Valutazzjoni tar-riskju ISO 27001 lesta għall-awditjar għal NIS2 u DORA
Il-kafè fuq l-iskrivanija ta’ Sarah kien kesaħ.
Bħala CISO ta’ fintech li kienet qed tikber b’rata mgħaġġla, kienet imdorrija taħdem taħt pressjoni. Il-kumpanija kienet għadha kif rebħet sieħeb bankarju ewlieni, u l-kwestjonarju tad-diliġenza dovuta fuq l-iskrin tagħha suppost kellu jkun formalità. L-ewwel mistoqsijiet kienu familjari: ipprovdi d-Dikjarazzjoni ta’ Applikabbiltà ISO/IEC 27001:2022, aqsam l-aħħar Reġistru tar-Riskji, spjega l-metodoloġija tal-valutazzjoni tar-riskju.
Imbagħad il-kwestjonarju biddel id-direzzjoni.
Uri kif il-programm tagħkom ta’ ġestjoni tar-riskju jindirizza DORA. Spjega t-tħejjija tagħkom għad-Direttiva NIS2, inklużi r-responsabbiltà tal-maniġment u l-miżuri tar-riskju tal-katina tal-provvista. Ipprovdi evidenza li l-fornituri kritiċi tal-ICT jiġu vvalutati, immonitorjati, u koperti minn pjanijiet ta’ rispons għall-inċidenti u kontinwità tan-negozju.
Sat-Tnejn filgħodu, l-istess kwistjoni kienet fuq l-aġenda tal-kumitat tar-riskju tal-bord. Awditu taċ-ċertifikazzjoni ISO 27001 fi tmien ġimgħat. Pressjoni DORA minn klijenti fis-settur finanzjarju. Mistoqsijiet ta’ klassifikazzjoni NIS2 għal linja ta’ servizz ospitata fil-cloud li kienet qed tespandi fl-UE. L-Akkwist qal li r-rieżamijiet tal-fornituri kienu jeżistu, iżda l-evidenza kienet imxerrda bejn emails, folders tal-kuntratti, u spreadsheet tal-fornituri. Il-Legali qal li l-immappjar regolatorju kien għadu għaddej. L-Inġinerija qalet li r-Reġistru tar-Riskji kien kważi lest.
Il-bord staqsa l-unika mistoqsija li kienet tgħodd:
Nistgħu nipprovaw li l-valutazzjoni tar-riskju u l-pjan ta’ trattament tar-riskju tagħna huma adegwati?
Din hija l-problema reali għall-kumpaniji SaaS, fintech, ta’ servizzi ġestiti, cloud, u pjattaformi diġitali. Mhux jekk jeżistix Reġistru tar-Riskji. Mhux jekk il-kontrolli tal-Anness A ġewx ikkupjati fi spreadsheet. Il-kwistjoni hija jekk l-organizzazzjoni tistax turi, taħt pressjoni ta’ awditjar u tal-klijenti, li l-proċess tagħha ta’ valutazzjoni tar-riskju ISO 27001 huwa ripetibbli, ibbażat fuq ir-riskju, approvat mis-sidien tar-riskju, marbut ma’ azzjonijiet ta’ trattament, immappjat ma’ obbligi legali, u operattivament ħaj.
Meta jsir sew, valutazzjoni waħda tar-riskju ISO 27001 u pjan wieħed ta’ trattament tar-riskju jistgħu jappoġġaw iċ-ċertifikazzjoni ISO/IEC 27001:2022, il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà taħt NIS2 Article 21, ir-rekwiżiti ta’ ġestjoni tar-riskju tal-ICT taħt DORA, ir-responsabbiltà taħt GDPR, l-assigurazzjoni tal-fornituri, it-tħejjija għar-rispons għall-inċidenti, u r-rappurtar lill-bord.
Meta jsir ħażin, isir spreadsheet li l-awdituri jiżżarmaw fi tletin minuta.
Din il-gwida turi kif Clarysec tibni evidenza ta’ valutazzjoni tar-riskju u trattament tar-riskju ISO 27001 lesta għall-awditjar bl-użu ta’ Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur, il-politiki ta’ Clarysec, u Zenith Controls: Il-Gwida tal-Konformità Inkroċjata.
Għaliex il-valutazzjoni tar-riskju ISO 27001 issa hija ċ-ċentru tal-konformità
Il-pajsaġġ regolatorju tal-UE qed jikkonverġi madwar prinċipju sempliċi: ir-riskju taċ-ċibersigurtà għandu jiġi ggvernat, dokumentat, ittestjat, u assenjat lil sid responsabbli.
ISO/IEC 27001:2022 diġà jaħdem b’dan il-mod. Il-Klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem il-kuntest tagħha, il-partijiet interessati, il-kamp ta’ applikazzjoni tal-ISMS, u l-interazzjonijiet tal-proċessi qabel tivvaluta r-riskju. Il-Klawżoli 6.1.2 u 6.1.3 jeħtieġu proċess definit ta’ valutazzjoni tar-riskju tas-sigurtà tal-informazzjoni u trattament tar-riskju. Il-Klawżoli 8.2 u 8.3 jeħtieġu li l-organizzazzjoni twettaq valutazzjonijiet tar-riskju u timplimenta l-pjan ta’ trattament filwaqt li żżomm informazzjoni dokumentata.
NIS2 u DORA jagħmlu l-istess loġika bbażata fuq ir-riskju aktar urġenti.
NIS2 Article 20 jeħtieġ li l-korpi maniġerjali ta’ entitajiet essenzjali u importanti japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni, u jsegwu taħriġ dwar iċ-ċibersigurtà. Article 21 jeħtieġ miżuri tekniċi, operattivi, u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji għan-netwerks u s-sistemi tal-informazzjoni. Dawn il-miżuri jinkludu analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, żvilupp sigur, ġestjoni tal-vulnerabbiltajiet, valutazzjoni tal-effettività, iġjene ċibernetika, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, u awtentikazzjoni multifattur jew komunikazzjonijiet siguri fejn xieraq.
DORA japplika pressjoni simili fuq entitajiet finanzjarji. Articles 5 u 6 jeħtieġu li l-korp maniġerjali jiddefinixxi, japprova, jissorvelja, u jibqa’ responsabbli għall-arranġamenti ta’ ġestjoni tar-riskju tal-ICT. DORA jistenna qafas dokumentat ta’ ġestjoni tar-riskju tal-ICT integrat fil-ġestjoni ġenerali tar-riskju, appoġġat minn politiki, proċeduri, protokolli, għodod, awditjar intern, rimedjazzjoni, kontinwità, ittestjar, ġestjoni tal-inċidenti, u governanza ta’ partijiet terzi tal-ICT.
Il-konklużjoni hija prattika u inevitabbli: ir-Reġistru tar-Riskji m’għadux worksheet għal tim tekniku. Huwa evidenza ta’ governanza.
Il-Politika tal-Ġestjoni tar-Riskju għall-intrapriżi ta’ Clarysec tagħmel din l-istennija espliċita:
Għandu jinżamm proċess formali ta’ ġestjoni tar-riskju skont ISO/IEC 27005 u ISO 31000, li jkopri l-identifikazzjoni, l-analiżi, il-valutazzjoni, it-trattament, il-monitoraġġ, u l-komunikazzjoni tar-riskju.
Mill-Politika tal-Ġestjoni tar-Riskju għall-Intrapriżi, it-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.
L-istess politika tiddefinixxi r-riżultat lest għall-awditjar:
Għandhom jinżammu Reġistru tar-Riskji u Pjan ta’ Trattament tar-Riskju ċentralizzati u taħt kontroll tal-verżjoni, li jirriflettu l-istatus attwali tar-riskju, il-kopertura tal-kontrolli, u l-progress tal-mitigazzjoni.
Mill-Politika tal-Ġestjoni tar-Riskju għall-Intrapriżi, it-taqsima “Objettivi”, klawżola tal-politika 3.3.
Dik il-frażi, “status attwali tar-riskju, kopertura tal-kontrolli, u progress tal-mitigazzjoni,” hija d-differenza bejn fajl statiku ta’ konformità u programm tar-riskju difensibbli.
Ibda bil-kamp ta’ applikazzjoni, l-obbligi, u l-kriterji tar-riskju
Ħafna valutazzjonijiet dgħajfa tar-riskju ISO 27001 jibdew b’lista ta’ kontrolli. Dan huwa l-maqlub ta’ kif għandu jkun.
ISO 27001 jeħtieġ li l-organizzazzjoni tiddetermina l-kuntest, ir-rekwiżiti tal-partijiet interessati, il-kamp ta’ applikazzjoni tal-ISMS, ir-responsabbiltajiet tat-tmexxija, u l-ippjanar tar-riskju qabel tagħżel il-kontrolli. ISO/IEC 27005:2022 isaħħaħ dan billi jagħti parir lill-organizzazzjonijiet biex jidentifikaw ir-rekwiżiti bażiċi tal-partijiet interessati qabel jivvalutaw ir-riskju. Dawn ir-rekwiżiti jistgħu jiġu minn standards ISO, regolamenti settorjali, liġijiet nazzjonali, kuntratti mal-klijenti, politiki interni, attivitajiet preċedenti ta’ trattament, u obbligi tal-fornituri.
Għal kumpanija SaaS jew fintech li tiffaċċja l-UE, il-proċess tar-riskju għandu jibda b’inventarju tal-konformità u tal-obbligi.
| Sors tar-rekwiżit | Għaliex jaffettwa l-valutazzjoni tar-riskju ISO 27001 | Artefatt ta’ evidenza |
|---|---|---|
| ISO/IEC 27001:2022 Klawżoli 4, 5, 6, 8, 9, u 10 | Jiddefinixxi l-kuntest, it-tmexxija, il-valutazzjoni tar-riskju, it-trattament tar-riskju, il-kontroll operattiv, l-evalwazzjoni tal-prestazzjoni, u t-titjib | Kamp ta’ applikazzjoni tal-ISMS, metodoloġija tar-riskju, Reġistru tar-Riskji, pjan ta’ trattament, SoA, reġistri tar-rieżami tal-maniġment |
| NIS2 Articles 20, 21, u 23 | Iżid ir-responsabbiltà tal-maniġment, miżuri taċ-ċibersigurtà għal kull tip ta’ theddid, u aspettattivi ta’ rappurtar tal-inċidenti | Approvazzjoni tal-bord, immappjar ta’ Article 21, playbook tar-rappurtar tal-inċidenti, evidenza tal-kontinwità |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, u 30 | Jeħtieġ governanza tar-riskju tal-ICT, kontinwità, backup u restawr, ċiklu tal-ħajja tal-inċidenti, ittestjar, u kontrolli tar-riskju tal-ICT ta’ partijiet terzi | Qafas tar-riskju tal-ICT, testijiet tal-BCP, reġistru tal-inċidenti, reġistri tat-testijiet tar-reżiljenza, reġistru tal-fornituri tal-ICT |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33, u 34 | Jeħtieġ responsabbiltà, ipproċessar legali, protezzjoni tad-data mid-disinn, sigurtà xierqa, u valutazzjoni tal-ksur | Reġistru tal-inventarju tad-data, immappjar tal-bażi legali, entrati tar-riskju tal-privatezza, links għal DPIA, reġistri tal-valutazzjoni tal-ksur |
| Kuntratti tal-fornituri u tal-klijenti | Jibdel wegħdiet kummerċjali f’kriterji tar-riskju, kontrolli, evidenza, u skadenzi | Reġistru tal-kuntratti, reġistri tad-diliġenza dovuta, drittijiet ta’ awditjar, SLAs, klawżoli ta’ ħruġ |
Għall-SMEs, il-Politika dwar il-Konformità Legali u Regolatorja - SME ta’ Clarysec tistabbilixxi l-punt tat-tluq:
Il-GM għandu jżomm Reġistru tal-Konformità sempliċi u strutturat li jelenka:
Mill-Politika dwar il-Konformità Legali u Regolatorja - SME, it-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.1.
Dak ir-reġistru sempliċi huwa pont bejn il-konformità u l-ġestjoni tar-riskju. Jekk jgħid li GDPR japplika minħabba li tiġi pproċessata data personali tal-UE, NIS2 jista’ japplika minħabba li l-organizzazzjoni tipprovdi servizzi diġitali jew ġestiti, jew DORA huwa rilevanti permezz ta’ klijenti fis-settur finanzjarju, dawk l-obbligi għandhom jinfluwenzaw il-kriterji tar-riskju u l-prijoritajiet tat-trattament.
Zenith Blueprint huwa dirett dwar dan fil-fażi tal-Ġestjoni tar-Riskju, Pass 10, “Stabbiliment tal-Kriterji tar-Riskju u tal-Matriċi tal-Impatt”:
Ikkunsidra wkoll rekwiżiti legali/regolatorji fil-kriterji ta’ aċċettazzjoni tiegħek. Xi riskji jistgħu jkunu inaċċettabbli irrispettivament mill-probabbiltà minħabba liġijiet.
Minn Zenith Blueprint, fażi tal-Ġestjoni tar-Riskju, Pass 10.
Jagħti wkoll regola prattika għall-workshops:
“Kull riskju li jista’ jwassal għal nuqqas ta’ konformità ma’ liġijiet applikabbli (GDPR, eċċ.) mhuwiex aċċettabbli u għandu jiġi mitigat.”
Minn Zenith Blueprint, fażi tal-Ġestjoni tar-Riskju, Pass 10.
Għall-fintech ta’ Sarah, dan ibiddel il-mudell tal-punteġġjar. Vulnerabbiltà f’API ta’ fornitur tista’ jkollha probabbiltà baxxa, iżda jekk sfruttament jista’ jqanqal inċident maġġuri relatat mal-ICT taħt DORA, inċident sinifikanti taħt NIS2, valutazzjoni ta’ ksur taħt GDPR, ksur ta’ SLA tal-klijent, jew eskalazzjoni fil-livell tal-bord, l-impatt ikun għoli jew kritiku. L-espożizzjoni għall-konformità ssir parti mil-loġika tar-riskju, mhux spreadsheet separata.
Ibni Reġistru tar-Riskji li l-awdituri jistgħu jittestjaw
L-awdituri ma jistaqsux biss x’inhuma l-akbar riskji tiegħek. Huma jittestjaw jekk il-metodu tiegħek huwiex definit, ripetibbli, traċċabbli, u segwit.
Huma jistaqsu:
- Kif identifikajtu dawn ir-riskji?
- Liema assi, servizzi, fornituri, tipi ta’ data, u proċessi kienu fil-kamp ta’ applikazzjoni?
- Liema kriterji ntużaw għall-probabbiltà u l-impatt?
- Min hu s-sid ta’ kull riskju?
- Liema kontrolli eżistenti jnaqqsu r-riskju?
- Għaliex intgħażlet id-deċiżjoni dwar it-trattament?
- Fejn tinsab l-evidenza li t-trattament twettaq?
- Min approva r-riskju residwu?
- Meta se jerġa’ jiġi vvalutat ir-riskju?
Il-Politika tal-Ġestjoni tar-Riskju - SME ta’ Clarysec taqbad l-entrata minima tar-riskju lesta għall-awditjar:
Kull entrata tar-riskju għandha tinkludi: deskrizzjoni, probabbiltà, impatt, punteġġ, sid, u pjan ta’ trattament.
Mill-Politika tal-Ġestjoni tar-Riskju - SME, it-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.2.
Għal programmi ta’ intrapriża, il-fażi tal-Ġestjoni tar-Riskju ta’ Zenith Blueprint, Pass 11, “Bini u Dokumentazzjoni tar-Reġistru tar-Riskji,” twessa’ l-istruttura. Tirrakkomanda kolonni bħal ID tar-Riskju, Assi, Theddida, Vulnerabbiltà, Deskrizzjoni tar-Riskju, Probabbiltà, Impatt, Livell tar-Riskju, Kontrolli Attwali, Sid tar-Riskju, Deċiżjoni dwar it-Trattament, Pjan ta’ Trattament jew Kontrolli, u Status.
Entrata b’saħħitha tar-riskju tidher hekk:
| Qasam | Eżempju ta’ entrata |
|---|---|
| ID tar-Riskju | R-042 |
| Assi jew proċess | Ipproċessar tad-data tal-klijenti permezz ta’ API ta’ ħlas ta’ parti terza u database tal-produzzjoni |
| Theddida | Sfruttament ta’ vulnerabbiltà kritika f’API ta’ fornitur jew f’servizz ta’ database cloud ta’ appoġġ |
| Vulnerabbiltà | Viżibbiltà limitata fuq il-ġestjoni tal-vulnerabbiltajiet tal-fornitur, ittestjar mhux komplut tar-restawr, u l-ebda playbook ittestjat għal ksur minn fornitur |
| Deskrizzjoni tar-riskju | Kompromess ta’ fornitur jew ta’ servizz cloud jista’ jesponi data finanzjarja, ifixkel is-servizz, jiskatta rappurtar regolatorju, u jikser kuntratti tal-klijenti |
| Kontrolli attwali | SSO, aċċess ibbażat fuq rwoli, kuntratt tal-fornitur, logging tal-produzzjoni, backups ta’ kuljum, rieżami tal-aċċess kull tliet xhur |
| Probabbiltà | Medja |
| Impatt | Kritiku |
| Livell tar-riskju | Kritiku |
| Sid tar-riskju | CTO u Kap tal-Inġinerija tal-Pjattaforma |
| Deċiżjoni dwar it-trattament | Mitigazzjoni |
| Immappjar regolatorju | Kontrolli ISO 27001 Anness A għall-fornituri, cloud, inċidenti, logging, aċċess, kontinwità, backup, u konformità legali; NIS2 Articles 20, 21, u 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, u 30; GDPR Articles 32, 33, u 34 |
| Evidenza | Diliġenza dovuta tal-fornitur, talba għal drittijiet ta’ awditjar, rapport tat-test tar-restawr, regola ta’ monitoraġġ SIEM, tabletop tal-inċidenti, SoA aġġornata, minuti tar-rieżami tal-maniġment |
Dan huwa sostanzjalment differenti minn “Riskju ta’ parti terza, Għoli, mitigazzjoni.” Il-verżjoni lesta għall-awditjar torbot assi, theddida, vulnerabbiltà, konsegwenza, kontrolli attwali, sid, regolament, evidenza, u governanza.
Ibdel it-trattament tar-riskju fi pjan ta’ evidenza
Pjan ta’ trattament tar-riskju għandu jwieġeb erba’ mistoqsijiet operattivi:
- X’se nagħmlu?
- Min hu s-sid tiegħu?
- Meta se jitlesta?
- Kif se nipprovaw li naqqas ir-riskju?
ISO/IEC 27001:2022 Klawżola 6.1.3 teħtieġ li l-organizzazzjoni tagħżel għażliet ta’ trattament, tiddetermina l-kontrolli meħtieġa, tqabbilhom mal-Anness A biex tevita ommissjonijiet, tipproduċi Dikjarazzjoni ta’ Applikabbiltà, tifformula pjan ta’ trattament, u tikseb approvazzjoni mis-sidien tar-riskju għall-pjan u għar-riskji residwi. Il-Klawżola 8.3 imbagħad teħtieġ l-implimentazzjoni tal-pjan ta’ trattament u ż-żamma ta’ informazzjoni dokumentata dwar ir-riżultati.
Il-Politika tal-Ġestjoni tar-Riskju għall-Intrapriżi tagħmel dan prattiku:
L-Uffiċjal tar-Riskju għandu jiżgura li t-trattamenti jkunu realistiċi, marbuta biż-żmien, u mmappjati mal-kontrolli tal-Anness A ta’ ISO/IEC 27001.
Mill-Politika tal-Ġestjoni tar-Riskju għall-Intrapriżi, it-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.2.
Il-politika SME tiċċara wkoll li l-aċċettazzjoni mhijiex shortcut:
Aċċetta: Iġġustifika għaliex mhijiex meħtieġa azzjoni ulterjuri u rreġistra r-riskju residwu.
Mill-Politika tal-Ġestjoni tar-Riskju - SME, it-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.
L-aċċettazzjoni għandha tkun iġġustifikata kontra l-kriterji, approvata mis-sid it-tajjeb, u mmonitorjata. Taħt NIS2 u DORA, riskju residwu mhux approvat jista’ jsir nuqqas ta’ governanza.
Pjan ta’ trattament komplut għandu jkun fih dawn l-oqsma:
| Qasam tat-trattament | Għan tal-awditjar |
|---|---|
| ID tar-Riskju | Jorbot it-trattament lura mar-riskju vvalutat |
| Għażla ta’ trattament | Turi r-raġunament: mitigazzjoni, evitar, trasferiment, jew aċċettazzjoni |
| Kontrolli magħżula | Torbot ir-riskju mal-Anness A, politiki, u salvagwardji tekniċi |
| Xprun regolatorju | Juri r-rilevanza ta’ NIS2, DORA, GDPR, kuntratt, jew klijent |
| Sid tal-azzjoni | Jipprova r-responsabbiltà |
| Data ta’ skadenza | Jagħmel it-trattament marbut biż-żmien |
| Evidenza tal-implimentazzjoni | Turi li l-azzjoni tlestiet |
| Miżura tal-effettività | Turi jekk il-probabbiltà jew l-impatt tnaqqsux |
| Riskju residwu | Juri l-espożizzjoni li tibqa’ |
| Approvazzjoni mis-sid tar-riskju | Tipprova l-aċċettazzjoni u l-governanza |
Għar-R-042 ta’ Sarah, il-pjan ta’ trattament isir lista ta’ azzjonijiet ta’ konformità inkroċjata.
| ID tar-Riskju | Azzjoni ta’ trattament | Referenza ISO/IEC 27001:2022 Anness A | Rilevanza NIS2 | Rilevanza DORA | Sid | Evidenza |
|---|---|---|---|---|---|---|
| R-042 | Eżerċita d-drittijiet ta’ awditjar tal-fornitur u itlob evidenza dwar il-ġestjoni tal-vulnerabbiltajiet | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) sigurtà tal-katina tal-provvista | Articles 28 u 30 riskju u kuntratti tal-ICT ta’ partijiet terzi | CTO u Responsabbli tal-Akkwist | Talba ta’ awditjar, tweġiba tal-fornitur, rieżami tal-kuntratt |
| R-042 | Implimenta monitoraġġ imsaħħaħ għal attività API anomala u attività privileġġjata | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) kontroll tal-aċċess u ġestjoni tal-assi | Articles 6 u 17 riskju tal-ICT u ġestjoni tal-inċidenti | Maniġer tas-SOC | Regola SIEM, test ta’ twissija, rieżami tal-aċċess |
| R-042 | Ittestja r-restawr mill-backup u ddefinixxi RTO u RPO fil-livell tas-servizz | 5.30, 8.13, 8.14 | Article 21(2)(c) kontinwità tan-negozju u backup | Articles 11 u 12 rispons, irkupru, backup, u restawr | Kap tal-Inġinerija tal-Pjattaforma | Rapport tar-restawr, approvazzjoni tar-RTO u RPO |
| R-042 | Wettaq eżerċizzju tabletop dwar ksur minn fornitur | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) u 23 ġestjoni u rappurtar tal-inċidenti | Articles 17, 18, 19, u 24 ġestjoni, klassifikazzjoni, rappurtar, u ttestjar tal-inċidenti | CISO | Rekord tat-tabletop, tagħlimiet miksuba, tracker tar-rimedjazzjoni |
| R-042 | Aġġorna s-SoA u l-approvazzjoni tar-riskju residwu | 5.4, 5.31, 5.35 | Article 20 responsabbiltà tal-maniġment | Articles 5 u 6 governanza u qafas tar-riskju tal-ICT | CISO u Sid tar-riskju | SoA aġġornata, reġistru tal-approvazzjoni, minuti tar-rieżami tal-maniġment |
Dan il-pjan huwa b’saħħtu għaliex joħloq linja diretta minn xenarju wieħed tar-riskju għal kontrolli ISO 27001, obbligi NIS2, artikoli DORA, sidien, u evidenza.
Agħmel id-Dikjarazzjoni ta’ Applikabbiltà taħdem aktar
Id-Dikjarazzjoni ta’ Applikabbiltà ħafna drabi tiġi ttrattata bħala artefatt taċ-ċertifikazzjoni. Għandha tkun aktar minn hekk.
ISO/IEC 27001:2022 Klawżola 6.1.3 teħtieġ li s-SoA tinkludi l-kontrolli meħtieġa, ġustifikazzjoni għall-inklużjoni, status tal-implimentazzjoni, u ġustifikazzjoni għall-esklużjonijiet. Il-gwida ISO/IEC 27005:2022 issaħħaħ il-ħtieġa li l-kontrolli magħżula jitqabblu mal-Anness A ta’ ISO/IEC 27001 biex jiġu evitati ommissjonijiet.
Fi programm lest għall-awditjar, is-SoA ssir il-pont bejn it-trattament tar-riskju u l-evidenza ta’ konformità inkroċjata. Jekk pjan ta’ trattament jeħtieġ MFA, logging, monitoraġġ tal-fornituri, restawr minn backup, żvilupp sigur, eskalazzjoni tal-inċidenti, jew ippjanar tal-ħruġ mill-cloud, is-SoA għandha turi li l-kontrolli rilevanti tal-Anness A huma inklużi, iġġustifikati, implimentati jew ippjanati, u appoġġati b’evidenza.
Dan jgħin ukoll biex jiġi evitat nuqqas komuni fl-awditjar: ir-Reġistru tar-Riskji jgħid ħaġa, il-pjan ta’ trattament jgħid oħra, u s-SoA hija siekta. Meta dawn l-artefatti ma jaqblux, l-awdituri jitilfu l-fiduċja malajr.
Immappjar tat-trattament tar-riskju ISO 27001 ma’ NIS2, DORA, u GDPR
ISO 27001 ma jissostitwixxix NIS2, DORA, jew GDPR. Jagħtik mekkaniżmu strutturat biex tipproduċi evidenza għalihom.
Iċ-ċavetta hija li l-immappjar jinbena fil-proċess tar-riskju minflok jiżdied wara.
| Evidenza tat-trattament tar-riskju ISO 27001 | Rilevanza NIS2 | Rilevanza DORA | Rilevanza GDPR |
|---|---|---|---|
| Kriterji tar-riskju b’punteġġjar tal-impatt regolatorju | Jappoġġaw il-miżuri proporzjonati ta’ ġestjoni tar-riskju taċ-ċibersigurtà taħt Article 21 | Jappoġġaw il-proporzjonalità, il-governanza, u l-qafas tar-riskju tal-ICT taħt Articles 4, 5, u 6 | Jappoġġaw ir-responsabbiltà u sigurtà xierqa |
| Reġistru tar-Riskji b’sidien u impatt CIA | Jappoġġa s-sorveljanza tal-maniġment taħt Article 20 u l-analiżi tar-riskju taħt Article 21 | Jappoġġa ġestjoni dokumentata tar-riskju tal-ICT u sjieda | Jappoġġa t-turija ta’ għarfien tar-riskju għad-data personali |
| Pjan ta’ trattament immappjat mal-Anness A | Jappoġġa l-miżuri taħt Article 21 f’oqsma ta’ inċidenti, kontinwità, fornituri, aċċess, vulnerabbiltajiet, u żvilupp sigur | Jappoġġa kontrolli tal-ICT, ġestjoni tal-inċidenti, kontinwità, ittestjar, u reżiljenza ta’ partijiet terzi | Jappoġġa miżuri tekniċi u organizzattivi taħt Article 32 |
| Entrati tar-riskju tal-fornituri u kontrolli kuntrattwali | Jappoġġaw is-sigurtà tal-katina tal-provvista taħt Article 21(2)(d) | Jappoġġaw ir-riskju tal-ICT ta’ partijiet terzi u r-rekwiżiti kuntrattwali taħt Articles 28 u 30 | Jappoġġaw salvagwardji għall-proċessuri u t-trasferimenti fejn applikabbli |
| Xenarji ta’ inċidenti u playbooks tar-rappurtar | Jappoġġaw il-fluss tax-xogħol għar-rappurtar ta’ inċidenti sinifikanti taħt Article 23 | Jappoġġaw il-ġestjoni, il-klassifikazzjoni, u r-rappurtar tal-inċidenti taħt Articles 17, 18, u 19 | Jappoġġaw il-valutazzjoni tan-notifika ta’ ksur taħt Articles 33 u 34 |
| Trattamenti BCP, backup, u rkupru | Jappoġġaw kontinwità, backup, irkupru minn diżastri, u ġestjoni tal-kriżijiet taħt Article 21(2)(c) | Jappoġġaw ir-rispons, l-irkupru, il-backup, u r-restawr taħt Articles 11 u 12 | Jappoġġaw id-disponibbiltà u r-reżiljenza fejn tkun involuta data personali |
| Rieżamijiet tal-effettività tal-kontrolli | Jappoġġaw il-valutazzjoni tal-effettività taħt Article 21(2)(f) | Jappoġġaw l-aspettattivi ta’ ttestjar u rimedjazzjoni taħt Article 24 | Jappoġġaw responsabbiltà kontinwa |
Dan l-immappjar huwa speċjalment importanti fejn ir-regolamenti jirkbu fuq xulxin. DORA huwa r-reġim settorjali speċifiku tar-reżiljenza tal-ICT għal ħafna entitajiet finanzjarji, filwaqt li NIS2 jista’ jibqa’ direttament rilevanti għal ċerti fornituri, koordinazzjoni, jew entitajiet barra mill-kamp ta’ applikazzjoni ta’ DORA. Fintech jista’ jkollha bżonn DORA bħala l-qafas primarju tagħha għar-reżiljenza tal-ICT, filwaqt li fornitur ta’ servizzi ġestiti li jappoġġa dik il-fintech jista’ jiffaċċja obbligi NIS2 direttament.
Ir-Reġistru tar-Riskji għandu jkun kapaċi juri ż-żewġ naħat ta’ dik id-dipendenza.
Uża Zenith Controls bħala l-kumpass tal-konformità inkroċjata
Clarysec tuża Zenith Controls bħala gwida ta’ konformità inkroċjata biex tevita n-nuqqas komuni fejn kontrolli ISO, artikoli regolatorji, u mistoqsijiet tal-awditjar jgħixu f’universi separati. Ma toħloqx qafas tal-kontrolli separat. Timmapja oqsma ta’ kontroll ISO/IEC 27001:2022 u ISO/IEC 27002:2022 ma’ standards oħra, aspettattivi ta’ awditjar, u perspettivi ta’ konformità.
Għall-valutazzjoni tar-riskju u t-trattament ISO 27001, dawn ir-referenzi huma partikolarment importanti:
| Referenza tal-Anness A ta’ ISO/IEC 27001:2022 użata f’Zenith Controls | Għaliex hija importanti għall-valutazzjoni u t-trattament tar-riskju | Attributi miġbura f’Zenith Controls |
|---|---|---|
| 5.4 Responsabbiltajiet tal-maniġment | Torbot is-sjieda tat-trattament tar-riskju mal-governanza, iċ-ċarezza tar-rwoli, u r-responsabbiltà | Kontroll preventiv, jappoġġa l-kunfidenzjalità, l-integrità, u d-disponibbiltà, jimmappja ma’ Identifika, Governanza, Governanza u Ekosistema |
| 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Torbot ir-Reġistru tal-Konformità mal-kriterji tar-riskju, id-deċiżjonijiet ta’ trattament, u l-inklużjoni fis-SoA | Kontroll preventiv, jappoġġa l-kunfidenzjalità, l-integrità, u d-disponibbiltà, jimmappja ma’ Identifika, Legali u Konformità, Governanza, Ekosistema, u Protezzjoni |
| 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni | Jorbot l-awditjar intern, l-awditjar estern, u l-assigurazzjoni tal-maniġment mal-effettività tat-trattament | Kontroll preventiv u korrettiv, jappoġġa l-kunfidenzjalità, l-integrità, u d-disponibbiltà, jimmappja ma’ Identifika u Ipproteġi, Assigurazzjoni tas-Sigurtà tal-Informazzjoni, Governanza u Ekosistema |
Il-lezzjoni tal-konformità inkroċjata hija sempliċi. Jekk l-obbligi legali mhumiex fil-metodu tal-valutazzjoni tar-riskju, il-punteġġjar tiegħek mhuwiex komplut. Jekk il-punteġġjar mhuwiex komplut, il-prijoritajiet tat-trattament jistgħu jkunu żbaljati. Jekk il-prijoritajiet huma żbaljati, is-SoA u r-rappurtar lill-bord isiru mhux affidabbli.
Zenith Blueprint jagħmel l-istess punt fil-fażi tal-Ġestjoni tar-Riskju, Pass 14, “Politiki ta’ Trattament tar-Riskju u Referenzi Regolatorji Inkroċjati.” Jagħti parir lill-organizzazzjonijiet biex joħolqu tabella ta’ immappjar li telenka r-rekwiżiti ewlenin tas-sigurtà regolatorja u l-kontrolli jew il-politiki korrispondenti fl-ISMS. Dan mhuwiex obbligatorju għaċ-ċertifikazzjoni ISO 27001, iżda huwa utli ħafna biex jintwera li s-sigurtà qed tiġi ġestita f’kuntest legali u kuntrattwali.
X’se jistaqsu awdituri differenti
Awditur taċ-ċertifikazzjoni, rieżaminatur orjentat lejn NIS2, klijent orjentat lejn DORA, rieżaminatur GDPR, valutatur NIST, jew prattikant COBIT jista’ jeżamina l-istess evidenza iżda jistaqsi mistoqsijiet differenti.
| Perspettiva tal-awditur | Mistoqsija tipika tal-awditjar | Evidenza mistennija |
|---|---|---|
| Awditur ISO 27001 | Il-metodu tal-valutazzjoni tar-riskju huwa definit, ripetibbli, applikat, u marbut mat-trattament u s-SoA? | Metodoloġija tar-riskju, kriterji, reġistru, SoA, pjan ta’ trattament, approvazzjonijiet residwi |
| Rieżaminatur orjentat lejn NIS2 | Il-miżuri taċ-ċibersigurtà jkopru l-oqsma ta’ Article 21 u r-responsabbiltà tal-maniġment? | Approvazzjonijiet tal-bord, immappjar ta’ Article 21, playbook tal-inċidenti, evidenza tal-kontinwità, evidenza tar-riskju tal-fornituri |
| Rieżaminatur orjentat lejn DORA | Il-ġestjoni tar-riskju tal-ICT hija dokumentata, iggvernata, ittestjata, u estiża għal partijiet terzi tal-ICT? | Qafas tar-riskju tal-ICT, proċess ta’ klassifikazzjoni tal-inċidenti, testijiet tal-BCP, ittestjar tar-reżiljenza, reġistru tal-fornituri tal-ICT |
| Rieżaminatur GDPR | L-organizzazzjoni tista’ turi sigurtà xierqa u responsabbiltà għar-riskji tad-data personali? | Inventarju tad-data, immappjar tal-bażi legali, proċedura ta’ valutazzjoni tal-ksur, evidenza tat-trattament tar-riskju tal-privatezza |
| Valutatur orjentat lejn NIST | Ir-riskji huma identifikati, protetti kontrihom, skoperti, imwieġba, u rkuprati permezz ta’ kontrolli miżurabbli? | Xenarji tar-riskju, inventarju tal-assi, implimentazzjoni tal-kontrolli, monitoraġġ, reġistri tar-rispons u tal-irkupru |
| Awditur COBIT jew ISACA | Il-governanza tar-riskju hija allinjata mal-objettivi tal-intrapriża, ir-rwoli, il-prestazzjoni, l-assigurazzjoni, u r-rappurtar tal-maniġment? | Minuti tal-governanza, RACI, KRIs, sejbiet tal-awditjar intern, traċċar tar-rimedjazzjoni, dashboards ta’ ġestjoni |
Għalhekk l-arkitettura tal-evidenza hija importanti. L-istess entrata tar-riskju għandha tkun traċċabbli mill-objettiv tan-negozju sal-assi, theddida, vulnerabbiltà, kontroll, sid, xprun regolatorju, azzjoni ta’ trattament, riżultat tat-test, u deċiżjoni tal-maniġment.
Il-politiki ta’ Clarysec huma mfassla biex jappoġġaw dik l-arkitettura. Il-Politika tal-Ġestjoni tar-Riskju għall-Intrapriżi tgħid taħt it-taqsima “Standards u oqfsa ta’ referenza”:
Article 5: Jeħtieġ qafas dokumentat ta’ ġestjoni tar-riskju tal-ICT, kopert bis-sħiħ mill-istruttura ta’ din il-politika, inkluż immappjar tas-SoA u KRIs.
Dan ibiddel il-politika minn dokument statiku f’evidenza tal-awditjar li turi li l-governanza tar-riskju tal-ICT ġiet iddisinjata intenzjonalment b’DORA f’moħħha.
Sejbiet komuni li jkissru l-programmi tar-riskju
Meta Clarysec tirrevedi evidenza ta’ valutazzjoni tar-riskju u trattament tar-riskju ISO 27001, l-istess sejbiet jidhru ripetutament.
L-ewwel, il-kriterji tar-riskju jinjoraw l-impatt legali, regolatorju, kuntrattwali, tal-fornituri, u tal-privatezza. Dan iwassal għal punteġġjar dgħajjef. Ksur tad-data personali jew falliment ta’ fornitur kritiku jista’ jiġi kklassifikat bħala Medju minħabba li l-probabbiltà hija baxxa, anki jekk l-impatt ta’ GDPR, NIS2, DORA, jew tal-klijent għandu jagħmlu Għoli jew Kritiku.
It-tieni, is-sidien tar-riskju huma ġeneriċi. “IT” mhuwiex sid tar-riskju. Sid tar-riskju għandu jkun rwol jew persuna responsabbli għad-deċiżjonijiet tat-trattament, il-baġit, iż-żmien, u r-riskju residwu.
It-tielet, il-pjanijiet ta’ trattament mhumiex marbuta biż-żmien. “Ittejjeb il-monitoraġġ” mhuwiex pjan. “Implimenta twissijiet għal sessjonijiet privileġġjati fis-SIEM għall-kontijiet amministrattivi tal-produzzjoni sat-30 ta’ Ġunju, bis-sid ikun il-Maniġer tas-SOC, ittestjati permezz ta’ login amministrattiv simulat, b’evidenza tat-twissija mehmuża” huwa pjan.
Ir-raba’, is-SoA hija maqtugħa mit-trattament. Jekk il-pjan ta’ trattament jeħtieġ monitoraġġ tal-fornituri, ittestjar tal-backup, eskalazzjoni tal-inċidenti, MFA, jew logging, is-SoA għandha tirrifletti l-kontrolli rilevanti u l-istatus tal-implimentazzjoni.
Il-ħames, ir-riskju residwu mhuwiex approvat. ISO 27001 jeħtieġ approvazzjoni mis-sid tar-riskju tal-pjan ta’ trattament u tar-riskji residwi. NIS2 u DORA jagħmlu dan saħansitra aktar importanti għaliex ir-responsabbiltà tal-maniġment hija espliċita.
Is-sitt, ir-riskju tal-fornituri jiġi ttrattat bħala amministrazzjoni tal-akkwist. Taħt NIS2 Article 21(2)(d) u DORA Articles 28 u 30, ir-riskju tal-fornituri u ta’ partijiet terzi tal-ICT għandu jkun parti mill-ġestjoni tar-riskju, mhux kwestjonarju annwali maħżun waħdu.
Is-seba’, m’hemmx evidenza tal-effettività. ISO 27001 Klawżola 6.1.1 teħtieġ li l-azzjonijiet ippjanati jiġu evalwati għall-effettività. NIS2 jinkludi l-valutazzjoni tal-effettività f’Article 21(2)(f). DORA jistenna ittestjar u rimedjazzjoni. Kontroll li jeżisti iżda qatt ma jiġi ttestjat huwa evidenza dgħajfa.
Il-Politika tal-Ġestjoni tar-Riskju - SME tistabbilixxi l-istennija b’mod ċar:
Il-Maniġer Ġenerali u l-Koordinatur tar-Riskju għandhom jiżguraw li l-attivitajiet ta’ ġestjoni tar-riskju jkunu lesti għall-awditjar. Ir-Reġistru tar-Riskji u l-azzjonijiet relatati huma soġġetti għal awditjar intern u estern.
Mill-Politika tal-Ġestjoni tar-Riskju - SME, it-taqsima “Applikazzjoni u konformità”, klawżola tal-politika 8.2.1.
Rappurtar lill-bord mingħajr ma tgħarraq lill-eżekuttivi
NIS2, DORA, u ISO 27001 kollha jippuntaw lejn responsabbiltà tal-maniġment, iżda l-bordijiet m’għandhomx bżonn kull ringiela tar-riskju. Għandhom bżonn rappurtar utli għat-teħid tad-deċiżjonijiet.
Pakkett tajjeb tar-riskju għall-bord għandu juri:
- Riskji Għoljin u Kritiċi skont id-dominju
- Azzjonijiet ta’ trattament li qabżu l-iskadenza
- Riskji regolatorji li jinvolvu NIS2, DORA, GDPR, jew kuntratti
- Riskji tal-fornituri li jaffettwaw servizzi kritiċi jew importanti
- Xejriet ta’ inċidenti u kważi inċidenti
- Riskji residwi li qed jistennew aċċettazzjoni
- Riżultati tat-testijiet tal-effettività tal-kontrolli
- Bidliet materjali fil-kamp ta’ applikazzjoni, fornituri, teknoloġija, jew liġi
- Sejbiet tal-awditjar intern u azzjonijiet korrettivi
Clarysec normalment tirrakkomanda rieżamijiet operattivi tar-riskju ta’ kull xahar u rieżamijiet tal-maniġment ta’ kull tliet xhur. Ir-rieżamijiet ta’ kull xahar jiffokaw fuq it-twassil tat-trattament. Ir-rieżamijiet ta’ kull tliet xhur jiffokaw fuq l-aċċettazzjoni, il-finanzjament, il-prijoritizzazzjoni, l-espożizzjoni regolatorja, u deċiżjonijiet strateġiċi tar-riskju.
Dan ir-ritmu jappoġġa wkoll it-titjib kontinwu. Il-valutazzjonijiet tar-riskju għandhom jiġu aġġornati meta jseħħu inċidenti, jitfaċċaw vulnerabbiltajiet, jiġu introdotti assi ġodda, tinbidel it-teknoloġija, jinbidlu l-fornituri, jinbidlu l-liġijiet, jinbidlu l-obbligi tal-klijenti, jew jinbidel l-aptit għar-riskju.
Il-mogħdija ta’ implimentazzjoni ta’ Clarysec
Programm tar-riskju unifikat jevita spreadsheets separati għall-ISO, NIS2, DORA, GDPR, u l-assigurazzjoni tal-klijenti. Il-mogħdija prattika hija:
- Ikkonferma l-kamp ta’ applikazzjoni tal-ISMS, is-servizzi, l-assi, il-fornituri, il-ġurisdizzjonijiet, u l-obbligi tal-klijenti.
- Ibni jew aġġorna r-Reġistru tal-Konformità billi tuża l-Politika dwar il-Konformità Legali u Regolatorja - SME fejn xieraq.
- Iddefinixxi l-metodoloġija tar-riskju, il-kriterji ta’ aċċettazzjoni, l-iskali tal-probabbiltà, l-iskali tal-impatt, u r-regoli tal-impatt regolatorju.
- Ibni r-Reġistru tar-Riskji billi tuża l-fażi tal-Ġestjoni tar-Riskju ta’ Zenith Blueprint u l-approċċ ta’ Clarysec għall-Bennej tar-Reġistru tar-Riskji u s-SoA.
- Identifika riskji bbażati fuq assi u fuq xenarji, inklużi xenarji tal-fornituri, cloud, privatezza, kontinwità, inċidenti, vulnerabbiltajiet, żvilupp sigur, u aċċess.
- Agħti punteġġ lir-riskji bl-użu ta’ kriterji li jinkludu impatt legali, regolatorju, kuntrattwali, operattiv, tal-privatezza, tal-fornituri, u finanzjarju.
- Agħżel għażliet ta’ trattament: mitigazzjoni, evitar, trasferiment, jew aċċettazzjoni.
- Immappja l-kontrolli meħtieġa mal-Anness A ta’ ISO/IEC 27001:2022 u l-gwida ISO/IEC 27002:2022.
- Oħloq jew aġġorna d-Dikjarazzjoni ta’ Applikabbiltà.
- Immappja t-trattamenti ma’ NIS2 Article 21, il-ġestjoni tar-riskju tal-ICT u l-aspettattivi ta’ partijiet terzi ta’ DORA, ir-responsabbiltà taħt GDPR, u l-obbligi kuntrattwali tal-klijenti.
- Iġbor evidenza, ivverifika l-effettività tal-kontrolli, u kiseb approvazzjoni tar-riskju residwu.
- Ipprepara pakkett tal-awditjar organizzat skont ir-riskju, il-kontroll, ir-regolament, u l-artefatt tal-evidenza.
- Daħħal ir-riżultati fir-rieżami tal-maniġment, l-awditjar intern, l-azzjoni korrettiva, u t-titjib kontinwu.
Din mhijiex burokrazija għall-fini tagħha stess. Hija s-sistema operattiva għal governanza ċibernetika difensibbli.
Ibni pakkett ta’ trattament tar-riskju lest għall-awditjar
L-istorja ta’ Sarah tispiċċa tajjeb għaliex waqfet tittratta ISO 27001, NIS2, u DORA bħala proġetti separati ta’ konformità. Użat il-valutazzjoni tar-riskju ISO 27001 bħala l-magna ċentrali, inkorporat l-obbligi regolatorji fil-kriterji tar-riskju, immappjat l-azzjonijiet ta’ trattament mal-Anness A u mar-rekwiżiti tal-UE, u ġabret evidenza li l-klijenti, l-awdituri, u l-bord setgħu jifhmu.
L-organizzazzjoni tiegħek tista’ tagħmel l-istess.
Uża Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur biex tiddefinixxi l-kriterji tar-riskju, tibni r-Reġistru tar-Riskji, toħloq il-pjan ta’ trattament tar-riskju, u tagħmel referenzi inkroċjati mar-rekwiżiti regolatorji.
Uża Zenith Controls: Il-Gwida tal-Konformità Inkroċjata biex torbot l-oqsma ta’ kontroll tal-Anness A ta’ ISO/IEC 27001:2022 mal-governanza, il-konformità legali, l-assigurazzjoni, u l-perspettivi tal-awditjar.
Uża l-Politika tal-Ġestjoni tar-Riskju, il-Politika tal-Ġestjoni tar-Riskju - SME, u l-Politika dwar il-Konformità Legali u Regolatorja - SME ta’ Clarysec biex tistandardizza s-sjieda, ir-reġistri, id-deċiżjonijiet ta’ trattament, u l-evidenza lesta għall-awditjar.
L-aktar pass prattiku u mgħaġġel li jmiss huwa li tieħu l-aqwa għaxar riskji tiegħek u tittestjahom kontra ħames mistoqsijiet:
- L-impatt regolatorju huwa viżibbli?
- Il-pjan ta’ trattament huwa marbut biż-żmien u għandu sid?
- Kull trattament huwa mmappjat mal-Anness A u mas-SoA?
- Ir-rilevanza ta’ NIS2, DORA, GDPR, jew tal-klijent hija dokumentata fejn applikabbli?
- Hemm evidenza li l-kontroll jaħdem?
Jekk it-tweġiba hija le, Clarysec tista’ tgħin biex ir-Reġistru tar-Riskji tiegħek jinbidel fi programm ta’ trattament tar-riskju difensibbli u ta’ konformità inkroċjata li l-awdituri, ir-regolaturi, il-klijenti, u l-bordijiet jistgħu jafdaw.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
