Mi a kompenzáló kontroll a tárolt adatok titkosítása esetén?

A kompenzáló kontroll olyan alternatív biztonsági intézkedés, amelyet akkor alkalmaznak, ha az elsődleges kontroll, például a tárolt adatok titkosítása, nem megvalósítható. Összemérhető védelmi szintet kell biztosítania ugyanazon kockázatok kezelésével, például az adatok bizalmasságának védelmével, ha egy adattároló eszköz elveszik vagy ellopják. Ilyen kontroll lehet az adatvesztés-megelőzés (DLP), a szigorú hozzáférés-szabályozás és az adatmaszkolás.

Elfogadják az auditorok a kompenzáló kontrollokat olyan keretrendszerek esetén, mint az ISO/IEC 27001:2022?

Igen, az auditorok elfogadják a megfelelően dokumentált és hatékony kompenzáló kontrollokat. Elvárják a kontroll szükségességét alátámasztó formális kockázatértékelést, annak bizonyítékait, hogy a kontrollt következetesen érvényesítik (például naplók, jelentések), valamint annak igazolását, hogy a kontroll ténylegesen mérsékli az eredeti kockázatot. A lényeg az érett, kockázatalapú megközelítés igazolása, nem pedig egy kontrollhiány utólagos magyarázata.

Hogyan kapcsolódnak a kompenzáló kontrollok a GDPR-megfeleléshez?

A GDPR Article 32 „megfelelő technikai és szervezési intézkedéseket” ír elő a személyes adatok védelmére. Bár a titkosítás ajánlott intézkedés, nem minden esetben kötelező. Ha a tárolt adatok titkosítása nem lehetséges, az olyan erős kompenzáló kontrollkészlet, mint az álnevesítés, az adatmaszkolás és a szigorú hozzáférés-felügyelet, segíthet igazolni a kellő gondosságot és teljesíteni a megfelelő biztonsági szint biztosítására vonatkozó követelményt.

Melyek a kompenzáló kontrollok bevezetésének leggyakoribb buktatói?

Gyakori buktató a hiányos dokumentáció, a formális kockázatelfogadás elmulasztása az üzleti vezetés részéről, olyan kontrollok bevezetése, amelyek nem fedik le az összes támadási vektort (például kimaradnak a felhőszinkronizációs szolgáltatások), valamint a hatékonyság rendszeres tesztelésének elhanyagolása. A kizárólag papíron létező kontroll nem nyújt valódi védelmet, és az auditort sem fogja meggyőzni.

Valóban kiválthatja az adatvesztés-megelőzés (DLP) a tárolt adatok titkosítását?

A DLP nem váltja ki a titkosítást, de erős kompenzáló kontrollként működhet. A titkosítás lopás esetén olvashatatlanná teszi az adatokat. A DLP célja, hogy az adatok eleve ne kerüljenek illetéktelen kézbe: figyeli és blokkolja a jogosulatlan adattovábbításokat. Szigorú hozzáférés-szabályozással és fizikai biztonsággal együtt olyan hatékony védelmi réteget alkot, amely meghatározott, dokumentált felhasználási esetekben a titkosításhoz mérhető védelmi szintet biztosíthat.

NIS2 DORA GDPR NIST COBIT 2019

A tárolt adatok titkosítása nem megoldható? CISO-útmutató auditálló kompenzáló kontrollokhoz

Clarysec szerkesztőség

November 25, 2025

18 min read

#Kockázatkezelés #Audit #IBIR #Adatvédelem #Kompenzáló kontrollok

Folyamatábra, amely a CISO háromfázisú folyamatát szemlélteti a tárolt adatok titkosítását helyettesítő kompenzáló kontrollok bevezetéséhez, beleértve a kockázatértékelést, a többrétegű védelmet (DLP, adatmaszkolás, hozzáférés-szabályozás), valamint az auditdokumentációt az ISO 27001, GDPR és NIST keretrendszerek szerint.

Az auditori megállapítás ismerős súllyal érkezett Sarah Chen CISO asztalára. Egy kritikus, bevételtermelő örökölt adatbázis — a vállalat gyártósorának működési központja — nem támogatta a korszerű, tárolt adatokra alkalmazott titkosítást. Az alaparchitektúra tízéves volt, a beszállító pedig már régen megszüntette a biztonsági frissítések biztosítását. Az auditor helyesen jelentős kockázatként jelölte meg. Az ajánlás így szólt: „Minden tárolt érzékeny adatot iparági szabványoknak megfelelő algoritmusokkal kell titkosítani.”

Sarah számára ez nem pusztán technikai probléma volt, hanem üzletmenet-folytonossági válság. A rendszer frissítése hónapokig tartó kiesést és több milliós költséget jelentett volna, amit az igazgatóság nem fogadott volna el. Ugyanakkor az érzékeny szellemi tulajdon nagy mennyiségű, titkosítatlan tárolása elfogadhatatlan kockázatot jelentett, és egyértelmű eltérés volt az információbiztonság-irányítási rendszer (IBIR) követelményeitől.

Ez a kiberbiztonság valósága: a tökéletes megoldások ritkák, a megfelelés pedig nem függeszthető fel. Ilyen helyzet áll elő, amikor kritikus biztonsági mentési fájlok örökölt rendszereken találhatók, amikor egy kulcsfontosságú SaaS-szolgáltató „technikai korlátokra” hivatkozik, vagy amikor nagy teljesítményű alkalmazások működését ellehetetleníti a titkosítás többletterhelése. A tankönyvi válasz — „egyszerűen titkosítsuk” — gyakran ütközik a működési valósággal.

Mi történik tehát, ha az elsődleges, előírt kontroll nem alkalmazható? A kockázatot nem lehet egyszerűen elfogadni. Okosabb és ellenállóbb védelmet kell kialakítani kompenzáló kontrollokkal. Ez nem kifogáskeresés, hanem annak bizonyítása, hogy a szervezet érett, kockázatalapú biztonságirányítást működtet, amely a legszigorúbb auditori vizsgálatot is kiállja.

Miért magas kockázatú követelmény a tárolt adatok titkosítása?

A tárolt adatok titkosítása valamennyi modern biztonsági keretrendszer alapvető kontrollja, beleértve az ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA és NIST SP 800-53 SC-28 követelményeit. Célja egyszerű, de kritikus: a tárolt adatokat olvashatatlanná kell tenni, ha a fizikai vagy logikai védelem meghibásodik. Egy elveszett biztonsági mentési szalag vagy egy ellopott, titkosítatlan adatokat tartalmazó szerver nem csupán technikai hiba; sok esetben jogszabály alapján bejelentésköteles adatsértés.

A kockázatok egyértelműek és jelentősek:

Hordozható adathordozók, például USB-meghajtók és biztonsági mentési szalagok ellopása vagy elvesztése.
Adatkitettség nem felügyelt, elfelejtett vagy örökölt eszközök miatt.
Natív lemez- vagy adatbázis-titkosítás alkalmazásának lehetetlensége meghatározott SaaS-, felhő-, OT- vagy örökölt környezetekben.
Adat-helyreállítási kockázatok, ha a titkosítási kulcsok elvesznek vagy nem megfelelően kezeltek.

Ezek a követelmények nem pusztán technikai jellegűek, hanem jogi kötelezettségek is. A GDPR Article 32, valamint a DORA Articles 5 and 10 kifejezetten „megfelelő technikai intézkedésként” ismeri el a titkosítást. A NIS2 ezt a rendszerek és információk sértetlenségének biztosításához szükséges alapkövetelményként kezeli. Ha ez az elsődleges védelem nem megvalósítható, a bizonyítási teher a szervezetre hárul: igazolnia kell, hogy az alternatív intézkedések azonos hatékonyságúak.

Elmozdulás az egyszerű jelölőnégyzettől a többrétegű védelem felé

Egy Sarahéhoz hasonló auditori megállapításra gyakran a pánik a reflexszerű reakció. Egy jól felépített IBIR azonban számol ezekkel a helyzetekkel. Sarah első lépése nem az infrastruktúra-csapat felhívása volt, hanem a szervezet Kriptográfiai kontrollok szabályzata dokumentumának megnyitása, amely Clarysec vállalati sablonokra épült. Közvetlenül ahhoz a ponthoz navigált, amely megalapozta a stratégiáját.

A Kriptográfiai kontrollok szabályzata szerint a 7.2.3 szakasz kifejezetten meghatározza a következő folyamatot:

„Alkalmazandó konkrét kompenzáló kontrollok meghatározása”

Ez a pont a CISO egyik legfontosabb eszköze. Elismeri, hogy az egységes, minden helyzetre azonos biztonsági megközelítés hibás, és jóváhagyott eljárást biztosít a kockázat kezelésére. A szabályzat nem önmagában működik. A 10.5 pont szerint közvetlenül kapcsolódik az Adatosztályozási és címkézési szabályzat dokumentumhoz, amely „meghatározza azokat az osztályozási szinteket (például Bizalmas, Szabályozott), amelyek konkrét titkosítási követelményeket váltanak ki.”

Ez a kapcsolat kritikus. Az örökölt adatbázis adatai „Bizalmas” besorolásúak voltak, ezért került megállapításra a titkosítás hiánya. Sarah feladata így egyértelművé vált: olyan erős kompenzáló kontrollrendszert kellett kialakítania, amely elfogadható szintre csökkenti az adatkitettség kockázatát.

Igazolható stratégia kialakítása a Zenith Blueprint alapján

A titkosítás a modern biztonság egyik alappillére, de ahogy a Clarysec Zenith Blueprint: auditori 30 lépéses ütemterv dokumentuma a 21. lépésben kifejti, a 8.24 Use of Cryptography kontroll nem egyszerűen arról szól, hogy „bekapcsoljuk a titkosítást”. Sokkal inkább arról, hogy „a kriptográfia beépüljön a szervezet tervezésébe, szabályzataiba és életciklus-kezelésébe”.

Ha a tervezés egyik eleme — az örökölt adatbázis — nem felel meg, a szabályzati és életciklus-kezelési elemeknek kell kompenzálniuk. Sarah csapata ezt a keretrendszert használta fel olyan többrétegű védelem megtervezéséhez, amelynek lényege, hogy az adat soha ne hagyja el a biztonságos, bár titkosítatlan tárolókörnyezetet.

1. kompenzáló kontroll: adatvesztés-megelőzés (DLP)

Ha az adat nem titkosítható ott, ahol tárolják, biztosítani kell, hogy ne hagyhassa el azt a környezetet. Sarah csapata adatvesztés-megelőzési (DLP) megoldást vezetett be digitális őrként. Ez nem egyszerű hálózati szabály volt, hanem kifinomult, tartalomtudatos kontroll.

A Clarysec Zenith Controls: keresztmegfelelési útmutató alapján a DLP-rendszert az ISO/IEC 27001:2022 8.12 Data leakage prevention kontrolljára vonatkozó iránymutatás szerint konfigurálták. A szabályokat közvetlenül a 5.12 Classification of information alapozta meg. Az örökölt adatbázisban lévő „Bizalmas” információk sémájának megfelelő minden adat automatikusan blokkolásra került e-mailben, webes feltöltéssel, vagy akár más alkalmazásokba történő másolás-beillesztéssel való továbbítás esetén.

Ahogy a Zenith Controls kifejti:

„Az adatvesztés-megelőzés (DLP) alapvetően a pontos adatosztályozástól függ. Az 5.12 kontroll biztosítja, hogy az adatokat érzékenységük szerint címkézzék… A DLP a folyamatos megfigyelés speciális formája, amely az adatmozgást célozza… A 8.12 érvényesítheti a szervezetet elhagyó adatokra vonatkozó titkosítási szabályokat, biztosítva, hogy az adatok adatkivitel esetén is olvashatatlanok maradjanak a jogosulatlan felek számára.”

Ezt a kontrollt több keretrendszer is elismeri; megfeleltethető a GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 és NIST SP 800-53 SI-4 követelményeinek. Bevezetésével Sarah csapata erős védelmi burkot hozott létre, amely biztosította, hogy a titkosítatlan adatok elszigeteltek maradjanak.

2. kompenzáló kontroll: adatmaszkolás nem éles felhasználásra

Az örökölt adatok egyik legnagyobb kockázata, hogy más környezetekben is felhasználják őket. A fejlesztőcsapat gyakran igényelt adatokat a termelési rendszerből új alkalmazásfunkciók teszteléséhez. Titkosítatlan, bizalmas adatok átadása számukra nem jöhetett szóba.

Sarah itt a Zenith Blueprint 20. lépéséhez fordult, amely a 8.11 Data masking területet tárgyalja. Az útmutató rámutat, hogy az auditorok célzottan meg fogják kérdezni: „Használnak-e valaha valós személyes adatokat tesztrendszerekben? Ha igen, hogyan védik azokat?”

Az iránymutatást követve Sarah csapata szigorú adatmaszkolási eljárást vezetett be. A fejlesztőcsapat által kért bármely adatkivonatnak automatizált folyamaton kellett átmennie, amely álnevesítette vagy anonimizálta az érzékeny mezőket. Az ügyfélneveket, saját fejlesztésű formulákat és termelési mutatókat valósághű, de fiktív adatok váltották fel. Ez az egy kontroll jelentős kockázati felületet szüntetett meg, biztosítva, hogy az érzékeny adat eredeti formájában soha ne hagyja el a szigorúan ellenőrzött éles környezetet.

3. kompenzáló kontroll: megerősített fizikai és logikai kontrollok

Az adatszivárgás és a nem éles felhasználás kezelése után az utolsó védelmi réteg magára a rendszerre összpontosított. A Zenith Controls 7.10 Storage media alapelveire támaszkodva Sarah csapata a fizikai szervert magas biztonsági szintű eszközként kezelte. Bár a 7.10 gyakran cserélhető adathordozókhoz kapcsolódik, életciklus-kezelési és fizikai biztonsági alapelvei teljes mértékben alkalmazhatók.

Ahogy a Zenith Controls erről megjegyzi:

„Az ISO/IEC 27002:2022 átfogó iránymutatást ad a Clause 7.10 alatt az adathordozók biztonságos kezelésére a teljes életciklusuk során. A szabvány azt javasolja a szervezeteknek, hogy vezessenek nyilvántartást minden cserélhető adathordozóról…”

E logika alapján a szervert az adatközpontban dedikált, zárt rackszekrénybe helyezték, amelyhez kizárólag két név szerint kijelölt szenior mérnök férhetett hozzá. A fizikai hozzáférés bejelentkezéshez kötött volt, és CCTV-felügyelet alatt állt. Hálózati oldalon a szervert szegmentált „legacy” VLAN-ba helyezték. A tűzfalszabályokat úgy állították be, hogy alapértelmezetten minden forgalmat tiltsanak, és egyetlen kifejezett szabály engedélyezze a kommunikációt a kijelölt alkalmazásszervertől egy meghatározott porton. Ez a szélsőséges elkülönítés drasztikusan csökkentette a támadási felületet, a titkosítatlan adatokat pedig láthatatlanná és hozzáférhetetlenné tette.

Az audit kezelése: igazolható, több szempontú stratégia bemutatása

Amikor az auditor visszatért az utóellenőrzésre, Sarah nem magyarázkodott. Átfogó kockázatkezelési tervet mutatott be, dokumentációval, naplókkal és a csapata kompenzáló kontrolljainak élő demonstrációival. Az audit nem egyszeri esemény, hanem több szempontból folytatott szakmai párbeszéd; a CISO-nak mindegyikre fel kell készülnie.

Az ISO/IEC 27001 auditor nézőpontja: Az auditor az operatív hatékonyságot akarta látni. Sarah csapata bemutatta, ahogy a DLP-rendszer blokkol egy jogosulatlan e-mailt, megmutatta a futó adatmaszkolási szkriptet, és munkajegyekkel összevetett fizikai hozzáférési naplókat adott át.

A GDPR és az adatvédelmi nézőpont: Az auditor azt kérdezte, hogyan érvényesül az adattakarékosság. Sarah bemutatta a gyorsítótárazott adatok biztonságos törlésére szolgáló automatizált szkripteket, valamint az éles rendszert elhagyó bármely adat álnevesítési folyamatát, összhangban a GDPR Article 25 (Data protection by design and by default) követelményével. A Kriptográfiai kontrollok szabályzata kkv-k számára kifejezetten a DPO felelősségévé teszi, hogy „biztosítsa a titkosítási kontrollok összhangját a GDPR Article 32 szerinti adatvédelmi kötelezettségekkel.”

A NIS2/DORA nézőpont: Ez a megközelítés az operatív rezilienciára összpontosít. Sarah bemutatta az elkülönített rendszer biztonsági mentési és helyreállítási teszteredményeit, valamint az örökölt szoftverhez kapcsolódó beszállítói biztonsági kiegészítéseket, igazolva a NIS2 Article 21 és DORA Article 9 által megkövetelt proaktív kockázatkezelést.

A NIST/COBIT nézőpont: Az ilyen keretrendszereket alkalmazó auditor irányítást és mérőszámokat keres. Sarah bemutatta a frissített kockázati nyilvántartást, amely a maradványkockázat formális elfogadását tartalmazta (COBIT APO13). A DLP-t a NIST SP 800-53 SI-4 (System Monitoring), a hálózati szegmentálást az SC-7 (Boundary Protection), a hozzáférés-szabályozást pedig az AC-3 és AC-4 követelményekhez térképezte, bizonyítva, hogy bár az SC-28 (Protection of Information at Rest) közvetlenül nem teljesült, egy egyenértékű kontrollkészlet működik.

Fő auditori bizonyítékok kompenzáló kontrollokhoz

A stratégia hatékony kommunikációjához Sarah csapata olyan bizonyítékokat készített elő, amelyek illeszkednek az auditorok elvárásaihoz.

Auditori nézőpont	Szükséges bizonyítékok	Gyakori auditteszt
ISO/IEC 27001	Kockázati nyilvántartási bejegyzések, szabályzati kivételnaplók, DLP-szabályok, adathordozó-nyilvántartások	Kockázati/kivételi naplók felülvizsgálata, DLP-műveleti naplók bekérése; adathordozó-életciklus visszakövetése.
GDPR	Adatmaszkolási eljárások, incidensbejelentésre való felkészültség, adattörlési nyilvántartások	Minta-adatkészletek felülvizsgálata (maszkolt és nem maszkolt), DLP-kiváltó mechanizmusok tesztelése, adatsértési forgatókönyv szimulálása.
NIS2/DORA	Biztonsági mentési/helyreállítási teszteredmények, beszállítói biztonsági értékelések, incidensreagálási gyakorlatok	Adatexport-kísérlet szimulálása; biztonsági mentések kezelési folyamatainak felülvizsgálata; DLP-kontrollok tesztelése kritikus adatokon.
NIST/COBIT	Technikai megfigyelési naplók, szabályzati integrációs dokumentáció, munkatársi interjúk	Adatkivitel szimulálása, szabályzat és eljárás összevetése, kulcsfontosságú adatgazdák és rendszergazdák interjúztatása.

E különböző nézőpontokra előre felkészülve Sarah egy potenciális nemmegfelelőséget a biztonsági érettség bizonyítékává alakított.

Gyakorlati összefoglaló a következő audithoz

A stratégia egyértelmű és igazolható bemutatásához Sarah csapata összefoglaló táblázatot készített a kockázatkezelési tervben. Ezt a megközelítést bármely szervezet alkalmazhatja.

Kockázat	Elsődleges kontroll (nem megvalósítható)	Kompenzáló kontrollstratégia	Clarysec-erőforrás	Bizonyíték az auditor számára
Tárolt adatok jogosulatlan közzététele	Teljes lemeztitkosítás (AES-256)	1. Adatvesztés-megelőzés (DLP): Minden jogosulatlan adatkivitel-kísérlet megfigyelése és blokkolása tartalom és kontextus alapján.	Zenith Controls (8.12)	DLP-szabályzatkonfiguráció, riasztási naplók, incidensreagálási eljárások.
		2. Szigorú logikai hozzáférés-szabályozás: A szerver elkülönítése szegmentált hálózatban, „mindent tiltó” tűzfalszabályokkal és erősen korlátozott szolgáltatásfiók-hozzáféréssel.	Zenith Controls (8.3)	Hálózati ábrák, tűzfalszabály-készletek, felhasználói hozzáférés-felülvizsgálatok, szolgáltatásfiókok hitelesítő adatainak szabályzata.
		3. Megerősített fizikai biztonság: A szerver elhelyezése dedikált, zárt rackszekrényben, naplózott és felügyelt fizikai hozzáféréssel.	Zenith Controls (7.10)	Adatközponti hozzáférési naplók, CCTV-felvételekre vonatkozó nyilvántartások, rackkulcs-kiadási lapok.
Érzékeny adatok használata nem éles környezetekben	Tesztadatmásolatok titkosítása	Adatmaszkolás: Formális eljárás bevezetése minden adatkivonat álnevesítésére vagy anonimizálására teszt- vagy fejlesztési felhasználás előtt.	Zenith Blueprint (Step 20)	Formális adatmaszkolási eljárásdokumentum, maszkolási szkriptek demonstrációja, minta maszkolt adatkészlet.

Keresztmegfelelési áttekintés

Az erős kompenzáló kontrollstratégia valamennyi jelentős keretrendszerben igazolható. A Clarysec Zenith Controls olyan megfeleltetési térképet biztosít, amely segít abban, hogy a védelmi intézkedések minden érintett számára érthetők és elfogadhatók legyenek.

Keretrendszer	Fő pont/hivatkozás	A kompenzáló kontrollok elismerése
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	A kockázatalapú megközelítés indokolt esetben lehetővé teszi az alternatív kontrollokat, például a DLP-t, az adathordozó-kezelést és az adatmaszkolást.
GDPR	Art. 5(1)(f), 25, 32	„Megfelelő” technikai intézkedéseket ír elő; az álnevesítés, a hozzáférés-szabályozás és a DLP teljesítheti ezt, ha a titkosítás nem megvalósítható.
NIS2	Art. 21, 23	Kockázatalapú megközelítést ír elő; az olyan rétegzett kontrollok, mint a DLP, a biztonsági mentések védelme és a beszállítói ellenőrzések, érvényes kockázatkezelési intézkedések.
DORA	Art. 5, 9, 10, 28	Az operatív rezilienciát hangsúlyozza; a DLP, a hozzáférés-szabályozás és a robusztus naplózás kulcsfontosságú a pénzügyi adatok védelméhez, titkosítással vagy anélkül.
NIST SP 800-53	SC-28, MP-2 to MP-7, AC-3/4, SI-4	Lehetővé teszi kompenzáló kontrollok alkalmazását; a DLP (SI-4), a hozzáférési korlátozások (AC-3) és az adathordozók nyomon követése (MP-sorozat) kezelhetik a titkosítatlan adatok kockázatait.
COBIT	DSS05, APO13, MEA03	Az irányításra és a mérésre összpontosít; a dokumentált kockázatelfogadás (APO13) és a kompenzáló kontrollok felügyelete (MEA03) igazolja a kellő gondosságot.

Következtetés: alakítsa erősséggé a leggyengébb láncszemet

A nem titkosítható örökölt adatbázis története nem kudarc története. Érett, tudatos kockázatkezelésről szól. Sarah csapata nem fogadta el az „ezt nem lehet megcsinálni” választ, hanem egy jelentős sérülékenységet a többrétegű védelem képességeinek bizonyítékává alakított. Megmutatták, hogy a biztonság nem egyetlen, „titkosítás” feliratú jelölőnégyzet kipipálásáról szól, hanem a kockázat megértéséről, valamint egy átgondolt, rétegzett és auditálható védelem kialakításáról annak mérséklésére.

Elkerülhetetlen, hogy az Ön szervezetében is legyen ehhez hasonló örökölt adatbázis. Amikor megtalálja, ne akadályként tekintsen rá. Tekintse lehetőségnek egy ellenállóbb és jobban igazolható biztonsági program kialakítására.

Készen áll saját auditálló kontrollkeretrendszerének felépítésére? Kezdje a megfelelő alapokkal.

Vizsgálja felül szabályzati ökoszisztémáját a Clarysec átfogó szabályzatkészleteivel.
Ismerje meg a Zenith Blueprint: auditori 30 lépéses ütemterv dokumentumot a bevezetés irányításához.
Használja a Zenith Controls: keresztmegfelelési útmutató erőforrást annak biztosítására, hogy védelmi intézkedései bármely nézőpontból megállják a helyüket.

Lépjen kapcsolatba a Clarysec csapatával személyre szabott workshopért vagy teljes keresztmegfelelési értékelésért. A mai szabályozási környezetben ugyanis a felkészültség az egyetlen kontroll, amely igazán számít.

Hivatkozások:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council