NIS2 kibernetinės higienos įrodymai, susieti su ISO 27001
Pirmadienį 08:40 val. Sarah, sparčiai augančio B2B SaaS paslaugų teikėjo CISO, prisijungia prie vadovybės pasitarimo, tikėdamasi įprastos atvirų rizikos veiksmų peržiūros. Vietoj to vyriausiasis teisininkas užduoda gerokai tikslesnį klausimą:
„Jei nacionalinė kompetentinga institucija rytoj paprašytų įrodyti NIS2 Article 21 kibernetinę higieną ir kibernetinio saugumo mokymus, ką tiksliai pateiktume?“
Personalo vadovas sako, kad visi darbuotojai baigė metinius informuotumo mokymus. SOC vadovas sako, kad duomenų viliojimo simuliacijų rezultatai gerėja. IT operacijų vadovas sako, kad MFA taikomas, atsarginės kopijos testuojamos, o pataisų diegimas sekamas. Atitikties vadovas sako, kad ISO/IEC 27001:2022 audito byloje yra mokymų įrašai, tačiau DORA projekto komanda turi atskirus atsparumo mokymų įrodymus, o GDPR aplanke saugomi atskiri privatumo informuotumo žurnalai.
Darbas atliktas visų. Tačiau niekas nėra tikras, kad įrodymai pasakoja vieną nuoseklią istoriją.
Tai ir yra reali NIS2 Article 21 problema esminiams ir svarbiems subjektams. Reikalavimas nėra vien „apmokyti naudotojus“. Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių kibernetinei rizikai valdyti. Minimalus kontrolės priemonių rinkinys apima kibernetinę higieną ir kibernetinio saugumo mokymus, tačiau taip pat incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, pažeidžiamumų valdymą, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą, MFA arba tęstinį autentifikavimą, saugią komunikaciją ir veiksmingumo vertinimo procedūras.
Kibernetinė higiena nėra informuotumo kampanija. Tai kasdienė veiklos disciplina, jungianti žmones, kontrolės priemones, įrodymus ir vadovybės atskaitomybę.
CISO, atitikties vadovams, MSP, SaaS paslaugų teikėjams, debesijos operatoriams ir skaitmeninių paslaugų teikėjams praktinis atsakymas nėra kurti atskirą „NIS2 mokymų projektą“. Stipresnis būdas – ISO/IEC 27001:2022 ISVS viduje sukurti vieną auditui tinkamą įrodymų grandinę, paremtą ISO/IEC 27002:2022 kontrolės praktikomis, valdant riziką pagal ISO/IEC 27005:2022 ir susiejant su NIS2, DORA, GDPR, NIST tipo patikinimo ir COBIT 2019 valdysenos lūkesčiais.
Kodėl NIS2 Article 21 mokymus paverčia valdymo organo įrodymais
NIS2 taikoma daugeliui vidutinių ir didelių subjektų I priedo ir II priedo sektoriuose, kurie teikia paslaugas arba vykdo veiklą Sąjungoje. Technologijų įmonėms taikymo sritis gali būti platesnė, nei tikisi daugelis vadovų komandų. I priedas apima skaitmeninę infrastruktūrą, įskaitant debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklo teikėjus, patikimumo užtikrinimo paslaugų teikėjus, DNS paslaugų teikėjus ir TLD registrus. I priedas taip pat apima IRT paslaugų valdymą B2B sektoriuje, įskaitant valdomų paslaugų teikėjus ir valdomų saugumo paslaugų teikėjus. II priedas apima skaitmeninių paslaugų teikėjus, tokius kaip internetinės prekyvietės, interneto paieškos sistemos ir socialinių tinklų paslaugų platformos.
Kai kurie subjektai gali patekti į taikymo sritį nepriklausomai nuo dydžio, įskaitant tam tikrus DNS paslaugų teikėjus ir TLD registrus. Nacionaliniai kritiškumo sprendimai taip pat gali įtraukti mažesnius teikėjus, kai sutrikimas galėtų paveikti visuomenės saugą, sisteminę riziką arba esmines paslaugas.
Article 21(1) reikalauja, kad esminiai ir svarbūs subjektai įgyvendintų tinkamas ir proporcingas technines, operacines ir organizacines priemones rizikai, kylančiai operacijoms arba paslaugų teikimui naudojamoms tinklų ir informacinėms sistemoms, valdyti ir incidentų poveikiui užkirsti kelią arba jį sumažinti. Article 21(2) išvardija minimalias priemones, įskaitant rizikos analizės ir informacinių sistemų saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir priežiūrą, veiksmingumo vertinimą, bazines kibernetinės higienos praktikas ir kibernetinio saugumo mokymus, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą ir MFA arba tęstinį autentifikavimą, kai tai tinkama.
Article 20 padidina atsakomybės lygį. Valdymo organai turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir gali būti laikomi atsakingais už pažeidimus. Valdymo organų nariai privalo dalyvauti mokymuose, o subjektai skatinami teikti panašius reguliarius mokymus darbuotojams, kad jie galėtų identifikuoti rizikas ir vertinti kibernetinio saugumo rizikos valdymo praktikas bei jų poveikį paslaugoms.
Article 34 sukuria finansinį spaudimą. Article 21 arba Article 23 pažeidimai gali lemti administracines baudas, siekiančias bent 10 000 000 EUR arba 2 % pasaulinės metinės apyvartos esminiams subjektams ir bent 7 000 000 EUR arba 1,4 % svarbiems subjektams, pasirenkant didesnę sumą.
Todėl „surengėme metinius informuotumo mokymus“ nepakanka. Reguliuotojas, ISO auditorius, kliento saugumo vertintojas arba kibernetinio draudimo teikėjas tikėsis įrodymų, kad mokymai yra vaidmenimis pagrįsti, rizika grindžiami, aktualūs, matuojami, susieti su incidentais ir suprantami vadovybei.
Clarysec organizacijoms skirta Informacijos saugumo informuotumo ir mokymų politika, punktas 5.1.1.3, reikalauja, kad mokymai:
Apimtų tokias temas kaip duomenų viliojimas, slaptažodžių higiena, incidentų pranešimas ir valdymas, fizinis saugumas bei duomenų apsauga ir minimizavimas
Ta pati politika, punktas 8.3.1.1, nurodo įrodymų grandį, kurios auditoriai paprastai paprašo pirmiausia:
Mokymų priskyrimo, patvirtinimo ir baigimo įrašai
MVĮ atveju Clarysec Informacijos saugumo informuotumo ir mokymų politika – MVĮ, punktas 8.4.1, dar tiesiau apibrėžia audituojamumą:
Mokymų įrašai yra vidaus audito ir išorinės peržiūros objektas. Įrašai turi būti tikslūs, išsamūs ir pareikalavus pagrindžiami dokumentuotais įrodymais (pvz., ISO sertifikavimui, GDPR auditui arba draudimo validavimui).
Šis sakinys parodo skirtumą tarp informuotumo kaip personalo valdymo veiklos ir informuotumo kaip atitikties kontrolės priemonės. Jei įrašai neišsamūs, nepatikrinami arba nesusieti su vaidmens rizika, kontrolės priemonė gali veikti operaciniu lygmeniu, bet neišlaikyti audito.
Naudokite ISO/IEC 27001:2022 kaip įrodymų pagrindą
ISO/IEC 27001:2022 yra natūralus NIS2 Article 21 pagrindas, nes jis įpareigoja organizaciją apibrėžti taikymo sritį, suinteresuotąsias šalis, rizikas, kontrolės priemones, tikslus, įrodymus, vidaus auditą, vadovybės peržiūrą ir nuolatinį tobulinimą.
Punktai 4.1–4.4 reikalauja, kad organizacija suprastų vidinius ir išorinius klausimus, nustatytų suinteresuotąsias šalis ir jų reikalavimus, apibrėžtų ISVS taikymo sritį, įvertintų sąsajas ir priklausomybes su kitų organizacijų vykdomomis veiklomis ir palaikytų ISVS kaip sąveikaujančių procesų visumą. SaaS paslaugų teikėjo arba MSP atveju ISVS taikymo sritis turėtų aiškiai apimti NIS2 įpareigojimus, klientų sutartinius įsipareigojimus, debesijos teikėjų priklausomybes, išorinio SOC aprėptį, duomenų tvarkymo vaidmenis ir paslaugų prieinamumo įsipareigojimus.
Punktai 5.1–5.3 įtvirtina valdysenos atskaitomybę. Aukščiausioji vadovybė turi suderinti informacijos saugumo politiką ir tikslus su strategine kryptimi, integruoti ISVS reikalavimus į verslo procesus, skirti išteklius, priskirti atsakomybes ir užtikrinti veiklos rezultatų ataskaitų teikimą. Tai tiesiogiai dera su NIS2 Article 20, pagal kurį valdymo organai patvirtina ir prižiūri kibernetinio saugumo rizikos valdymo priemones.
Punktai 6.1.1–6.1.3 ir 6.2 teisės aktų reikalavimus paverčia rizikos tvarkymu. Organizacija turi suplanuoti veiksmus rizikoms ir galimybėms, vykdyti pakartojamą informacijos saugumo rizikos vertinimo procesą, nustatyti rizikos savininkus, parinkti tvarkymo galimybes, palyginti kontrolės priemones su A priedu, parengti Taikomumo pareiškimą, suformuluoti tvarkymo planą, gauti rizikos savininko patvirtinimą ir nustatyti išmatuojamus saugumo tikslus.
Būtent čia NIS2 Article 21 tampa valdomas. Nereikia atskiros, nuo visko atsietos NIS2 informuotumo programos. Reikia susietos rizikos ir kontrolės priemonių istorijos.
| NIS2 reikalavimo sritis | ISO/IEC 27001:2022 įrodymų mechanizmas | Praktiniai įrodymai |
|---|---|---|
| Vadovybės patvirtinimas ir priežiūra | Punktai 5.1, 5.3, 9.3 | Valdymo organo posėdžio protokolai, vadovybės peržiūros paketas, vaidmenų priskyrimai, biudžeto patvirtinimai |
| Kibernetinė higiena ir mokymai | Punktas 7.2, punktas 7.3, A priedo personalo ir technologijų kontrolės priemonės | Mokymų planas, LMS eksportai, vaidmenų matrica, duomenų viliojimo rezultatai, politikų patvirtinimai |
| Rizikos analizė ir saugumo politika | Punktai 6.1.2, 6.1.3, 6.2 | Rizikos vertinimas, Rizikos tvarkymo planas, Taikomumo pareiškimas, saugumo tikslai |
| Veiksmingumo vertinimas | Punktai 9.1, 9.2, 10.2 | KPI, vidaus audito rezultatai, korekciniai veiksmai, kontrolės priemonių testavimo rezultatai |
| Pasirengimas incidentų valdymui ir pranešimui | A priedo incidentų valdymo kontrolės priemonės | Incidentų atkūrimo instrukcijos, eskalavimo žurnalai, scenarijais pagrįstų pratybų ataskaitos, įrodymų išsaugojimo įrašai |
| Tiekimo grandinės ir debesijos priklausomybė | A priedo tiekėjų ir debesijos paslaugų kontrolės priemonės | Tiekėjų registras, deramas patikrinimas, sutartys, pasitraukimo planai, paslaugų peržiūros |
| Prieiga, turto valdymas ir MFA | A priedo prieigos, turto ir tapatybės kontrolės priemonės | Turto apskaita, prieigos peržiūros, MFA ataskaitos, privilegijuotos prieigos įrodymai |
Punktai 8.1–8.3, 9.1–9.3 ir 10.1–10.2 užbaigia operacinį ciklą. Jie reikalauja suplanuotos operacinės kontrolės, pakartotinio rizikos vertinimo, tvarkymo planų įgyvendinimo, stebėsenos ir matavimo, vidaus audito, vadovybės peržiūros, nuolatinio tobulinimo ir korekcinių veiksmų. ISO/IEC 27001:2022 tampa NIS2 Article 21 įrodymų varikliu, o ne vien sertifikavimo ženklu.
Paverskite kibernetinę higieną ISO kontrolės priemonių atramomis
„Kibernetinė higiena“ sąmoningai yra plati sąvoka. Auditoriams ji turi būti paversta konkrečiomis, testuojamomis kontrolės priemonėmis. Clarysec paprastai pradeda NIS2 Article 21 kibernetinės higienos įrodymus nuo trijų praktinių ISO/IEC 27002:2022 kontrolės priemonių atramų, interpretuojamų per Zenith Controls: The Cross-Compliance Guide.
Pirmoji atrama yra ISO/IEC 27002:2022 kontrolės priemonė 6.3 „Informacijos saugumo informuotumas, švietimas ir mokymai“. Zenith Controls 6.3 traktuoja kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą. Jos operacinis pajėgumas yra žmogiškųjų išteklių saugumas, o kibernetinio saugumo koncepcija – apsauga. Tai apibrėžia informuotumą kaip apsauginę kontrolės priemonę, o ne komunikacijos pratybas.
Zenith Controls taip pat parodo, kaip 6.3 priklauso nuo kitų kontrolės priemonių ir jas sustiprina. Ji siejasi su 5.2 informacijos saugumo vaidmenimis ir atsakomybėmis, nes mokymai turi atspindėti priskirtas atsakomybes. Ji siejasi su 6.8 informacijos saugumo įvykių pranešimu, nes personalas negali pranešti apie tai, ko neatpažįsta. Ji siejasi su 8.16 stebėsenos veiklomis, nes SOC analitikams ir operacijų darbuotojams reikia mokymų, kad jie atpažintų anomalijas ir laikytųsi reagavimo protokolų. Ji siejasi su 5.36 informacijos saugumo politikų, taisyklių ir standartų laikymusi, nes politikos veikia tik tada, kai žmonės jas supranta.
Kaip Zenith Controls nurodo dėl ISO/IEC 27002:2022 kontrolės priemonės 6.3:
Atitiktis priklauso nuo informuotumo. 6.3 užtikrina, kad darbuotojai žinotų saugumo politikas ir suprastų savo asmeninę atsakomybę jų laikytis. Reguliarus švietimas ir mokymai mažina netyčinių politikos pažeidimų dėl nežinojimo riziką.
Antroji atrama yra ISO/IEC 27002:2022 kontrolės priemonė 5.10 „informacijos ir kito susijusio turto priimtinas naudojimas“. Kibernetinė higiena priklauso nuo to, ar žmonės supranta, ką gali daryti su galiniais įrenginiais, debesijos diskais, SaaS įrankiais, bendradarbiavimo platformomis, keičiamosiomis laikmenomis, produkciniais duomenimis, testavimo duomenimis ir DI įgalintais įrankiais. Zenith Controls 5.10 susieja kaip prevencinę kontrolės priemonę turto valdymo ir informacijos apsaugos srityse. Praktikoje priimtino naudojimo įrodymai nėra vien pasirašyta politika. Jie apima įrodymus, kad politika apima realų turto portfelį, įvedimas į darbą apima patvirtinimą, stebėsena palaiko politikos taikymą, o išimtys yra valdomos.
Trečioji atrama yra ISO/IEC 27002:2022 kontrolės priemonė 5.36 „informacijos saugumo politikų, taisyklių ir standartų laikymasis“. Tai audito tiltas. Zenith Controls 5.36 susieja kaip prevencinę valdysenos ir patikinimo kontrolės priemonę. Ji siejasi su 5.1 informacijos saugumo politikomis, 6.4 drausminiu procesu, 5.35 nepriklausoma informacijos saugumo peržiūra, 5.2 vaidmenimis ir atsakomybėmis, 5.25 informacijos saugumo įvykių vertinimu ir sprendimu, 8.15 žurnalavimu, 8.16 stebėsenos veiklomis ir 5.33 įrašų apsauga.
NIS2 Article 21 kontekste tai kritiška. Reguliuotojai ir auditoriai klausia ne tik, ar politika egzistuoja. Jie klausia, ar laikymasis stebimas, ar pažeidimai aptinkami, ar įrodymai apsaugoti, ar vykdomi korekciniai veiksmai ir ar vadovybė mato rezultatus.
Sukurkite NIS2 kibernetinės higienos ir mokymų įrodymų paketą
Įsivaizduokite vidutinio dydžio SaaS paslaugų teikėją, besirengiantį ir NIS2 pasirengimui, ir ISO/IEC 27001:2022 priežiūros auditui. Organizacijoje dirba 310 darbuotojų, įskaitant kūrėjus, SRE, pagalbos tarnybos specialistus, pardavimų darbuotojus, rangovus ir aukščiausiąją vadovybę. Ji teikia debesijos aplinkoje veikiančias darbo eigos paslaugas ES klientams ir remiasi hiperskalės debesijos teikėju, dviem tapatybės platformomis, išoriniu MDR teikėju ir keliais subtiekėjų teikiamais pagalbos įrankiais.
Atitikties vadovas turi mokymų eksportus iš LMS, tačiau jie nesusieti su NIS2 Article 21, ISO kontrolės priemonėmis, verslo vaidmenimis ar rizikos scenarijais. Praktinis korekcinių veiksmų sprintas sukuria Kibernetinės higienos ir mokymų įrodymų paketą iš šešių komponentų.
| Įrodymų komponentas | Ką įrodo | Savininkas | Audito testas |
|---|---|---|---|
| Vaidmenimis pagrįsta mokymų matrica | Mokymai suderinti su atsakomybėmis ir rizikos ekspozicija | ISVS vadovas ir personalo komanda | Atrinkti vaidmenis ir patikrinti, ar privalomi moduliai buvo priskirti |
| Metinis mokymų planas | Kompetencija ir informuotumas planuojami, o ne vykdomi ad hoc | ISVS vadovas | Patikrinti datas, temas, auditoriją, patvirtinimą ir mokymų baigimo tikslus |
| LMS mokymų baigimo eksportas | Personalas baigė priskirtus mokymus | Personalo arba People Ops komanda | Suderinti darbuotojų sąrašą su baigimo ataskaita, priimamais ir išeinančiais darbuotojais |
| Duomenų viliojimo simuliacijos ataskaita | Matuojamas informuotumo veiksmingumas | Saugumo operacijos | Peržiūrėti kampanijos rezultatus, pakartotinai nuorodas spaudžiančius naudotojus ir korekcinius mokymus |
| Politikos patvirtinimo žurnalas | Personalas priėmė taisykles ir atsakomybes | Personalo ir atitikties komandos | Patvirtinti saugumo, priimtino naudojimo ir incidentų pranešimo politikų patvirtinimą |
| Vadovybės peržiūros santrauka | Vadovybė prižiūri tendencijas ir korekcinius veiksmus | CISO ir vykdomasis rėmėjas | Patikrinti, ar posėdžio protokoluose yra rodikliai, išimtys, rizikos ir sprendimai |
Svarbiausia – atsekamumas.
Pradėkite nuo NIS2 Article 21(2)(g) – bazinių kibernetinės higienos praktikų ir kibernetinio saugumo mokymų. Susiekite jį su ISO/IEC 27001:2022 punktais 7.2 ir 7.3 dėl kompetencijos ir informuotumo, punktais 9.1 ir 9.2 dėl stebėsenos ir audito, taip pat su A priedo kontrolės priemonėmis, įskaitant informuotumą, priimtiną naudojimą, pažeidžiamumų valdymą, konfigūracijų valdymą, atsargines kopijas, žurnalavimą, stebėseną, kriptografiją, prieigos kontrolę ir incidentų valdymą. Tada susiekite įrodymus su rizikų registru.
| Vaidmenų grupė | NIS2 kibernetinės higienos rizika | Privalomi mokymai | Įrodymai |
|---|---|---|---|
| Visi darbuotojai | Duomenų viliojimas, silpni slaptažodžiai, prastas incidentų pranešimas, netinkamas duomenų tvarkymas | Baziniai saugumo mokymai, slaptažodžių higiena, MFA, duomenų apsauga, incidentų pranešimas | LMS baigimas, testo balas, politikos patvirtinimas |
| Aukščiausioji vadovybė | Rizikos priėmimas, teisinė atsakomybė, krizės sprendimai, ataskaitų teikimo priežiūra | Valdysenos pareigos, NIS2 vadovybės atsakomybės, incidentų eskalavimas, rizikos apetitas | Vadovų seminaro dalyvavimo įrodymai, valdymo organo paketas, sprendimų žurnalas |
| Kūrėjai | Pažeidžiamumai, nesaugus kodas, paslapčių atskleidimas, nesaugūs testavimo duomenys | Saugus programavimas, priklausomybių valdymas, pažeidžiamumų atskleidimas, duomenų minimizavimas | Mokymų įrašas, saugaus SDLC kontrolinis sąrašas, kodo peržiūros pavyzdžiai |
| SRE ir IT operacijos | Neteisinga konfigūracija, pataisų vėlavimas, atsarginių kopijų nesėkmė, žurnalavimo spragos | Pataisų valdymas, saugus konfigūravimas, atsarginių kopijų atkūrimas, stebėsena, reagavimas į incidentus | Pataisų ataskaita, atsarginių kopijų testas, SIEM įspėjimo įrodymai, scenarijais pagrįstų pratybų ataskaita |
| Klientų aptarnavimas | Socialinė inžinerija, neautorizuotas atskleidimas, privatumo pažeidimas | Tapatybės patikrinimas, duomenų tvarkymas, eskalavimas, pranešimas apie pažeidimus | CRM prieigos peržiūra, mokymų įrašas, pagalbos kokybės užtikrinimo pavyzdys |
| Prieigą turintys rangovai | Neaiškūs įsipareigojimai, nevaldoma prieiga, duomenų nutekėjimas | Sutrumpintas saugumo įvedimas į darbą, priimtinas naudojimas, pranešimo kelias | Rangovo patvirtinimas, prieigos patvirtinimas, darbo santykių nutraukimo įrodymai |
Organizacijoms skirta Informacijos saugumo informuotumo ir mokymų politika palaiko šią struktūrą. Punktas 5.1.2.4 aiškiai įtraukia vadovų mokymų temas:
Vykdomieji vadovai (pvz., valdysena, rizikos priėmimas, teisinės prievolės)
Ši eilutė svarbi pagal NIS2 Article 20, nes vadovybės mokymai nėra neprivalomi. Jei valdymo organas patvirtina rizikos valdymo priemones, bet negali paaiškinti rizikos priėmimo, incidentų slenksčių ar priežiūros rutinos, įrodymų grandinė nutrūksta.
Clarysec Informacijos saugumo politika – MVĮ, punktas 6.4.1, parodo, kaip kibernetinė higiena tampa kasdieniu kontrolės elgesiu:
Privalomos saugumo kontrolės priemonės turi būti taikomos nuosekliai, įskaitant reguliarias atsargines kopijas, antivirusinės programinės įrangos atnaujinimus, stiprius slaptažodžius ir saugų jautrių dokumentų sunaikinimą.
Tai glausta MVĮ praktinės kibernetinės higienos formuluotė. Auditorius vis tiek norės įrodymų, pavyzdžiui, atsarginių kopijų užduočių ataskaitų, EDR aprėpties, slaptažodžių arba MFA konfigūracijos ir saugaus sunaikinimo žurnalų, tačiau politika nustato tikėtiną elgesį.
Susiekite NIS2 Article 21 su audito įrodymais
Auditoriai testuoja kontrolės priemonių veikimą, o ne šūkius. Jie seks aiškią grandinę nuo teisinio reikalavimo iki ISVS taikymo srities, rizikos vertinimo, Taikomumo pareiškimo, politikos, procedūros, įrodymų ir vadovybės peržiūros.
| NIS2 Article 21 sritis | ISO/IEC 27001:2022 arba ISO/IEC 27002:2022 susiejimas | Clarysec nuoroda | Pagrindiniai audito įrodymai |
|---|---|---|---|
| Kibernetinio saugumo mokymai | Punktas 7.2, punktas 7.3, A.6.3 informacijos saugumo informuotumas, švietimas ir mokymai | Informacijos saugumo informuotumo ir mokymų politika | Mokymų politika, metinis planas, LMS įrašai, duomenų viliojimo rezultatai, įvedimo į darbą kontrolinis sąrašas, valdymo organo mokymų protokolai |
| Priimtinas kibernetinės higienos elgesys | A.5.10 informacijos ir kito susijusio turto priimtinas naudojimas | Informacijos saugumo politika – MVĮ | Priimtino naudojimo patvirtinimas, įvedimo į darbą įrašai, išimčių įrašai, stebėsenos įrodymai |
| Pažeidžiamumų ir pataisų higiena | A.8.8 techninių pažeidžiamumų valdymas | Zenith Blueprint 19 žingsnis | Pažeidžiamumų skenavimas, pataisų ataskaitos, korekcinių veiksmų užklausos, rizikos priėmimo įrašai |
| Saugus konfigūravimas | A.8.9 konfigūracijų valdymas | Zenith Blueprint 19 žingsnis | Saugios bazinės konfigūracijos, konfigūracijų peržiūros, pakeitimų patvirtinimai, nukrypimų ataskaitos |
| Atsparumas ir atkūrimas | A.8.13 informacijos atsarginės kopijos | Informacijos saugumo politika – MVĮ | Atsarginių kopijų žurnalai, atkūrimo testai, atsarginių kopijų nesėkmių peržiūros, atkūrimo įrodymai |
| Aptikimas ir reagavimas | A.8.15 žurnalavimas, A.8.16 stebėsenos veiklos, A.6.8 informacijos saugumo įvykių pranešimas | Zenith Controls | SIEM įspėjimai, stebėsenos procedūros, incidentų pranešimo mokymai, scenarijais pagrįstų pratybų rezultatai |
| Kriptografinė apsauga | A.8.24 kriptografijos naudojimas | ISO/IEC 27001:2022 A priedas | Šifravimo standartai, raktų valdymo įrodymai, TLS konfigūracija, saugyklos šifravimo ataskaitos |
| Įrodymų vientisumas | A.5.33 įrašų apsauga | Zenith Controls | Valdomi audito aplankai, eksporto laiko žymos, saugojimo taisyklės, prieigos žurnalai |
Reguliuotojas gali nevartoti ISO terminijos, tačiau įrodymų kelias išlieka tas pats. Parodykite, kad reikalavimas identifikuotas, įvertintas rizikos požiūriu, tvarkomas, įgyvendintas, stebimas, pateiktas vadovybei ir tobulinamas.
Naudokite Zenith Blueprint pereiti nuo plano prie įrodymų
Zenith Blueprint: An Auditor’s 30-Step Roadmap suteikia komandoms praktinį kelią nuo ketinimo iki įrodymų. ISVS pagrindų ir lyderystės fazėje, 5 žingsnyje „Komunikacija, informuotumas ir kompetencija“, Blueprint nurodo organizacijoms identifikuoti reikalingas kompetencijas, įvertinti esamas kompetencijas, suteikti mokymus spragoms užpildyti, palaikyti kompetencijos įrašus ir kompetenciją traktuoti kaip tęstinę.
Blueprint veiksmo punktas sąmoningai operacinis:
Atlikite greitą mokymų poreikių analizę. Išvardykite pagrindinius ISMS vaidmenis (iš 4 žingsnio) ir kiekvienam nurodykite žinomus mokymus ar sertifikatus, kuriuos jie turi, bei kokie papildomi mokymai galėtų būti naudingi. Taip pat išvardykite bendras saugumo informuotumo temas, reikalingas visiems darbuotojams. Remdamiesi tuo, parenkite paprastą Mokymų planą kitiems metams – pvz., „Q1: saugumo informuotumo mokymai visam personalui; Q2: pažangūs reagavimo į incidentus mokymai IT komandai; Q3: ISO 27001 vidaus auditoriaus mokymai dviem komandos nariams; …“.
Kontrolės priemonių taikymo fazėje, 15 žingsnyje „Personalo kontrolės priemonės I“, Zenith Blueprint rekomenduoja privalomus metinius mokymus visiems darbuotojams, konkretiems vaidmenims skirtus modulius, naujų darbuotojų saugumo įvedimą per pirmąją savaitę, simuliuotas duomenų viliojimo kampanijas, naujienlaiškius, komandų instruktažus, dalyvavimo įrodymus, tikslinius saugumo biuletenius po kylančių grėsmių ir mokymus rangovams arba prieigą turinčioms trečiosioms šalims.
16 žingsnis „Personalo kontrolės priemonės II“ įspėja, kad auditoriai testuos įgyvendinimą, o ne vien dokumentaciją. Nuotolinio darbo atveju auditoriai gali prašyti Nuotolinio darbo politikos, VPN arba galinių įrenginių šifravimo įrodymų, MDM įgyvendinimo, BYOD apribojimų ir mokymų įrašų, rodančių nuotolinio darbo atsargumo priemones. Jei hibridinis darbas yra operacinio modelio dalis, NIS2 mokymų įrodymai turėtų apimti saugų Wi‑Fi naudojimą, įrenginio užrakinimą, patvirtintą saugyklą, MFA ir pranešimą apie įtartiną veiklą namų aplinkoje.
19 žingsnis „Technologinės kontrolės priemonės I“ susieja kibernetinę higieną su techninių kontrolės priemonių sluoksniu. Zenith Blueprint rekomenduoja peržiūrėti pataisų ataskaitas, pažeidžiamumų skenavimą, saugias bazines konfigūracijas, EDR aprėptį, kenkimo programinės įrangos žurnalus, DLP įspėjimus, atsarginių kopijų atkūrimus, perteklinio veikimo įrodymus, žurnalavimo patobulinimus ir laiko sinchronizavimą. Article 21(2)(g) negali būti vertinamas izoliuotai. Apmokytai darbo jėgai vis tiek reikia pataisytų galinių įrenginių, stebimų žurnalų, testuotų atsarginių kopijų ir saugių konfigūracijų.
Padarykite mokymų planą rizika grindžiamą pagal ISO/IEC 27005:2022
Dažna audito silpnybė – bendras mokymų planas, vienodai atrodantis kūrėjams, finansams, pagalbos tarnybai, vadovybei ir rangovams. ISO/IEC 27005:2022 padeda išvengti šios silpnybės, paversdamas mokymus rizikos tvarkymo dalimi.
Punktas 6.2 rekomenduoja identifikuoti pagrindinius atitinkamų suinteresuotųjų šalių reikalavimus ir atitikties būseną, įskaitant ISO/IEC 27001:2022 A priedą, kitus ISVS standartus, sektoriui būdingus reikalavimus, nacionalinius ir tarptautinius reglamentus, vidaus saugumo taisykles, sutartines saugumo kontrolės priemones ir kontrolės priemones, jau įgyvendintas ankstesnio rizikos tvarkymo metu. Tai palaiko vieną reikalavimų registrą vietoj atskirų NIS2, ISO, DORA, GDPR, klientų ir draudimo skaičiuoklių.
Punktai 6.4.1–6.4.3 paaiškina, kad rizikos priėmimo ir vertinimo kriterijai turėtų atsižvelgti į teisinius ir reglamentavimo aspektus, operacines veiklas, tiekėjų santykius, technologinius ir finansinius apribojimus, privatumą, reputacijos žalą, sutarties pažeidimus, paslaugų lygio pažeidimus ir poveikį trečiosioms šalims. Duomenų viliojimo incidentas, paveikęs vidinę naujienlaiškių sistemą, skiriasi nuo prisijungimo duomenų kompromitavimo, paveikiančio valdomą saugumo paslaugą, klientų aptarnavimo platformą, mokėjimų integraciją arba DNS operaciją.
Punktai 7.1–7.2.2 reikalauja nuoseklaus, atkuriamo rizikos vertinimo, įskaitant konfidencialumo, vientisumo ir prieinamumo rizikas bei įvardytus rizikos savininkus. Punktai 8.2–8.6 tada nukreipia tvarkymo parinkimą, kontrolės priemonių nustatymą, palyginimą su A priedu, Taikomumo pareiškimo dokumentavimą ir tvarkymo plano detalizavimą.
Mokymai yra vienas tvarkymo būdų, bet ne vienintelis. Jei pasikartojančios duomenų viliojimo simuliacijos rodo, kad finansų naudotojai pažeidžiami sąskaitų sukčiavimo atžvilgiu, tvarkymo planas gali apimti žinių atnaujinimo mokymus, stipresnę mokėjimų tvirtinimo darbo eigą, sąlyginę prieigą, pašto dėžutės taisyklių stebėseną ir vadovų sukčiavimo scenarijų pratybas.
Punktai 9.1, 9.2, 10.4.2, 10.5.1 ir 10.5.2 pabrėžia suplanuotą pakartotinį vertinimą, dokumentuotus metodus, veiksmingumo stebėseną ir atnaujinimus, kai atsiranda naujų pažeidžiamumų, turto, technologijų naudojimo būdų, teisės aktų, incidentų arba rizikos apetito pokyčių. Tai įrodo, kad organizacija neužšaldo mokymų plano kartą per metus.
Pakartotinai naudokite tuos pačius įrodymus NIS2, DORA, GDPR, NIST ir COBIT reikmėms
Stipriausias NIS2 įrodymų paketas turėtų palaikyti kelis patikinimo pokalbius.
NIS2 Article 4 pripažįsta, kad sektoriui būdingi Sąjungos teisės aktai gali pakeisti atitinkamus NIS2 rizikos valdymo ir pranešimo įpareigojimus, kai jų poveikis yra bent lygiavertis. 28 konstatuojamoji dalis DORA įvardija kaip sektoriui būdingą režimą taikymo srityje esantiems finansiniams subjektams. Apimamiems finansiniams subjektams DORA IRT rizikos valdymo, incidentų valdymo, atsparumo testavimo, dalijimosi informacija ir IRT trečiųjų šalių rizikos taisyklės taikomos vietoj atitinkamų NIS2 nuostatų. NIS2 išlieka labai aktuali subjektams, nepatenkantiems į DORA, ir IRT trečiųjų šalių teikėjams, tokiems kaip debesijos teikėjai, MSP ir MSSP.
DORA sustiprina tą pačią vadybos sistemos logiką. Articles 4–6 reikalauja proporcingo IRT rizikos valdymo, valdymo organo atsakomybės, aiškių IRT vaidmenų, skaitmeninio operacinio atsparumo strategijos, IRT audito planų, biudžetų ir informuotumo arba mokymų išteklių. Articles 8–13 reikalauja turto ir priklausomybių identifikavimo, apsaugos ir prevencijos, prieigos kontrolės, stipraus autentifikavimo, atsarginių kopijų, tęstinumo, reagavimo ir atkūrimo, mokymosi po incidento, vyresniosios vadovybės IRT ataskaitų ir privalomų IRT saugumo informuotumo bei skaitmeninio operacinio atsparumo mokymų. Articles 17–23 reikalauja struktūrizuoto incidentų valdymo, klasifikavimo, eskalavimo ir komunikacijos su klientais. Articles 24–30 sieja testavimą su tiekėjų valdysena, deramu patikrinimu, sutartimis, audito teisėmis ir pasitraukimo strategijomis.
GDPR prideda privatumo atskaitomybės sluoksnį. Article 5 reikalauja vientisumo ir konfidencialumo taikant tinkamas technines ir organizacines priemones, o Article 5(2) reikalauja, kad duomenų valdytojai galėtų įrodyti atitiktį. Article 6 reikalauja teisinio pagrindo tvarkymui, o Articles 9 ir 10 nustato griežtesnes apsaugos priemones specialių kategorijų ir su nusikalstamomis veikomis susijusiems duomenims. SaaS paslaugų teikėjui mokymų įrodymai turėtų apimti privatumą, duomenų minimizavimą, saugų atskleidimą, pažeidimų eskalavimą ir konkretiems vaidmenims pritaikytą klientų duomenų tvarkymą.
NIST tipo ir COBIT 2019 audito perspektyvos dažnai pasirodo klientų patikinimo, vidaus audito ir valdymo organo ataskaitų kontekste. NIST tipo vertintojas paprastai klausia, ar informuotumas ir mokymai yra rizika grindžiami, vaidmenimis pagrįsti, matuojami ir susieti su reagavimu į incidentus, tapatybe, turto valdymu ir nuolatine stebėsena. COBIT 2019 arba ISACA tipo auditorius sutelks dėmesį į valdyseną, atskaitomybę, veiklos rodiklius, vadovybės priežiūrą, proceso savininkystę ir suderinimą su įmonės tikslais.
| Sistemos perspektyva | Kas svarbu auditoriui | Parengtini įrodymai |
|---|---|---|
| NIS2 Article 21 | Proporcingos kibernetinės rizikos priemonės, kibernetinė higiena, mokymai, vadovybės priežiūra | Article 21 susiejimas, valdymo organo patvirtinimas, mokymų planas, kibernetinės higienos KPI, pasirengimo incidentams įrodymai |
| ISO/IEC 27001:2022 | ISVS taikymo sritis, rizikos tvarkymas, kompetencija, informuotumas, stebėsena, vidaus auditas, tobulinimas | Taikymo sritis, rizikų registras, SoA, kompetencijos matrica, mokymų įrašai, audito ataskaita, korekciniai veiksmai |
| DORA | IRT rizikos gyvavimo ciklas, atsparumo mokymai, testavimas, incidentų klasifikavimas, trečiųjų šalių IRT rizika | IRT rizikos sistema, atsparumo mokymai, testavimo rezultatai, incidentų procedūra, Tiekėjų registras |
| GDPR | Atskaitomybė, duomenų apsauga, privatumo pažeidimų informuotumas, konfidencialumas, minimizavimas | Privatumo mokymai, tvarkymo vaidmenų žemėlapis, pažeidimų eskalavimo įrodymai, duomenų tvarkymo procedūros |
| NIST tipo peržiūra | Vaidmenimis pagrįstas informuotumas, matuojamas kontrolės priemonių veikimas, stebėsena, reagavimas | Vaidmenų matrica, simuliacijų rodikliai, prieigos įrodymai, žurnalavimo įrodymai, scenarijais pagrįstų pratybų rezultatai |
| COBIT 2019 arba ISACA peržiūra | Valdysena, proceso savininkystė, veiklos rezultatai, kontrolės užtikrinimas, vadovybės ataskaitos | RACI, KPI valdymo skydas, vadovybės peržiūros posėdžio protokolai, vidaus audito programa, korekcinių veiksmų sekimas |
Praktinė nauda paprasta: vienas įrodymų paketas, kelios audito naratyvo linijos.
Kaip auditoriai testuos tą pačią kontrolės priemonę
ISO/IEC 27001:2022 auditorius pradės nuo ISVS. Jis klaus, ar kompetencijos ir informuotumo reikalavimai nustatyti, ar personalas supranta savo atsakomybes, ar įrašai saugomi, ar vidaus auditai testuoja procesą ir ar vadovybės peržiūroje vertinamas veikimas bei tobulinimas. Auditorius gali atrinkti darbuotojų imtį ir paklausti, kaip pranešti apie incidentą, kaip naudojamas MFA, kokios yra priimtino naudojimo taisyklės arba ką daryti gavus įtartiną el. laišką.
NIS2 priežiūros peržiūra bus labiau orientuota į rezultatą ir paslaugų riziką. Vertintojas gali klausti, kaip kibernetinė higiena mažina riziką paslaugų teikimui, kaip vadovybė patvirtino priemones, kaip mokymai pritaikyti esminėms paslaugoms, kaip įtraukiamas trečiųjų šalių personalas, kaip vertinamas veiksmingumas ir kaip organizacija pagal Article 23 praneštų apie reikšmingas kibernetines grėsmes ar incidentus. Kadangi Article 23 reikšmingų incidentų atveju apima ankstyvąjį įspėjimą per 24 valandas ir pranešimą apie incidentą per 72 valandas, mokymai turi apimti atpažinimą ir eskalavimo greitį.
DORA auditorius finansiniame subjekte informuotumą susies su skaitmeniniu operaciniu atsparumu. Jis gali klausti, ar IRT saugumo informuotumo ir atsparumo mokymai yra privalomi, ar vyresniosios vadovybės IRT ataskaitos pasiekia valdymo organą, ar suprantami incidentų klasifikavimo kriterijai, ar išbandyta krizių komunikacija ir ar trečiųjų šalių teikėjai dalyvauja mokymuose, kai tai aktualu pagal sutartį.
GDPR auditorius arba privatumo vertintojas sutelks dėmesį į tai, ar personalas supranta asmens duomenis, tvarkymo vaidmenis, konfidencialumą, pažeidimų identifikavimą, pažeidimų eskalavimą, duomenų minimizavimą ir saugų atskleidimą. Jis tikėsis, kad mokymai skirsis pagalbos tarnybos, personalo, kūrėjų ir administratorių vaidmenims, nes šie vaidmenys sukuria skirtingas privatumo rizikas.
COBIT 2019 arba ISACA vidaus auditorius klaus, kas yra proceso savininkas, kokius tikslus jis palaiko, kaip matuojami veiklos rezultatai, kokios išimtys egzistuoja, ar korekciniai veiksmai sekami ir ar vadovybė gauna prasmingas ataskaitas, o ne tuščius įspūdžio rodiklius.
Dažnos NIS2 mokymų pasirengimo išvados
Dažniausia išvada – neišsami populiacijos aprėptis. LMS ataskaita rodo 94 % baigimą, tačiau trūkstami 6 % apima privilegijuotus administratorius, rangovus arba naujus darbuotojus. Auditoriai nepriims procento nesuprasdami, kas trūksta ir kodėl.
Antroji išvada – vaidmens jautrumo stoka. Visi gauna tą patį metinį modulį, tačiau kūrėjai nėra mokomi saugaus programavimo, pagalbos tarnybos specialistai nėra mokomi tapatybės tikrinimo, o vykdomieji vadovai nėra mokomi valdysenos pareigų ar krizės sprendimų. NIS2 Article 20 ir Article 21 tai apsunkina pagrindimą.
Trečioji išvada – silpni veiksmingumo įrodymai. Baigimas nėra tas pats, kas supratimas arba elgsenos pokytis. Auditoriai vis dažniau tikisi testų balų, duomenų viliojimo tendencijų, incidentų pranešimo tendencijų, scenarijais pagrįstų pratybų pamokų, pakartotinių nesėkmių sumažėjimo ir korekcinių veiksmų.
Ketvirtoji išvada – atsieta techninė higiena. Mokymai sako „praneškite apie įtartiną veiklą“, bet nėra testuoto pranešimo kanalo. Mokymai sako „naudokite MFA“, bet paslaugų paskyros apeina MFA. Mokymai sako „saugokite duomenis“, bet produkciniai duomenys atsiranda testavimo aplinkose. Article 21 tikisi kontrolės sistemos, o ne šūkių.
Penktoji išvada – prastas įrašų vientisumas. Įrodymai saugomi redaguojamoje skaičiuoklėje be savininko, eksporto laiko žymos, prieigos kontrolės arba suderinimo su personalo įrašais. ISO/IEC 27002:2022 kontrolės priemonių sąsajos Zenith Controls neatsitiktinai grąžina prie įrašų apsaugos. Įrodymai turi būti patikimi.
10 dienų korekcinių veiksmų sprintas auditui tinkamiems įrodymams
Jei jūsų organizacija patiria spaudimą, pradėkite nuo sutelkto sprinto.
| Diena | Veiksmas | Rezultatas |
|---|---|---|
| 1 diena | Patvirtinti NIS2 taikomumą ir paslaugų taikymo sritį | Esminio arba svarbaus subjekto sprendimas, taikymo srityje esančios paslaugos, palaikančios funkcijos |
| 2 diena | Sukurti reikalavimų registrą | NIS2 Articles 20, 21, 23, ISO punktai, A priedo kontrolės priemonės, GDPR, DORA, sutartys, draudimo reikalavimai |
| 3 diena | Sukurti vaidmenimis pagrįstą mokymų matricą | Mokymai susieti su pareigybių grupėmis, privilegijuota prieiga, kūrėjais, pagalba, rangovais, vadovybe |
| 4 diena | Susieti mokymus su rizikos scenarijais | Duomenų viliojimas, prisijungimo duomenų kompromitavimas, duomenų nutekėjimas, išpirkos reikalaujanti programinė įranga, neteisinga konfigūracija, tiekėjo kompromitavimas, privatumo pažeidimas |
| 5 diena | Surinkti įrodymus | LMS eksportai, patvirtinimai, duomenų viliojimo ataskaitos, įvedimo į darbą įrašai, rangovų įrašai, vadovų dalyvavimas |
| 6 diena | Suderinti įrodymus | Mokymų populiacija patikrinta pagal personalo įrašus, tapatybės grupes, privilegijuotas paskyras, rangovų sąrašus |
| 7 diena | Patikrinti darbuotojų supratimą | Interviu pastabos, rodančios, kad personalas žino incidentų pranešimą, MFA lūkesčius, įtartinų el. laiškų tvarkymą, duomenų taisykles |
| 8 diena | Peržiūrėti techninės higienos kontrolės priemones | MFA, atsarginės kopijos, EDR, pataisų diegimas, pažeidžiamumų skenavimas, žurnalavimas, stebėsena, saugaus konfigūravimo įrodymai |
| 9 diena | Parengti vadovybės peržiūros paketą | Baigimas, išimtys, duomenų viliojimo tendencijos, atviri veiksmai, didelės rizikos vaidmenys, incidentai, biudžeto poreikiai |
| 10 diena | Atnaujinti rizikos tvarkymo planą ir SoA | Liekamoji rizika, savininkai, terminai, veiksmingumo priemonės, Taikomumo pareiškimo atnaujinimai |
Šis sprintas suteikia pagrindžiamą įrodymų bazę. Jis nepakeičia nuolatinio ISVS veikimo, tačiau sukuria struktūrą, kurios tikisi reguliuotojai ir auditoriai.
Kaip atrodo gera praktika
Brandžiai NIS2 Article 21 kibernetinės higienos ir mokymų programai būdingos penkios savybės.
Pirma, ji matoma valdymo organui. Vadovybė patvirtina požiūrį, mato prasmingus rodiklius, supranta liekamąją riziką ir finansuoja tobulinimą.
Antra, ji grindžiama rizika. Mokymai skiriasi pagal vaidmenį, paslaugos kritiškumą, prieigos lygį, duomenų ekspoziciją ir atsakomybę už incidentus.
Trečia, ji grindžiama įrodymais. Baigimo įrašai, patvirtinimai, simuliacijos, scenarijais pagrįstos pratybos, techninės higienos ataskaitos ir korekciniai veiksmai yra išsamūs, suderinti ir apsaugoti.
Ketvirta, ji atsižvelgia į kryžminę atitiktį. Tie patys įrodymai palaiko NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST tipo patikinimo ir COBIT 2019 valdysenos ataskaitų teikimą.
Penkta, ji tobulėja. Incidentai, audito išvados, teisės pokyčiai, tiekėjų pokyčiai, naujos technologijos ir kylančios grėsmės atnaujina mokymų planą.
Šis paskutinis punktas skiria atitikties imitavimą nuo operacinio atsparumo.
Kiti žingsniai su Clarysec
Jei jūsų vadovų komanda klausia: „Ar rytoj galime įrodyti NIS2 Article 21 kibernetinę higieną ir kibernetinio saugumo mokymus?“, Clarysec gali padėti pereiti nuo išskaidytų įrodymų prie auditui tinkamo ISVS įrodymų paketo.
Pradėkite nuo Zenith Blueprint, kad 30 žingsnių veiksmų plane struktūruotumėte kompetenciją, informuotumą, personalo kontrolės priemones, nuotolinio darbo praktikas, pažeidžiamumų valdymą, atsargines kopijas, žurnalavimą, stebėseną ir techninės higienos veiksmus.
Naudokite Zenith Controls, kad kryžmiškai susietumėte ISO/IEC 27002:2022 informuotumo, priimtino naudojimo, atitkties, stebėsenos, įrašų ir patikinimo lūkesčius NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST ir COBIT 2019 audito pokalbiuose.
Tada operacionalizuokite reikalavimus per Clarysec Informacijos saugumo informuotumo ir mokymų politiką, Informacijos saugumo informuotumo ir mokymų politiką – MVĮ ir Informacijos saugumo politiką – MVĮ.
Jūsų neatidėliotinas veiksmas paprastas: šią savaitę parenkite vieno puslapio NIS2 Article 21 mokymų įrodymų žemėlapį. Išvardykite taikymo srityje esančius vaidmenis, priskirtus mokymus, baigimo įrodymus, politikos patvirtinimus, duomenų viliojimo rodiklius, techninės kibernetinės higienos įrodymus, vadovybės peržiūros datą ir korekcinius veiksmus. Jei kuris nors langelis tuščias, radote kitą audito korekcinių veiksmų užduotį.
Greitesniam keliui atsisiųskite Clarysec politikos šablonus, naudokite Zenith Blueprint veiksmų planą ir suplanuokite NIS2 įrodymų pasirengimo vertinimą, kad dabartinius mokymų įrašus, kibernetinės higienos kontrolės priemones ir ISO/IEC 27001:2022 ISVS paverstumėte viena pagrįsta audito byla.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
