, poslovanja i tehnologije.
Poziv na djelovanje: transformirajte usklađenost iz vatrozida u sustavnu spremnost za reviziju
Doba usklađenosti temeljene na perimetru je završilo. ISO 27001, NIS2 i DORA su sustavi upravljanja, a ne kontrolni popisi. Uspjeh znači vlasništvo na razini uprave, mapirane kontrole, dokumentirano poboljšanje i usklađivanje politika organizacije kroz svakog dobavljača, zaposlenika i poslovni proces.
Jeste li spremni prijeći s tehničkog kontrolnog popisa na stvarni sustav upravljanja?
- Započnite procjenu razlike u zrelosti pomoću Clarysecova skupa alata.
- Preuzmite Zenith Blueprint za cjeloviti plan u 30 koraka.
- Istražite Zenith Controls za mapirane kontrole spremne za reviziju.
- Aktivirajte politike na razini organizacije za robusnu usklađenost kroz ISO, NIS2, DORA i šire.
Neka vaša sljedeća revizija bude temelj stvarne poslovne otpornosti. Kontaktirajte Clarysec za demonstraciju spremnosti ISMS-a ili pristupite našem skupu alata kako biste usklađenost pretvorili iz neuspjelog kontrolnog popisa u živi sustav upravljanja.
Dodatni resursi:
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
