Više od oporavka: CISO vodič za izgradnju stvarne operativne otpornosti uz ISO 27001:2022
Maria, CISO u rastućoj fintech tvrtki, predstavlja upravi metrike rizika za treće tromjesečje. Slajdovi su jasni i pokazuju smanjenje broja ranjivosti te uspješne simulacije phishinga. Odjednom joj telefon uporno zavibrira. Prioritetno upozorenje voditelja sigurnosno-operativnog centra (SOC): “Otkriven ransomware. Širi se lateralno. Pogođene su ključne bankarske usluge.”
Ozračje u prostoriji iz samouvjerenog prelazi u napeto. Glavni izvršni direktor postavlja neizbježno pitanje: “Koliko brzo možemo vratiti sustave iz sigurnosne kopije?”
Maria zna da imaju sigurnosne kopije. Testiraju ih tromjesečno. No dok se njezin tim užurbano prebacuje na pričuvni sustav, kroz glavu joj prolazi niz drugih pitanja. Jesu li okruženja za oporavak sigurna ili će samo ponovno zaraziti obnovljene sustave? Funkcionira li zapisivanje događaja i dalje na pričuvnoj lokaciji ili radimo bez uvida u stanje? Tko ima hitni administratorski pristup i nadziru li se njihove radnje? Hoće li netko, u žurbi da usluge ponovno stavi u rad, poslati osjetljive podatke klijenata s osobnog računa e-pošte?
To je kritični trenutak u kojem tradicionalni plan oporavka nakon katastrofe nije dostatan, a stvarna operativna otpornost dolazi na provjeru. Nije riječ samo o povratku u rad, nego o povratku uz očuvanu cjelovitost. To je temeljna promjena načina razmišljanja koju zahtijeva ISO/IEC 27001:2022: pomak od pukog oporavka prema održavanju cjelovitog i neprekinutog sigurnosnog profila, čak i usred kaosa.
Suvremena definicija otpornosti: sigurnost nikada ne staje
Godinama je planiranje neprekidnosti poslovanja bilo snažno usmjereno na ciljno vrijeme oporavka (RTO) i ciljnu točku oporavka (RPO). Iako su nužni, ti pokazatelji govore samo dio priče. Mjere brzinu i gubitak podataka, ali ne mjere sigurnosni profil tijekom same krize.
ISO/IEC 27001:2022, osobito kroz kontrole iz Priloga A, podiže raspravu na višu razinu. Prepoznaje da poremećaj nije tipka za pauziranje informacijske sigurnosti. Naprotiv, kaos krize upravo je trenutak u kojem su sigurnosne kontrole najvažnije. Napadači koriste zbrku i iskorištavaju upravo ona zaobilazna rješenja i hitne postupke koji su osmišljeni za obnovu usluge.
Otpornost u ISO/IEC 27001:2022 znači održavanje informacijske sigurnosti tijekom poremećaja (kontrola 5.29 iz Priloga A), robusnu IKT spremnost za neprekidnost poslovanja (5.30) i pouzdano sigurnosno kopiranje informacija (8.13). Cilj je osigurati da vaš odgovor ne stvori nove i opasnije ranjivosti. Kako je opisano u Clarysec Zenith Blueprint: revizorski plan u 30 koraka Zenith Blueprint, “revizori će tražiti usklađenost ne samo s politikom, nego i sa stvarnim stanjem.” Tu većina organizacija podbaci — planiraju dostupnost, ali ne i održavanje usklađenosti kroz kaos.
Temelj: zašto otpornost počinje kontekstom, a ne kontrolama
Prije nego što možete učinkovito implementirati konkretne kontrole otpornosti, morate izgraditi čvrst sustav upravljanja informacijskom sigurnošću (ISMS). Mnoge organizacije ovdje posrnu jer odmah prelaze na Prilog A, bez pravilno postavljenih temelja.
Zenith Blueprint naglašava početak s ključnim točkama ISMS-a jer je taj temeljni rad podloga otpornosti. Proces počinje razumijevanjem jedinstvenog okruženja vaše organizacije:
- Točka 4: Kontekst organizacije: razumijevanje konteksta organizacije, uključujući unutarnja i vanjska pitanja te zahtjeve dionika, i definiranje opsega ISMS-a.
- Točka 5: Vodstvo: osiguravanje predanosti najvišeg rukovodstva, uspostava politike informacijske sigurnosti te definiranje organizacijskih uloga i odgovornosti.
- Točka 6: Planiranje: provedba temeljite procjene rizika i planiranja obrade rizika te postavljanje jasnih ciljeva informacijske sigurnosti.
Za Marijinu fintech tvrtku, temeljita analiza prema Točki 4 prepoznala bi regulatorne pritiske DORA i NIS2 kao ključna vanjska pitanja. Procjena rizika prema Točki 6 modelirala bi upravo scenarij ransomwarea s kojim se sada suočava, ističući rizik kompromitiranih okruženja za oporavak i nedostatnog zapisivanja događaja tijekom incidenta. Bez tog konteksta svaki je plan otpornosti tek pogađanje u mraku.
Dva stupa operativne otpornosti u ISO/IEC 27001:2022
Unutar okvira ISO/IEC 27001:2022, dvije kontrole iz Priloga A izdvajaju se kao stupovi operativne otpornosti: Sigurnosno kopiranje informacija (8.13) i Informacijska sigurnost tijekom poremećaja (5.29).
Kontrola 8.13: Sigurnosno kopiranje informacija — ključna sigurnosna mreža
To je kontrola za koju svi misle da je imaju pokrivenu. No stvarno učinkovita strategija sigurnosnog kopiranja više je od kopiranja datoteka. To je korektivna kontrola usmjerena na cjelovitost i dostupnost, duboko povezana s nizom drugih kontrola.
Atributi: korektivna; cjelovitost, dostupnost; oporavak; neprekidnost; zaštita.
Operativna sposobnost: neprekidnost.
Sigurnosna domena: zaštita.
Revizijski uvid: Revizor će zahtijevati više od odgovora “da” na pitanje “Imate li sigurnosne kopije?”. Tražit će zapise dnevnika koji dokazuju postojanje nedavnih sigurnosnih kopija, dokaz da su testovi vraćanja bili uspješni i potvrdu da su mediji za sigurnosne kopije bili šifrirani, sigurno pohranjeni i da su obuhvatili svu kritičnu imovinu definiranu u vašem popisu imovine.
Scenarij: Sustav je obrisan ransomwareom ili kritičnom pogreškom konfiguracije. Vaša sposobnost oporavka uz očuvanu cjelovitost ovisi o zreloj strategiji sigurnosnog kopiranja. Revizori će provjeriti da ta strategija nije izolirana, nego povezana s drugim ključnim kontrolama:
- 5.9 Popis informacija i druge povezane imovine: Ne možete sigurnosno kopirati ono za što ne znate da postoji. Sveobuhvatan popis imovine obvezan je preduvjet.
- 8.7 Zaštita od zlonamjernog softvera: Sigurnosne kopije moraju biti izolirane i zaštićene od ransomwarea kojem trebaju odoljeti. To uključuje uporabu nepromjenjive pohrane ili kopija odvojenih zračnim razmakom.
- 5.31 Pravne, zakonske, regulatorne i ugovorne obveze: Jesu li vaši rasporedi zadržavanja sigurnosnih kopija i lokacije pohrane usklađeni sa zahtjevima rezidentnosti podataka i ugovornim obvezama?
- 5.33 Zaštita zapisa: Ispunjavaju li vaše sigurnosne kopije zahtjeve zadržavanja i privatnosti za osobne podatke (PII), financijske zapise ili druge regulirane podatke?
Kontrola 5.29: Informacijska sigurnost tijekom poremećaja — čuvar cjelovitosti
To je kontrola koja razlikuje usklađen ISMS od otpornog ISMS-a. Izravno odgovara na ključna pitanja koja Mariju prate tijekom krize: kako održati sigurnost kada primarni alati i procesi nisu dostupni? Kontrola 5.29 zahtijeva da sigurnosne mjere budu planirane i učinkovite tijekom cijelog događaja poremećaja.
Atributi: preventivna, korektivna; zaštita, odgovor; povjerljivost, cjelovitost, dostupnost.
Operativna sposobnost: neprekidnost.
Sigurnosna domena: zaštita, otpornost.
Revizijski uvid: Revizori pregledavaju planove neprekidnosti poslovanja i oporavka nakon katastrofe posebno kako bi pronašli dokaz da su sigurnosni aspekti uzeti u obzir. Provjeravaju sigurnosne konfiguracije alternativnih lokacija, potvrđuju da se održavaju zapisivanje događaja i kontrole pristupa te detaljno ispituju sve pričuvne procese zbog sigurnosnih slabosti, a ne samo zbog njihove sposobnosti obnove usluge.
Scenarij: Primarni podatkovni centar nije dostupan i premještate operacije na pričuvnu lokaciju. Revizori očekuju dokaze — izvješća o obilasku lokacije, konfiguracijske datoteke, evidencije pristupa — da sekundarna lokacija ispunjava vaše primarne sigurnosne zahtjeve. Je li vaš hitni prelazak na rad na daljinu proširio zaštitu krajnjih uređaja i siguran pristup na sve uređaje? Jeste li dokumentirali odluke o privremenom ublažavanju i kasnijoj ponovnoj uspostavi pojedinih kontrola?
Zenith Blueprint savršeno sažima bit: “Ključno je da sigurnost ne staje dok se sustavi obnavljaju. Kontrole mogu promijeniti oblik, ali cilj ostaje isti: zaštititi informacije, čak i pod pritiskom.” Ova kontrola prisiljava vas da planirate za neurednu stvarnost krize i čvrsto je povezana s drugim kontrolama:
- 5.30 IKT spremnost za neprekidnost poslovanja: osigurava da tehnički plan oporavka ne zanemari sigurnosni plan.
- 8.16 Aktivnosti praćenja: zahtijeva da imate način održavanja vidljivosti čak i kada primarni alati za praćenje nisu dostupni.
- 5.24 Planiranje i priprema za upravljanje incidentima informacijske sigurnosti: krizni timovi i timovi za neprekidnost poslovanja moraju raditi usporedno, uz održavanje svijesti o odgovoru na incidente tijekom poremećaja.
- 5.28 Prikupljanje dokaza: osigurava da u žurbi za obnovom ne uništite ključne forenzičke dokaze potrebne za istragu i regulatorno izvješćivanje.
Praktični vodič za implementaciju revizijski provjerljive otpornosti
Prevođenje ovih kontrola iz teorije u praksu zahtijeva jasne, provedive politike i postupke. Clarysec predlošci politika osmišljeni su tako da ta načela izravno ugrade u vaš ISMS. Primjerice, naša Politika sigurnosnog kopiranja i vraćanja podataka Politika sigurnosnog kopiranja i vraćanja podataka pruža okvir koji nadilazi jednostavne rasporede sigurnosnog kopiranja:
“Politika provodi kontrole ISO/IEC 27001:2022 povezane s prikupljanjem dokaza (5.28), otpornošću tijekom poremećaja (5.29), operativnim oporavkom (8.13) i brisanjem informacija (8.10) te se mapira na najbolje prakse iz ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA i NIS2.”
Ovaj cjeloviti pristup pretvara otpornost iz apstraktnog pojma u skup revizijski provjerljivih operativnih zadataka.
Provedbeni kontrolni popis: revizija strategije sigurnosnog kopiranja i otpornosti
Upotrijebite ovaj kontrolni popis, zajedno sa sveobuhvatnom politikom, kako biste pripremili dokaze koje će revizor zahtijevati.
| Revizijsko pitanje | Referenca kontrole | Smjernice Clarysec politike | Dokazi koje treba pripremiti |
|---|---|---|---|
| Je li opseg sigurnosnog kopiranja usklađen s vašom analizom utjecaja na poslovanje (BIA) i popisom imovine? | 8.13, 5.9 | Politika zahtijeva povezivanje rasporeda sigurnosnog kopiranja s klasifikacijom kritičnosti informacijske imovine. | Popis imovine s ocjenama kritičnosti; konfiguracija sigurnosnog kopiranja koja prikazuje prioritetne sustave. |
| Provode li se testovi vraćanja redovito i dokumentiraju li se rezultati? | 8.13, 9.2 | Politika definira minimalnu učestalost testiranja i zahtijeva izradu izvješća o testiranju, uključujući metrike vremena do vraćanja i provjere cjelovitosti podataka. | Planovi i izvješća o testovima vraćanja iz posljednjih 12 mjeseci; zapisi o provedenim korektivnim radnjama. |
| Kako su sigurnosne kopije zaštićene od ransomwarea? | 8.13, 8.7 | Politika određuje zahtjeve za nepromjenjivu pohranu, kopije odvojene zračnim razmakom ili izolirane mreže za sigurnosne kopije, usklađeno s kontrolama zaštite od zlonamjernog softvera. | Mrežni dijagrami; konfiguracijski detalji pohrane sigurnosnih kopija; skeniranja ranjivosti okruženja za sigurnosne kopije. |
| Održavaju li se sigurnosne kontrole tijekom postupka vraćanja? | 5.29, 8.16 | Politika upućuje na potrebu za sigurnim okruženjima za oporavak i nastavkom zapisivanja događaja, osiguravajući usklađenost s planom odgovora na incidente organizacije. | Plan odgovora na incidente; dokumentacija sigurnog sandbox okruženja za vraćanja; zapisi dnevnika iz nedavnog testa vraćanja. |
| Jesu li rasporedi zadržavanja sigurnosnih kopija usklađeni sa zakonima o zaštiti podataka? | 8.13, 5.34, 8.10 | Politika nalaže da pravila zadržavanja sigurnosnih kopija moraju biti usklađena s rasporedom zadržavanja podataka kako bi se izbjegla neograničena pohrana osobnih podataka (PII), čime se podupire pravo na brisanje iz GDPR-a. | Raspored zadržavanja podataka; konfiguracije poslova sigurnosnog kopiranja koje prikazuju rokove zadržavanja; postupci brisanja podataka iz sigurnosnih kopija. |
Imperativ višestruke usklađenosti: mapiranje otpornosti na DORA, NIS2 i šire
Za organizacije u kritičnim sektorima otpornost nije samo najbolja praksa prema ISO/IEC 27001:2022; ona je zakonski zahtjev. Propisi poput Uredbe o digitalnoj operativnoj otpornosti (DORA) i Direktive NIS2 snažno naglašavaju sposobnost izdržavanja IKT poremećaja i oporavka od njih.
Srećom, rad koji provodite za ISO/IEC 27001:2022 daje vam snažnu prednost. Clarysec Zenith Controls: Vodič za višestruku usklađenost Zenith Controls osmišljen je za izradu eksplicitnih tablica mapiranja koje revizorima i regulatorima dokazuju tu usklađenost. Proaktivna dokumentacija pokazuje da sigurnošću upravljate u njezinu punom pravnom kontekstu.
Naše su politike izrađene s tim ciljem. Politika zaštite podataka i privatnosti Politika zaštite podataka i privatnosti, primjerice, izričito navodi svoju ulogu u jačanju usklađenosti s DORA i NIS2 uz ISO/IEC 27001:2022.
Ova tablica mapiranja prikazuje kako temeljne kontrole otpornosti ispunjavaju zahtjeve kroz više glavnih okvira.
| Okvir | Ključne točke/članci | Kako se kontrole otpornosti (5.29, 8.13) mapiraju | Revizijska očekivanja |
|---|---|---|---|
| GDPR | čl. 32, 34, 5(1)(f), 17(1) | Zaštita podataka nastavlja se pod pritiskom; sustavi za sigurnosne kopije moraju podržavati vraćanje podataka i prava na brisanje; prijava povrede podataka potrebna je za ranjivosti nastale tijekom kriza. | Pregled zapisa dnevnika sigurnosnog kopiranja, testova vraćanja, dokaza o brisanju podataka iz sigurnosnih kopija i zapisa o incidentima tijekom poremećaja. |
| NIS2 | čl. 21(2)(d), 21(2)(f), 21(2)(h), 23 | Operativna otpornost je obvezna; kontrole moraju osigurati neprekidnost poslovanja i valjanost sigurnosnih kopija; krizno upravljanje mora održati zaštitu informacija. | Detaljan pregled planova neprekidnosti poslovanja, rasporeda sigurnosnog kopiranja, dokaza da kontrole sigurnosnog kopiranja rade kako je zahtijevano te izvješća o postupanju s incidentima. |
| DORA | čl. 10(1), 11(1), 15(3), 17, 18 | Obvezno je testiranje otpornosti, uz međureferenciranje postupanja s incidentima, vraćanja iz sigurnosne kopije i kontrola dobavljača za IKT usluge. | Revizija vježbi otpornosti, zapisa dnevnika vraćanja sigurnosnih kopija, odredbi s dobavljačima o oporavku podataka i izvješća o incidentima. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Neprekidnost poslovanja i upravljanje rizicima moraju biti povezani; mogućnosti sigurnosnog kopiranja i vraćanja dokazuju se metrikama, zapisima dnevnika i ciklusima kontinuiranog poboljšanja. | Revizija pregleda neprekidnosti poslovanja, mjera učinkovitosti sigurnosnog kopiranja, zapisa dnevnika te zapisa o otklanjanju nedostataka i poboljšanjima. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Rješenja za sigurnosno kopiranje i odgovor na incidente temeljne su kontrole oporavka; zapisivanje događaja i testovi vraćanja obvezni su za dokazivanje sposobnosti. | Provjera mogućnosti vraćanja, sigurnosti sigurnosnih kopija, upravljanja zadržavanjem i postupaka rješavanja incidenata. |
Izgradnjom ISMS-a na robusnom okviru ISO/IEC 27001:2022 istodobno gradite dokaziv položaj za ove druge stroge propise.
Iz perspektive revizora: kako će se testirati vaša otpornost
Revizori su osposobljeni gledati dalje od politika i tražiti dokaz provedbe. Kada je riječ o otpornosti, žele vidjeti dokaze discipline pod pritiskom. Revizija vaših sposobnosti otpornosti bit će višedimenzionalna, pri čemu će se različiti revizori usredotočiti na različite vrste dokaza.
| Perspektiva revizora (okvir) | Ključno područje fokusa | Vrste traženih dokaza |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Integracija sigurnosti u planove neprekidnosti poslovanja i oporavka nakon katastrofe | Pregled dokumentacije neprekidnosti poslovanja i oporavka nakon katastrofe radi potvrde da su sigurnosni aspekti ugrađeni, a ne samo naknadno dodani. Provjera da alternativne lokacije imaju ekvivalentne sigurnosne kontrole. |
| COBIT 2019 (DSS04) | Kontinuirano poboljšanje i pregled nakon incidenta | Ispitivanje izvješća nakon stvarnih poremećaja ili vježbi. Fokus je na tome jesu li sigurnosne praznine utvrđene tijekom događaja dokumentirane i otklonjene. |
| NIST SP 800-53A (CP-10) | Provjera oporavka i ponovne uspostave | Testiranje temeljeno na scenarijima, kroz stolne vježbe ili praktične vježbe. Revizori procjenjuju sposobnost organizacije da održava sigurnosne kontrole tijekom procesa oporavka. |
| ISACA ITAF | Dokumentirano prihvaćanje rizika | Dokumentiranje i pregled prihvaćanja rizika donesenih tijekom poremećaja. Dokazi moraju biti u registru rizika ili planu neprekidnosti poslovanja, uz jasno ovlaštenje. |
Uobičajene zamke: gdje planovi otpornosti često zakažu u praksi
Clarysec nalazi revizije pokazuju ponavljajuće slabosti koje potkopavaju čak i najbolje napisane planove. Izbjegnite ove uobičajene zamke:
- Ručni pričuvni procesi nemaju dostatnu sigurnost. Kada sustavi prestanu raditi, zaposlenici se vraćaju proračunskim tablicama i e-pošti. Ti ručni procesi često nemaju fizičku ili logičku sigurnost primarnih sustava.
- Rješenje: Ugradite fizičku zaštitu (zaključani ormari, evidencije pristupa) i logičke kontrole (šifrirane datoteke, sigurni komunikacijski kanali) u krizne protokole za ručna zaobilazna rješenja.
- Alternativne lokacije nisu u potpunosti konfigurirane. Pričuvni podatkovni centar ima poslužitelje i podatke, ali može nemati ekvivalentna pravila vatrozida, agente za zapisivanje dnevnika ili integracije kontrole pristupa.
- Rješenje: Dokumentirajte ekvivalentnost sigurnosnih kontrola između primarne i sekundarne lokacije. Provodite redovite tehničke revizije pričuvne lokacije i uključite predstavnike sigurnosti u sve vježbe prebacivanja na pričuvni sustav.
- Testovi vraćanja nepotpuni su ili ad hoc. Organizacije testiraju može li se poslužitelj vratiti, ali ne provjeravaju je li obnovljena aplikacija sigurna, bilježi li događaje i radi li ispravno pod opterećenjem.
- Rješenje: Sveobuhvatni testovi vraćanja sigurnosnih kopija, uključujući sigurnosnu provjeru, moraju biti obvezan dio vježbi incidenata i godišnjih revizijskih pregleda.
- Privatnost podataka u sigurnosnim kopijama se zanemaruje. Sigurnosne kopije mogu postati rizik usklađenosti jer zadržavaju podatke koji su prema pravu na brisanje iz GDPR-a trebali biti izbrisani.
- Rješenje: Uskladite postupke zadržavanja i brisanja sigurnosnih kopija s politikama privatnosti podataka. Osigurajte dokumentirani postupak za brisanje određenih podataka iz skupova sigurnosnih kopija kada je to zakonski potrebno.
Od usklađenosti do otpornosti: izgradnja kulture kontinuiranog poboljšanja
Postizanje otpornosti nije jednokratni projekt koji završava certifikacijom. To je trajna obveza poboljšanja, ugrađena u Točku 10 norme ISO/IEC 27001:2022. Stvarno otporna organizacija uči iz svakog incidenta, svakog zamalo nastalog događaja i svakog nalaza revizije.
To zahtijeva odmak od reaktivnih ispravaka. Zenith Blueprint predlaže ugradnju kontinuiranog poboljšanja u organizacijsku kulturu uspostavom kanala putem kojih zaposlenici mogu predlagati sigurnosna poboljšanja, provedbom proaktivnih procjena rizika kada nastanu značajne promjene te provedbom temeljitih pregleda nakon incidenta radi bilježenja naučenih lekcija.
Nadalje, Kontrola 5.35 (Neovisni pregled informacijske sigurnosti) ima ključnu ulogu. Uključivanje neovisne strane u pregled vašeg ISMS-a pruža nepristranu perspektivu koja može otkriti slijepe točke koje bi vaš interni tim mogao propustiti. Kako Zenith Blueprint snažno ističe: “…ono što razlikuje usklađen ISMS od stvarno otpornog jest sljedeće: spremnost postaviti teška pitanja i slušati kada su odgovori neugodni.”
Sljedeći korak: izgradnja nesalomljivog ISMS-a
Marijina kriza naglašava univerzalnu istinu: poremećaji su neizbježni. Bilo da je riječ o ransomwareu, prirodnoj katastrofi ili otkazu kritičnog dobavljača, vaša će organizacija biti testirana. Pitanje nije hoće li se to dogoditi, nego kako ćete odgovoriti. Hoćete li se samo oporaviti ili ćete odgovoriti otporno?
Izgradnja ISMS-a koji održava cjelovitost pod pritiskom zahtijeva strateški i cjelovit pristup. Počinje čvrstim temeljima, uključuje duboko povezane kontrole i održava se kulturom kontinuiranog poboljšanja. Nemojte čekati stvarni poremećaj da otkrije praznine u vašoj strategiji.
Jeste li spremni izgraditi ISMS koji nije samo usklađen, nego stvarno nesalomljiv?
- Preuzmite Clarysec Zenith Blueprint: revizorski plan u 30 koraka kako biste vodili svoju implementaciju od početka do kraja.
- Iskoristite naše sveobuhvatne predloške politika, poput Politike sigurnosnog kopiranja i vraćanja podataka, kako biste standarde pretvorili u konkretne, revizijski provjerljive radnje.
- Upotrijebite Zenith Controls: Vodič za višestruku usklađenost kako biste osigurali da vaši napori ispune stroge zahtjeve ISO/IEC 27001:2022, DORA i NIS2.
Kontaktirajte nas danas za besplatnu procjenu otpornosti i dopustite stručnjacima Clarysec-a da vam pomognu izgraditi ISMS koji uspješno djeluje pod pritiskom.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
