Nuo debesijos chaoso iki auditui atsparios aplinkos: ISO 27001:2022 debesijos saugumo programos kūrimas naudojant Clarysec Zenith Toolkit
Atitikties praraja: realus debesijos chaosas audito dėmesio centre
Tai dažnas košmaras debesija besiremiančioms įmonėms. Į CISO Marijos pašto dėžutę ateina pranešimas: „Išankstinė audito pastaba: viešai pasiekiama S3 talpykla.“ Kyla panika. Vos prieš kelias dienas generalinis direktorius paprašė pateikti išsamius ISO 27001:2022 atitikties įrodymus svarbiam klientui. Į taikymo sritį patenka kiekvienas turtas, tiekėjas ir prieigos kelias, o NIS2, GDPR, DORA ir NIST reglamentavimo reikalavimai dar labiau apsunkina aplinką.
Marijos komanda turi stiprias technines kompetencijas. Jų migracija į debesiją buvo pažangi. Tačiau vien saugumo inžinerijos nepakanka. Iššūkis yra tarpas tarp saugumo įgyvendinimo – MFA nustatymų, turto žymėjimo, talpyklų politikų – ir saugumo pagrindimo susietomis politikomis, audituojamais įrašais ir suderinimu tarp skirtingų atitikties sistemų.
Pavienių skriptų ir skaičiuoklių audito reikalavimams patenkinti nepakaks. Auditoriui ir svarbiam klientui rūpi nuolatinė atitiktis, kai kiekvienos kontrolės priemonės įrodymai susieti su standartais ir reglamentais, taikomais jų sektoriui. Tai ir yra atitikties praraja: skirtumas tarp debesijos operacijų ir tikros, auditui parengtos saugumo valdysenos.
Kaip organizacijos gali įveikti šią prarają ir pereiti nuo reaktyvaus taisymo prie kryžmine atitiktimi grindžiamos tvirtovės? Atsakymas – struktūruota metodika, susieti standartai ir operaciniai įrankių rinkiniai, sujungti Clarysec Zenith Blueprint.
Pirmasis etapas: tikslus debesijos ISVS taikymo srities apibrėžimas – pirmoji audito gynybos linija
Prieš diegiant bet kokias technines kontrolės priemones, jūsų informacijos saugumo valdymo sistema (ISVS) turi būti apibrėžta itin tiksliai. Tai pamatinis audito klausimas: „Kas patenka į taikymo sritį?“ Miglotas atsakymas, pvz., „mūsų AWS aplinka“, iš karto kelia rizikos signalus.
Iš pradžių Marijos komanda čia suklydo – jų taikymo sritis buvo aprašyta vienu sakiniu. Tačiau naudodama Clarysec Zenith Blueprint:
2 etapas: taikymo srities ir politikų pagrindas. 7 žingsnis: apibrėžkite ISVS taikymo sritį. Debesijos aplinkoms turite dokumentuoti, kurios paslaugos, platformos, duomenų rinkiniai ir verslo procesai įtraukti – iki VPC, regionų ir atsakingų darbuotojų lygio.
Kaip aiški taikymo sritis keičia atitiktį:
- Ji nustato tikslias techninių kontrolės priemonių ir rizikos valdymo ribas.
- Ji užtikrina, kad kiekvienas debesijos turtas ir duomenų srautas patektų į audito perimetrą.
- Ji leidžia auditoriui tiksliai žinoti, ką tikrinti, o jūsų komandai – stebėti kiekvienos kontrolės priemonės veiksmingumą.
ISVS taikymo srities lentelės pavyzdys
| Elementas | Įtraukta į taikymo sritį | Detalizacija |
|---|---|---|
| AWS regionai | Taip | eu-west-1, us-east-2 |
| VPC / potinkliai | Taip | Tik produkciniai VPC / potinkliai |
| Taikomosios programos | Taip | CRM, klientų PII srautai |
| Tiekėjų integracijos | Taip | SSO teikėjas, atsiskaitymų SaaS |
| Administravimo personalas | Taip | CloudOps, SecOps, CISO |
Toks aiškumas įtvirtina visus tolesnius atitikties žingsnius.
Debesijos ir tiekėjų valdysena: ISO 27001 kontrolės priemonė 5.23 ir bendros atsakomybės modelis
Debesijos paslaugų teikėjai yra vieni kritiškiausių jūsų tiekėjų. Vis dėlto daugelis organizacijų debesijos sutartis traktuoja kaip IT komunalines paslaugas ir nepakankamai dėmesio skiria valdysenai, rizikai ir vaidmenų priskyrimui. ISO/IEC 27001:2022 ISO/IEC 27001:2022 į tai atsako kontrolės priemone 5.23: Informacijos saugumas naudojant debesijos paslaugas.
Kaip paaiškinama Zenith Controls vadove, veiksminga valdysena nėra vien techniniai nustatymai – tai vadovybės patvirtintos politikos ir aiškios atsakomybės ribos.
Nustatykite vadovybės patvirtintą teminę debesijos naudojimo politiką, kurioje apibrėžiamas priimtinas naudojimas, duomenų klasifikavimas ir deramo patikrinimo reikalavimai kiekvienai debesijos paslaugai. Visuose debesijos paslaugų susitarimuose turi būti apibrėžti saugumo vaidmenys ir bendra atsakomybė už kontrolės priemones.
Clarysec Trečiųjų šalių ir tiekėjų saugumo politika pateikia patikimas pavyzdines nuostatas:
Visi tiekėjai, turintys prieigą prie debesijos išteklių, privalo būti įvertinti pagal riziką ir patvirtinti, o sutartinėse sąlygose turi būti nustatyti atitikties standartai ir bendradarbiavimas audito metu. Tiekėjų prieiga turi būti ribota laike, o jos panaikinimas turi būti pagrįstas dokumentuotais įrodymais.
MVĮ ir didžiųjų debesijos teikėjų iššūkis:
Kai derėtis dėl sąlygų su AWS ar Azure neįmanoma, dokumentuokite savo atsakomybes pagal paslaugų teikėjo standartines sąlygas ir susiekite kiekvieną kontrolės priemonę bendros atsakomybės modelyje. Tai tampa svarbiais audito įrodymais.
Kryžminis kontrolės priemonių susiejimas turi apimti:
- Kontrolės priemonė 5.22: tiekėjų paslaugų pakeitimų stebėsena ir peržiūra.
- Kontrolės priemonė 5.30: IRT parengtis veiklos tęstinumui (įskaitant išėjimo iš debesijos strategiją).
- Kontrolės priemonė 8.32: pakeitimų valdymas, itin svarbus debesijos paslaugoms.
Praktinė valdysenos lentelė: tiekėjų saugumas ir debesijos sutartys
| Tiekėjo pavadinimas | Pasiekiamas turtas | Sutarties nuostata | Atliktas rizikos vertinimas | Dokumentuotas prieigos panaikinimo procesas |
|---|---|---|---|---|
| AWS | S3, EC2 | Tiekėjo politika 3.1 | Taip | Taip |
| Okta | Tapatybės valdymas | Standartinės sąlygos | Taip | Taip |
| Stripe | Atsiskaitymų duomenys | Standartinės sąlygos | Taip | Taip |
Konfigūracijų valdymas (kontrolės priemonė 8.9): nuo politikos iki audituojamos praktikos
Daugelis audito nesėkmių kyla dėl konfigūracijų valdymo spragų. Neteisingai sukonfigūruota S3 talpykla atskleidė Marijos įmonę ne todėl, kad komandoms trūko kompetencijos, o todėl, kad jos neturėjo privalomų, dokumentuotų bazinių konfigūracijų ir pakeitimų valdymo.
ISO/IEC 27002:2022 kontrolės priemonė 8.9, Konfigūracijų valdymas, reikalauja dokumentuotų saugių bazinių konfigūracijų ir valdomų pakeitimų visam IT turtui. Clarysec Konfigūracijų valdymo politika nustato:
Saugi bazinė konfigūracija turi būti parengta, dokumentuota ir prižiūrima visoms sistemoms, tinklo įrenginiams ir programinei įrangai. Bet koks nukrypimas nuo šių bazinių konfigūracijų turi būti formaliai valdomas per pakeitimų valdymo procesą.
Auditui atsparios praktikos žingsniai:
- Dokumentuokite bazines konfigūracijas: apibrėžkite saugią kiekvienos debesijos paslaugos būseną (S3 talpykla, EC2 egzempliorius, GCP VM).
- Įgyvendinkite naudodami infrastruktūrą kaip kodą (IaC): taikykite bazines konfigūracijas per Terraform ar kitus diegimo modulius.
- Stebėkite konfigūracijos nukrypimą: naudokite debesijos paslaugų teikėjo savąsias arba trečiųjų šalių priemones (AWS Config, GCP Asset Inventory) atitikties patikroms realiuoju laiku.
Pavyzdys: saugios S3 talpyklos bazinės konfigūracijos lentelė
| Nustatymas | Privaloma reikšmė | Pagrindimas |
|---|---|---|
| block_public_acls | true | Apsaugo nuo netyčinio viešo pasiekiamumo ACL lygmeniu |
| block_public_policy | true | Apsaugo nuo viešo pasiekiamumo per talpyklos politiką |
| ignore_public_acls | true | Papildo daugiasluoksnės gynybos mechanizmą |
| restrict_public_buckets | true | Vieša prieiga ribojama tik konkretiems subjektams |
| server_side_encryption | AES256 | Užtikrina saugomų duomenų šifravimą |
| versioning | Enabled | Apsaugo nuo ištrynimo / pakeitimo klaidų |
Naudojant Clarysec Zenith Blueprint:
- 4 etapas, 18 žingsnis: įgyvendinkite A priedo kontrolės priemones konfigūracijų valdymui.
- 19–22 žingsniai: stebėkite bazines konfigūracijas naudodami konfigūracijos nukrypimo įspėjimus ir susiekite žurnalus su pakeitimų valdymo įrašais.
Visapusiškas turto valdymas: ISO, NIST ir reglamentavimo įrodymų susiejimas
Atitikties pagrindas yra jūsų turto apskaita. ISO/IEC 27001:2022 A.5.9 reikalauja atnaujintos viso debesijos ir tiekėjų turto apskaitos. Zenith Controls audito gairėse nurodomi nuolatiniai atnaujinimai, automatizuotas aptikimas ir atsakomybės susiejimas.
Turto apskaitos audito lentelė
| Turto tipas | Vieta | Savininkas | Kritiškumas verslui | Susieta su tiekėju | Paskutinė patikra | Konfigūracijos įrodymai |
|---|---|---|---|---|---|---|
| S3 talpykla X | AWS EU | John Doe | Aukštas | Taip | 2025-09-16 | MFA, šifravimas, viešos prieigos blokavimas |
| GCP VM123 | GCP DE | IT operacijos | Vidutinis | Ne | 2025-09-15 | Saugumo reikalavimus atitinkantis atvaizdis |
| SaaS jungtis | Azure FR | Pirkimai | Kritinis | Taip | 2025-09-18 | Tiekėjo sutartis, prieigos žurnalas |
Susiejimas auditoriams:
- ISO tikisi savininko priskyrimo, verslo kritiškumo ir nuorodų į įrodymus.
- NIST reikalauja automatizuoto aptikimo ir reagavimo žurnalų.
- COBIT reikalingas valdysenos susiejimas ir rizikos poveikio vertinimas balais.
Clarysec Zenith Blueprint padeda nustatyti šias bazines konfigūracijas, patikrinti aptikimo įrankius ir susieti kiekvieną turtą su jo audito įrašu.
Prieigos kontrolė: techninis įgyvendinimas ir politikos valdysena (kontrolės priemonės A.5.15–A.5.17)
Prieigos valdymas yra debesijos rizikos ir reguliacinio dėmesio pagrindas. Daugiaveiksnis autentifikavimas (MFA), mažiausių privilegijų principas ir reguliarios prieigos peržiūros yra privalomi keliose atitikties sistemose.
Zenith Controls (A.5.15, A.5.16, A.5.17) gairės:
MFA debesijos aplinkose turi būti pagrįstas konfigūracijos įrodymais ir susietas su įmonės patvirtintomis politikomis. Prieigos teisės turi būti susietos su verslo vaidmenimis ir reguliariai peržiūrimos, registruojant išimtis.
Clarysec Tapatybės ir prieigos valdymo politika nustato:
Prieigos teisės prie debesijos paslaugų turi būti suteikiamos, stebimos ir panaikinamos pagal verslo reikalavimus ir dokumentuotus vaidmenis. Žurnalai turi būti reguliariai peržiūrimi, o išimtys pagrindžiamos.
Clarysec Blueprint žingsniai:
- Nustatykite ir susiekite privilegijuotas paskyras.
- Patikrinkite MFA naudodami eksportuojamus audito žurnalus.
- Atlikite reguliarias prieigos peržiūras ir susiekite išvadas su Zenith Controls atributais.
Žurnalavimas, stebėsena ir reagavimas į incidentus: audito patikinimas tarp skirtingų sistemų
Veiksmingas žurnalavimas ir stebėsena nėra vien techninis procesas – jis turi būti grindžiamas politika ir audituojamas kiekvienai svarbiai verslo sistemai. ISO/IEC 27001:2022 A.8.16 ir susijusios kontrolės priemonės reikalauja centralizuoto žurnalų surinkimo, anomalijų aptikimo ir su politika susieto saugojimo.
Zenith Controls (A.8.16) nurodo:
Debesijos žurnalai turi būti centralizuotai agreguojami, turi būti įjungtas anomalijų aptikimas ir taikomos saugojimo politikos. Žurnalavimas yra įrodymų pagrindas reagavimui į incidentus pagal ISO 27035, GDPR Article 33, NIS2 ir NIST SP 800-92.
Marijos komanda, vadovaudamasi Clarysec žurnalavimo ir stebėsenos veiksmų planu, kiekvieną SIEM žurnalą pavertė naudingu įrodymu ir susiejo jį su audito kontrolės priemonėmis:
Žurnalavimo įrodymų lentelė
| Sistema | Žurnalų agregavimas | Saugojimo politika | Anomalijų aptikimas | Paskutinis auditas | Incidentų susiejimas |
|---|---|---|---|---|---|
| Azure SIEM | Centralizuota | 1 metai | Įjungta | 2025-09-20 | Susieta |
| AWS CloudTrail | Centralizuota | 1 metai | Įjungta | 2025-09-20 | Susieta |
Clarysec Blueprint, 4 etapas (19–22 žingsniai):
- Agreguokite žurnalus iš visų debesijos paslaugų teikėjų.
- Susiekite žurnalus su incidentais, pranešimais apie pažeidimus ir politikos nuostatomis.
- Automatizuokite audito įrodymų eksporto paketus.
Duomenų apsauga ir privatumas: šifravimas, teisės ir pažeidimų įrodymai
Debesijos saugumas neatsiejamas nuo privatumo įsipareigojimų, ypač reguliuojamose jurisdikcijose (GDPR, NIS2, sektorių reglamentai). ISO/IEC 27001:2022 A.8.24 ir į privatumą orientuotos kontrolės priemonės reikalauja įrodyto, politika pagrįsto šifravimo, pseudonimizavimo ir duomenų subjektų prašymų žurnalavimo.
Zenith Controls (A.8.24) santrauka:
Duomenų apsaugos kontrolės priemonės turi būti taikomos visam debesijoje saugomam turtui, remiantis ISO/IEC 27701, 27018 ir GDPR dėl pranešimų apie pažeidimus ir tvarkytojų vertinimo.
Clarysec Duomenų apsaugos ir privatumo politika:
Visi asmens ir jautrūs duomenys debesijos aplinkose turi būti šifruojami naudojant patvirtintus algoritmus. Duomenų subjektų teisės turi būti įgyvendinamos, o prieigos žurnalai turi pagrįsti prašymų atsekamumą.
Blueprint žingsniai:
- Peržiūrėkite ir registruokite visą šifravimo raktų valdymą.
- Eksportuokite prieigos žurnalus, pagrindžiančius GDPR prašymų atsekamumą.
- Simuliuokite pranešimų apie pažeidimus darbo eigas audito įrodymams gauti.
Duomenų apsaugos atitikties susiejimo lentelė
| Kontrolės priemonė | Atributas | ISO/IEC standartai | Reglamentavimo sluoksnis | Audito įrodymai |
|---|---|---|---|---|
| A.8.24 | Šifravimas, privatumas | 27018, 27701 | GDPR Art.32, NIS2 | Šifravimo konfigūracija, prieigos įrašas, pažeidimo žurnalas |
Kryžminis atitikties susiejimas: maksimalus kelių sistemų panaudojimas
Marijos įmonė susidūrė su persidengiančiais įsipareigojimais (ISO 27001, DORA, NIS2, NIST CSF, COBIT 2019). Naudojant Zenith Controls, kontrolės priemonės susiejamos taip, kad būtų išnaudotas kelių atitikties sistemų suderinamumas.
Atitikties sistemų susiejimo lentelė
| Sistema | Punktas / Article | Aptariama ISO 27001 kontrolės priemonė | Pateikiami audito įrodymai |
|---|---|---|---|
| DORA | Article 9 (IRT rizika) | 5.23 (debesijos tiekėjas) | Tiekėjų politika, sutarčių žurnalai |
| NIS2 | Article 21 (tiekimo grandinė) | 5.23 (tiekėjų valdymas), 8.9 (konfigūracijos) | Turto ir tiekėjų audito pėdsakas |
| NIST CSF | PR.IP-1 (bazinės konfigūracijos) | 8.9 (konfigūracijų valdymas) | Saugi bazinė konfigūracija, pakeitimų žurnalas |
| COBIT 2019 | BAI10 (konfigūracijų valdymas) | 8.9 (konfigūracijų valdymas) | CMDB, proceso rodikliai |
Bet kuri kontrolės priemonė, įgyvendinta su auditui parengtais įrodymais, tenkina kelių atitikties sistemų poreikius. Tai padidina atitikties efektyvumą ir užtikrina atsparumą kintančioje reglamentavimo aplinkoje.
Akistata su auditoriumi: vidinis pasirengimas skirtingoms metodikoms
Auditas nėra vertinimas per vieną prizmę. Nesvarbu, ar tai ISO 27001, NIST, DORA ar COBIT, kiekvienas auditorius tikrins pagal savo akcentus. Naudojant Clarysec įrankių rinkinį, jūsų įrodymai susiejami ir parengiami visoms perspektyvoms:
Auditoriaus klausimų ir įrodymų atsakymų pavyzdys
| Auditoriaus tipas | Dėmesio sritys | Pavyzdinės užklausos | Susieti Clarysec įrodymai |
|---|---|---|---|
| ISO 27001 | Politika, turtas, registruota kontrolės priemonė | Taikymo srities dokumentai, prieigos žurnalai | Zenith Blueprint, susietos politikos |
| NIST vertintojas | Operacijos, pakeitimų gyvavimo ciklas | Bazinių konfigūracijų atnaujinimai, incidentų žurnalai | Pakeitimų valdymo žurnalas, incidentų veiksmų planas |
| COBIT/ISACA | Valdysena, rodikliai, proceso savininkas | CMDB, KPI valdymo skydas | Valdysenos susiejimai, savininkystės žurnalai |
Numatydama kiekvieną vertinimo prizmę, jūsų komanda parodo ne tik atitiktį, bet ir veiklos brandą.
Klaidos ir prevencija: kaip Clarysec padeda išvengti dažniausių audito nesėkmių
Tipinės klaidos be Clarysec:
- Neatnaujinta turto apskaita.
- Nesuderintos prieigos kontrolės priemonės.
- Trūkstamos sutartinės atitikties nuostatos.
- Kontrolės priemonės nesusietos su DORA, NIS2, GDPR.
Naudojant Clarysec Zenith Blueprint ir Toolkit:
- Susieti kontroliniai sąrašai, suderinti su operaciniais žingsniais.
- Automatizuotas įrodymų rinkimas (MFA, turto aptikimas, tiekėjų peržiūra).
- Pavyzdiniai audito paketai kiekvienai pagrindinei atitikties sistemai.
- Kiekvienas „kas“ susietas su „kodėl“ – per politikų ir standartų susiejimą.
Clarysec įrodymų lentelė
| Audito žingsnis | Įrodymų tipas | Zenith Controls susiejimas | Atitikties sistemos | Politikos nuoroda |
|---|---|---|---|---|
| Turto apskaita | CMDB eksportas | A.5.9 | ISO, NIS2, COBIT | Turto valdymo politika |
| MFA validavimas | Žurnalų failai, ekrano kopijos | A.5.15.7 | ISO, NIST, GDPR | Prieigos valdymo politika |
| Tiekėjų peržiūra | Sutarčių kopijos, prieigos žurnalai | A.5.19, A.5.20 | ISO, DORA, GDPR | Tiekėjų saugumo politika |
| Žurnalavimo auditas | SIEM išvestys, saugojimo įrodymai | A.8.16 | ISO, NIST, GDPR | Stebėsenos politika |
| Duomenų apsauga | Šifravimo raktai, pažeidimų įrašai | A.8.24 | ISO, GDPR, NIS2 | Duomenų apsaugos politika |
Visapusiška audito simuliacija: nuo architektūros iki įrodymų
Clarysec įrankių rinkinys padeda pereiti kiekvieną etapą:
- Pradžia: eksportuokite turto sąrašą, susiekite jį su politika ir kontrolės priemonėmis.
- Prieiga: validuokite MFA naudodami įrodymus, susiekite su prieigos valdymo procedūromis.
- Tiekėjas: sutikrinkite sutartis su tiekėjų politikos kontroliniu sąrašu.
- Žurnalavimas: pateikite žurnalų saugojimo eksportus peržiūrai.
- Duomenų apsauga: parodykite šifruoto turto registrą ir reagavimo į pažeidimus paketą.
Kiekvienas įrodymų elementas atsekamas iki Zenith Controls atributų, kryžmiškai susiejamas su politikos nuostata ir pagrindžia kiekvieną reikalaujamą atitikties sistemą.
Rezultatas: auditas užbaigiamas užtikrintai, parodant kryžminės atitikties atsparumą ir veiklos brandą.
Išvada ir veiksmas: pereikite nuo chaoso prie nuolatinės atitikties
Marijos kelionė – nuo reaktyvių pataisų prie proaktyvios valdysenos – yra kelrodis kiekvienai debesija besiremiančiai organizacijai. Konfigūracija, tiekėjų saugumas, turto valdymas ir duomenų apsauga negali veikti atskirai. Jie turi būti susieti su griežtais standartais, įgyvendinami per dokumentuotas politikas ir pagrindžiami įrodymais kiekvienam audito scenarijui.
Sėkmę lemia trys ramsčiai:
- Aiški taikymo sritis: apibrėžkite aiškias audito ribas naudodami Zenith Blueprint.
- Tvirtos politikos: pritaikykite Clarysec politikų šablonus kiekvienai kritinei kontrolės priemonei.
- Patikrinamos kontrolės priemonės: techninius nustatymus paverskite audituojamais įrašais, susietais su standartais.
Jūsų organizacijai nereikia laukti kito paniką keliančio audito pranešimo. Atsparumą kurkite dabar, naudodami Clarysec vieningus įrankių rinkinius, Zenith Blueprint ir kryžminį reglamentavimo susiejimą auditui atspariai, nuolatinei atitikčiai užtikrinti.
Pasirengę įveikti atitikties prarają ir pirmauti saugiose debesijos operacijose?
Peržiūrėkite Clarysec Zenith Blueprint ir atsisiųskite mūsų įrankių rinkinius bei politikų šablonus, kad suprojektuotumėte auditui parengtą debesijos programą. Paprašykite vertinimo arba demonstracijos ir pereikite nuo debesijos chaoso prie ilgalaikės atitikties tvirtovės.
Šaltiniai:
- Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint
- Zenith Controls: kryžminės atitikties vadovas Zenith Controls
- Konfigūracijų valdymo politika Konfigūracijų valdymo politika
- Tapatybės ir prieigos valdymo politika Tapatybės ir prieigos valdymo politika
- Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika
- Duomenų apsaugos ir privatumo politika Duomenų apsaugos ir privatumo politika
- ISO/IEC 27001:2022
- ISO/IEC 27002:2022
- ISO/IEC 27036-2:2023
- ISO/IEC 27701:2019
- NIS2, GDPR, DORA, NIST, COBIT 2019
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
