Strateġiji ta’ ħruġ għall-ICT taħt DORA b’kontrolli ISO 27001
Fis-07:42 ta’ nhar ta’ Tnejn, responsabbli mill-operazzjonijiet ta’ fintech jirċievi l-messaġġ li ħadd ma jkun irid jaqra: il-fornitur tal-monitoraġġ tat-tranżazzjonijiet fl-ambjent cloud tal-kumpanija sofra qtugħ reġjonali serju. Sat-08:15, l-Uffiċjal Kap tar-Riskju (CRO) ikun qed jistaqsi jekk is-servizz affettwat jappoġġax funzjoni kritika jew importanti. Sat-08:40, il-funzjoni legali tkun trid tkun taf jekk il-kuntratt jagħtix lid-ditta assistenza fit-tranżizzjoni, esportazzjoni tad-data, tħassir u drittijiet ta’ awditjar. Sad-09:05, l-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) ikun qed ifittex evidenza li l-pjan ta’ ħruġ ġie ttestjat, mhux sempliċement miktub.
F’ditta oħra tas-servizzi finanzjarji, Sarah, is-CISO ta’ pjattaforma fintech li qed tikber malajr, tiftaħ talba għal informazzjoni qabel awditjar għal valutazzjoni tal-konformità ma’ DORA. Il-mistoqsijiet ikunu familjari sakemm tasal għat-taqsima dwar fornituri terzi ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. L-awdituri mhumiex jistaqsu jekk il-kumpanija għandhiex politika għall-fornituri. Qed jitolbu strateġiji ta’ ħruġ dokumentati, ittestjati u vijabbli.
Moħħha jmur mill-ewwel għand il-fornitur ewlieni tal-cloud li jospita l-pjattaforma, imbagħad għand il-fornitur ta’ servizzi tas-sigurtà ġestiti li jimmonitorja t-theddid lejl u nhar. X’jiġri jekk il-fornitur tal-cloud jesperjenza tfixkil ġeopolitiku? X’jiġri jekk l-MSSP jiġi akkwistat minn kompetitur? X’jiġri jekk fornitur SaaS kritiku jsir insolventi, itemm is-servizz jew jitlef il-fiduċja tal-klijenti wara inċident maġġuri?
It-tweġiba skomda f’ħafna ditti tkun l-istess. Ikun hemm valutazzjoni tar-riskju tal-fornitur, pjan ta’ kontinwità tan-negozju, folder tal-kuntratti, inventarju tal-cloud u forsi rapport tal-backup. Iżda ma teżistix strateġija waħda ta’ ħruġ għall-ICT minn fornitur terz taħt DORA, lesta għall-awditjar, li torbot il-kritikalità tan-negozju, id-drittijiet kuntrattwali, il-portabbiltà teknika, il-pjanijiet ta’ kontinwità, l-evidenza tal-backup, l-obbligi tal-privatezza u l-approvazzjoni mill-maniġment.
DORA jibdel it-ton tal-ġestjoni tal-fornituri. Skont ir-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom jimmaniġġjaw ir-riskju tal-ICT minn partijiet terzi bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT. Huma jibqgħu kompletament responsabbli għall-konformità, iżommu reġistru tal-kuntratti għas-servizzi tal-ICT, jiddistingwu arranġamenti tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti, jevalwaw ir-riskji ta’ konċentrazzjoni u ta’ sottokuntrattar, u jżommu strateġiji ta’ ħruġ għal dipendenzi kritiċi fuq fornituri terzi tal-ICT. DORA japplika mis-17 ta’ Jannar 2025 u jistabbilixxi rekwiżiti uniformi tal-UE għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti, l-ittestjar tar-reżiljenza, il-kondiviżjoni tal-informazzjoni u l-ġestjoni tar-riskju tal-ICT minn partijiet terzi f’firxa wiesgħa ta’ entitajiet finanzjarji.
Strateġija ta’ ħruġ taħt DORA mhijiex paragrafu f’kuntratt ma’ fornitur. Hija sistema ta’ kontroll. Għandha tkun soġġetta għal governanza, evalwata għar-riskju, teknikament fattibbli, infurzabbli kuntrattwalment, ittestjata, sostnuta b’evidenza u mtejba kontinwament.
L-approċċ ta’ Clarysec jgħaqqad Zenith Blueprint: Pjan direzzjonali f’30 pass għall-awdituri Zenith Blueprint, mudelli ta’ politiki għall-intrapriżi, u Zenith Controls: Il-gwida għall-konformità trasversali Zenith Controls biex il-mistoqsija ta’ dak it-Tnejn filgħodu tinbidel f’tweġiba ppreparata.
Għaliex l-istrateġiji ta’ ħruġ taħt DORA ifallu f’awditi reali
Ħafna fallimenti fl-istrateġiji ta’ ħruġ għall-ICT taħt DORA ikunu strutturali qabel ma jkunu tekniċi. L-organizzazzjoni jkollha sid tal-fornitur, iżda mhux sid tar-riskju responsabbli. Ikollha backup jobs, iżda mhux evidenza ta’ restawr. Ikollha kwestjonarju ta’ diliġenza dovuta tal-fornitur, iżda l-ebda deċiżjoni dokumentata dwar jekk il-fornitur jappoġġax funzjoni kritika jew importanti. Ikollha lingwaġġ ta’ terminazzjoni fil-kuntratt, iżda mhux perjodu ta’ tranżizzjoni allinjat mal-pjan ta’ kontinwità tan-negozju.
DORA jgħaqqad dawn il-biċċiet flimkien. L-Artikolu 28 jistabbilixxi l-prinċipji ġenerali għall-ġestjoni tar-riskju tal-ICT minn partijiet terzi, inkluża l-ħtieġa li r-riskju tal-fornituri terzi ta’ servizzi tal-ICT jiġi mmaniġġjat matul iċ-ċiklu tal-ħajja kollu u li jinżammu strateġiji ta’ ħruġ xierqa. L-Artikolu 30 jistabbilixxi rekwiżiti kuntrattwali dettaljati għal servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti, inklużi deskrizzjonijiet tas-servizz, postijiet tal-ipproċessar tad-data, protezzjonijiet tas-sigurtà, drittijiet ta’ aċċess u awditjar, assistenza għall-inċidenti, kooperazzjoni mal-awtoritajiet kompetenti u drittijiet ta’ terminazzjoni.
Ir-regolament huwa wkoll proporzjonat. L-Artikoli 4 u 16 jippermettu lil ċerti entitajiet iżgħar jew eżentati japplikaw qafas simplifikat għall-ġestjoni tar-riskju tal-ICT. Iżda simplifikat ma jfissirx mhux dokumentat. Entitajiet finanzjarji iżgħar xorta għandhom bżonn ġestjoni tar-riskju tal-ICT dokumentata, monitoraġġ kontinwu, sistemi reżiljenti, identifikazzjoni fil-pront ta’ inċidenti tal-ICT, identifikazzjoni ta’ dipendenzi ewlenin tal-ICT fuq partijiet terzi, backup u restawr, kontinwità tan-negozju, rispons u rkupru, ittestjar, tagħlimiet miksuba u taħriġ.
Fintech żgħira ma tistax tgħid, “Aħna żgħar wisq għall-ippjanar tal-ħruġ.” Tista’ tgħid, “L-istrateġija tagħna ta’ ħruġ taħt DORA hija proporzjonata mad-daqs, il-profil tar-riskju u l-kumplessità tas-servizzi tagħna.” Id-differenza hija l-evidenza.
Għal entitajiet li jaqgħu wkoll fil-kamp ta’ applikazzjoni nazzjonali ta’ NIS2, DORA jopera bħala l-att legali tal-Unjoni speċifiku għas-settur għall-obbligi taċ-ċibersigurtà li jikkoinċidu fis-settur finanzjarju. NIS2 jibqa’ importanti fl-ekosistema usa’, speċjalment għal fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, fornituri tal-cloud, ċentri tad-data u entitajiet tal-infrastruttura diġitali. NIS2 Article 21 isaħħaħ l-istess temi: analiżi tar-riskju, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist sigur, evalwazzjoni tal-effettività, taħriġ, kontrolli kriptografiċi, kontroll tal-aċċess, politika tal-ġestjoni tal-assi u awtentikazzjoni.
Is-superviżuri, il-klijenti, l-awdituri u l-bordijiet jistgħu jistaqsu l-mistoqsija b’modi differenti, iżda l-kwistjoni ewlenija tibqa’ l-istess: tista’ toħroġ minn fornitur kritiku tal-ICT mingħajr ma titlef il-kontroll tal-kontinwità tas-servizz, tad-data, tal-evidenza jew tal-impatt fuq il-klijenti?
Agħmel l-istrateġija ta’ ħruġ parti mill-ISMS
ISO/IEC 27001:2022 jipprovdi s-sinsla tas-sistema ta’ ġestjoni għall-ippjanar tal-ħruġ taħt DORA.
Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tiddefinixxi l-kuntest tagħha, il-partijiet interessati, ir-rekwiżiti legali, regolatorji u kuntrattwali, il-kamp ta’ applikazzjoni tal-ISMS, l-interfaċċi, id-dipendenzi u l-proċessi. Hawnhekk entità finanzjarja tidentifika DORA, impenji mal-klijenti, aspettattivi ta’ esternalizzazzjoni, dipendenzi fuq il-cloud, obbligi tal-privatezza, sottokuntratturi u servizzi tal-ICT fil-konfini tal-ISMS.
Il-klawżoli 5.1 sa 5.3 jeħtieġu tmexxija, politika, riżorsi, assenjazzjoni tar-rwoli u responsabbiltajiet. Dan jallinja mal-mudell ta’ governanza ta’ DORA, fejn il-korp maniġerjali jiddefinixxi, japprova, jissorvelja u jibqa’ responsabbli għall-ġestjoni tar-riskju tal-ICT, inklużi l-kontinwità tan-negozju tal-ICT, il-pjanijiet ta’ rispons u rkupru, il-pjanijiet ta’ awditjar tal-ICT, il-baġits, l-istrateġija tar-reżiljenza u l-politika dwar ir-riskju tal-ICT minn partijiet terzi.
Il-klawżoli 6.1.1 sa 6.1.3 jittrasformaw l-ippjanar tal-ħruġ fi trattament tar-riskju. L-organizzazzjoni tiddefinixxi kriterji tar-riskju, twettaq valutazzjonijiet tar-riskju ripetibbli, tidentifika riskji għall-kunfidenzjalità, l-integrità u d-disponibbiltà, tassenja sidien tar-riskju, tevalwa l-konsegwenzi u l-probabbiltà, tagħżel għażliet ta’ trattament, tqabbel il-kontrolli mal-Anness A, tipproduċi Dikjarazzjoni ta’ Applikabbiltà, tħejji Pjan ta’ Trattament tar-Riskju, u tikseb l-approvazzjoni tas-sid tar-riskju u l-aċċettazzjoni tar-riskju residwu.
Il-klawżola 8.1 imbagħad teħtieġ ippjanar u kontroll operattiv. L-organizzazzjoni għandha tippjana, timplimenta u tikkontrolla l-proċessi tal-ISMS, iżżomm informazzjoni dokumentata li turi li l-proċessi twettqu kif ippjanat, timmaniġġja l-bidliet u tikkontrolla proċessi, prodotti jew servizzi pprovduti minn barra li huma rilevanti għall-ISMS.
ISO/IEC 27005:2022 isaħħaħ dan l-approċċ. Il-klawżola 6.2 tagħti parir lill-organizzazzjonijiet biex jidentifikaw ir-rekwiżiti tal-partijiet interessati, inklużi l-kontrolli tal-Anness A ta’ ISO/IEC 27001:2022, standards speċifiċi għas-settur, regolamenti nazzjonali u internazzjonali, regoli interni, rekwiżiti kuntrattwali u kontrolli eżistenti minn trattament tar-riskju preċedenti. Il-klawżoli 6.4.1 sa 6.4.3 jispjegaw li l-kriterji tar-riskju għandhom iqisu aspetti legali u regolatorji, relazzjonijiet mal-fornituri, privatezza, impatti operattivi, ksur ta’ kuntratt, operazzjonijiet ta’ partijiet terzi u konsegwenzi reputazzjonali. Il-klawżoli 8.2 sa 8.6 jappoġġaw librerija tal-kontrolli u pjan ta’ trattament li jistgħu jgħaqqdu l-Anness A ta’ ISO/IEC 27001:2022 ma’ DORA, NIS2, GDPR, impenji mal-klijenti u politiki interni.
Il-mudell operattiv huwa ċar: inventarju wieħed tar-rekwiżiti, reġistru wieħed tar-riskju tal-fornituri, Dikjarazzjoni ta’ Applikabbiltà waħda, Pjan ta’ Trattament tar-Riskju wieħed u pakkett wieħed ta’ evidenza għal kull xenarju kritiku ta’ ħruġ.
Il-kontrolli ISO/IEC 27001:2022 li jsostnu l-ippjanar tal-ħruġ taħt DORA
L-istrateġiji ta’ ħruġ taħt DORA isiru lesti għall-awditjar meta l-governanza tal-fornituri, il-portabbiltà tal-cloud, l-ippjanar tal-kontinwità u l-evidenza tal-backup jiġu trattati bħala katina waħda konnessa ta’ kontrolli.
Zenith Controls ta’ Clarysec jimmappja l-kontrolli tal-Anness A ta’ ISO/IEC 27001:2022 mal-attributi tal-kontroll, l-evidenza tal-awditjar u l-aspettattivi ta’ konformità trasversali. Mhuwiex qafas ta’ kontrolli separat. Huwa l-gwida ta’ Clarysec għall-konformità trasversali biex wieħed jifhem kif il-kontrolli ISO/IEC 27001:2022 jappoġġaw riżultati ta’ awditjar, regolatorji u operattivi.
| Kontroll tal-Anness A ta’ ISO/IEC 27001:2022 | Rwol fl-istrateġija ta’ ħruġ | Evidenza DORA li jappoġġa | Fokus tal-awditur |
|---|---|---|---|
| A.5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri | Jistabbilixxi l-proċess tal-ġestjoni tar-riskju tal-fornituri | Klassifikazzjoni tal-fornituri, sjieda tad-dipendenzi, valutazzjoni tar-riskju | Ir-riskju tal-fornituri huwa mmaniġġjat b’mod konsistenti? |
| A.5.20 Indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri | Jittrasforma l-aspettattivi tal-ħruġ f’termini kuntrattwali infurzabbli | Drittijiet ta’ terminazzjoni, drittijiet ta’ awditjar, assistenza fit-tranżizzjoni, appoġġ għall-inċidenti, ritorn u tħassir tad-data | Il-kuntratt fil-fatt jappoġġa l-pjan ta’ ħruġ? |
| A.5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT | Jestendi l-iskrutinju għas-sottokuntratturi u d-dipendenzi downstream | Viżibbiltà tas-sottokuntratturi, riskju tal-katina, valutazzjoni tar-riskju ta’ konċentrazzjoni | Id-ditta tifhem id-dipendenzi moħbija? |
| A.5.22 Monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri | Iżomm ir-riskju tal-fornituri aġġornat matul bidliet fis-servizz | Reġistri tar-rieżami, valutazzjonijiet tal-bidliet fis-servizz, traċċar tar-rimedju | Is-sorveljanza tal-fornituri hija kontinwa? |
| A.5.23 Sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud | Jikkontrolla l-onboarding, l-użu, il-ġestjoni, il-portabbiltà u l-ħruġ minn servizzi cloud | Esportazzjoni tad-data, tħassir, appoġġ għall-migrazzjoni, evidenza ta’ dipendenza vinkolanti fuq fornitur | Id-ditta tista’ tirkupra d-data u tneħħiha b’mod sigur? |
| A.5.30 Tħejjija tal-ICT għall-kontinwità tan-negozju | Jittestja jekk servizzi kritiċi tal-ICT jistgħux jiġu rrestawrati jew sostitwiti fi ħdan it-tolleranzi tan-negozju | Pjanijiet ta’ kontinwità, objettivi ta’ rkupru, arranġamenti alternattivi, soluzzjonijiet operattivi ttestjati | Il-ħruġ huwa teknikament fattibbli waqt tfixkil? |
| A.8.13 Backup tal-informazzjoni | Jipprovdi data li tista’ tiġi rkuprata għal xenarji ta’ ħruġ jew falliment | Skedi tal-backup, riżultati tat-testijiet ta’ restawr, kontrolli tal-integrità | Id-data tista’ tiġi rrestawrata fi ħdan RTO u RPO? |
Għal strateġija ta’ ħruġ għall-ICT minn fornitur terz taħt DORA, it-traċċa tal-awditjar għandha turi li:
- Il-fornitur huwa kklassifikat u marbut mal-proċessi tan-negozju.
- Is-servizz huwa evalwat għall-appoġġ ta’ funzjoni kritika jew importanti.
- Ir-riskju tal-ħruġ huwa rreġistrat ma’ sid tar-riskju responsabbli.
- Il-klawżoli kuntrattwali jappoġġaw it-tranżizzjoni, l-aċċess, l-awditjar, ir-ritorn tad-data, it-tħassir tad-data, il-kooperazzjoni u l-kontinwità.
- Il-portabbiltà u l-interoperabbiltà tal-cloud ġew ivverifikati.
- Il-backups u t-testijiet ta’ restawr jippruvaw l-irkuprabbiltà.
- Sostituzzjoni temporanja jew ipproċessar alternattiv ġew dokumentati.
- Ir-riżultati tal-ittestjar tal-ħruġ ġew rieżaminati, irrimedjati u rrappurtati lill-maniġment.
Il-lingwaġġ kuntrattwali huwa l-ewwel kontroll tal-kontinwità
Kuntratt għandu jkun l-ewwel kontroll tal-kontinwità, mhux ostaklu għall-kontinwità. Jekk il-fornitur jista’ jtemm is-servizz malajr, idewwem l-esportazzjonijiet, jirrestrinġi l-aċċess għal-logs, jitlob tariffi ta’ tranżizzjoni mhux definiti jew jirrifjuta appoġġ għall-migrazzjoni, l-istrateġija ta’ ħruġ tkun fraġli.
F’Zenith Blueprint, il-fażi Kontrolli fl-Azzjoni, Pass 23, Kontroll 5.20, tispjega li l-ftehimiet mal-fornituri għandhom jinkludu r-rekwiżiti prattiċi tas-sigurtà li jagħmlu l-ħruġ possibbli:
Oqsma ewlenin tipikament indirizzati fil-ftehimiet mal-fornituri jinkludu:
✓ Obbligi ta’ kunfidenzjalità, inklużi l-kamp ta’ applikazzjoni, it-tul ta’ żmien u r-restrizzjonijiet fuq żvelar lil partijiet terzi;
✓ Responsabbiltajiet tal-kontroll tal-aċċess, bħal min jista’ jaċċessa d-data tiegħek, kif jiġu mmaniġġjati l-kredenzjali u x’monitoraġġ ikun fis-seħħ;
✓ miżuri tekniċi u organizzattivi (TOMs) għall-protezzjoni tad-data, l-iċċifrar, it-trażmissjoni sigura, il-backup u l-impenji ta’ disponibbiltà;
✓ Skadenzi u protokolli tar-rappurtar tal-inċidenti, spiss b’perjodi ta’ żmien definiti;
✓ Drittijiet ta’ awditjar, inklużi l-frekwenza, il-kamp ta’ applikazzjoni u l-aċċess għal evidenza rilevanti;
✓ Kontrolli tas-sottokuntratturi, li jeħtieġu li l-fornitur jgħaddi obbligi tas-sigurtà ekwivalenti lis-sħab downstream tiegħu;
✓ Dispożizzjonijiet ta’ tmiem il-kuntratt, bħar-ritorn jew il-qerda tad-data, irkupru tal-assi u diżattivazzjoni tal-kontijiet.
Dik il-lista torbot l-aspettattivi kuntrattwali ta’ DORA Article 30 mal-kontroll A.5.20 tal-Anness A ta’ ISO/IEC 27001:2022.
Il-lingwaġġ tal-politiki għall-intrapriżi ta’ Clarysec jagħmel l-istess punt b’mod operattiv. Fil-Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri, it-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.4.3 tiddikjara:
Arranġamenti alternattivi tekniċi: Żgura l-portabbiltà u l-interoperabbiltà tad-data biex tappoġġa t-tranżizzjoni tas-servizz jekk ikun meħtieġ (eż. backups regolari f’formati standard minn fornitur SaaS biex tkun possibbli l-migrazzjoni).
L-istess politika, klawżola 6.8.2, teħtieġ:
Dritt għal assistenza fit-tranżizzjoni fejn tkun meħtieġa bidla tal-fornitur, inkluż servizz kontinwu matul perjodu ta’ tranżizzjoni definit.
Din il-klawżola spiss tiddeċiedi jekk strateġija ta’ ħruġ tgħaddix mill-awditjar. Tikkonverti l-ħruġ minn avveniment qisu tarf ta’ rdum għal tranżizzjoni mmaniġġjata.
Għal entitajiet iżgħar, il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, it-taqsima “Rekwiżiti ta’ governanza,” klawżola 5.3.6, teħtieġ:
Termini ta’ terminazzjoni, inkluż ritorn jew qerda siguri tad-data
Għal ambjenti ta’ intrapriża, il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, it-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.5.1.2 teħtieġ:
Ritorn jew qerda ċċertifikata tal-informazzjoni kollha proprjetà tal-organizzazzjoni
Dawn ir-rekwiżiti tal-politika għandhom jintrabtu direttament ma’ klawżoli kuntrattwali, proċeduri tal-fornituri, manwali operattivi tal-ħruġ u evidenza tal-awditjar.
Ħruġ mill-cloud: ittestja l-portabbiltà qabel ikollok bżonnha
Is-servizzi cloud huma fejn l-istrateġiji ta’ ħruġ taħt DORA spiss isiru vagi. Id-ditta tassumi li tista’ tesporta d-data, iżda ħadd ma ttestja l-format. Tassumi li t-tħassir se jseħħ, iżda l-mudell taż-żamma tal-fornitur jinkludi backups u ħażna replikata. Tassumi li fornitur alternattiv jista’ jirċievi d-data, iżda l-iskemi, l-integrazzjonijiet tal-identità, iċ-ċwievet tal-iċċifrar, is-sigrieti, il-logs, l-interfaċċi ta’ programmazzjoni tal-applikazzjonijiet u l-limiti tar-rata jagħmlu l-migrazzjoni aktar bil-mod milli tippermetti t-tolleranza tal-impatt.
Il-kontroll A.5.23 tal-Anness A ta’ ISO/IEC 27001:2022 jindirizza din il-problema taċ-ċiklu tal-ħajja billi jeħtieġ kontrolli tas-sigurtà tal-informazzjoni għall-akkwist, l-użu, il-ġestjoni u l-ħruġ minn servizzi cloud.
Il-Politika dwar l-Użu tal-Cloud - SME ta’ Clarysec Politika dwar l-Użu tal-Cloud - SME, it-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.3.4 teħtieġ:
Kapaċità ta’ esportazzjoni tad-data kkonfermata qabel l-onboarding (eż. biex tiġi evitata dipendenza vinkolanti fuq fornitur)
Klawżola 6.3.5 teħtieġ:
Konferma tal-proċeduri ta’ tħassir sigur qabel l-għeluq tal-kont
Dawn ir-rekwiżiti jappartjenu għall-bidu taċ-ċiklu tal-ħajja tal-fornitur. Tistenniex sat-terminazzjoni biex tistaqsi jekk id-data tistax tiġi esportata. Tistenniex sal-għeluq tal-kont biex tistaqsi jekk teżistix evidenza tat-tħassir.
Test prattiku tal-ħruġ mill-cloud taħt DORA għandu jinkludi:
- Esportazzjoni ta’ dataset rappreżentattiv fil-format miftiehem.
- Verifika tal-kompletezza, l-integrità, it-timestamps, il-metadata u l-kontrolli tal-aċċess.
- Importazzjoni tad-dataset f’ambjent ta’ prova jew għodda alternattiva.
- Konferma tal-immaniġġjar taċ-ċwievet tal-iċċifrar u r-rotazzjoni tas-sigrieti.
- Konferma tal-esportazzjoni tal-logs u ż-żamma tat-traċċa tal-awditjar.
- Dokumentazzjoni tal-proċeduri tat-tħassir tal-fornitur, inklużi ż-żamma tal-backup u ċ-ċertifikazzjoni tat-tħassir.
- Reġistrazzjoni tal-kwistjonijiet, azzjonijiet ta’ rimedju, sidien u skadenzi.
- Aġġornament tal-valutazzjoni tar-riskju tal-fornitur, id-Dikjarazzjoni ta’ Applikabbiltà u l-pjan ta’ ħruġ.
Il-portabbiltà mhijiex wegħda tal-akkwist. Hija kapaċità ttestjata.
Sprint ta’ ġimgħa għal pjan ta’ ħruġ DORA lest għall-awditjar
Ikkunsidra istituzzjoni tal-pagamenti li tuża fornitur SaaS għall-analiżi tal-frodi. Il-fornitur idaħħal data tat-tranżazzjonijiet, identifikaturi tal-klijenti, data tat-telemetrija tal-apparat, sinjali ta’ mġiba, regoli tal-frodi, outputs ta’ punteġġjar u noti tal-każijiet. Is-servizz jappoġġa proċess kritiku ta’ skoperta tal-frodi. Id-ditta tuża wkoll maħżen tad-data fil-cloud biex taħżen ir-riżultati esportati tal-analiżi.
Is-CISO jrid strateġija ta’ ħruġ għall-ICT minn fornitur terz taħt DORA li tiflaħ għal awditjar intern u rieżami superviżorju. Sprint ta’ ġimgħa jista’ jikxef il-lakuni u jibni l-katina tal-evidenza.
Jum 1: ikklassifika l-fornitur u ddefinixxi x-xenarju ta’ ħruġ
Bl-użu ta’ Zenith Blueprint, il-fażi Kontrolli fl-Azzjoni, Pass 23, Azzjonijiet għall-Kontrolli 5.19 sa 5.37, it-tim jibda billi jirrieżamina u jikklassifika l-portafoll tal-fornituri:
Iġbor lista sħiħa tal-fornituri u l-fornituri tas-servizzi attwali (5.19), u kklassifikahom skont l-aċċess għal sistemi, data jew kontroll operattiv. Għal kull fornitur ikklassifikat, ivverifika li l-aspettattivi tas-sigurtà huma inkorporati b’mod ċar fil-kuntratti (5.20), inklużi l-kunfidenzjalità, l-aċċess, ir-rappurtar tal-inċidenti u l-obbligi ta’ konformità.
Il-fornitur huwa kklassifikat bħala kritiku għax jappoġġa funzjoni kritika jew importanti, jipproċessa data operattiva sensittiva u jaffettwa r-riżultati tal-monitoraġġ tat-tranżazzjonijiet.
It-tim jiddefinixxi tliet skattaturi tal-ħruġ:
- Insolvenza tal-fornitur jew waqfien tas-servizz.
- Ksur materjali tas-sigurtà jew telf ta’ fiduċja.
- Migrazzjoni strateġika biex jitnaqqas ir-riskju ta’ konċentrazzjoni.
Jum 2: ibni l-inventarju tar-rekwiżiti u r-reġistru tar-riskju
It-tim joħloq inventarju wieħed tar-rekwiżiti li jkopri r-riskju tal-ICT minn partijiet terzi taħt DORA, il-kontrolli tal-fornituri u tal-cloud ta’ ISO/IEC 27001:2022, l-obbligi tal-GDPR għad-data personali, l-impenji kuntrattwali mal-klijenti u l-aptit għar-riskju intern.
Skont il-GDPR, id-ditta tikkonferma jekk l-identifikaturi tat-tranżazzjonijiet, IDs tal-apparati, sinjali tal-post u analiżi tal-imġiba jirrelatawx ma’ individwi identifikati jew identifikabbli. Il-prinċipji tal-GDPR Article 5, inklużi l-integrità, il-kunfidenzjalità, il-limitazzjoni tal-ħażna u r-responsabbiltà, isiru parti mir-rekwiżit tal-evidenza tal-ħruġ. Jekk il-ħruġ jinvolvi trasferiment lil fornitur ġdid, il-bażi legali, l-għan, il-minimizzazzjoni, iż-żamma, it-termini tal-proċessur u s-salvagwardji għandhom jiġu dokumentati.
Ir-reġistru tar-riskju jinkludi dan li ġej:
| Element tar-riskju | Eżempju ta’ entrata |
|---|---|
| Dikjarazzjoni tar-riskju | Nuqqas ta’ kapaċità li d-ditta toħroġ mill-fornitur tal-analiżi tal-frodi fi ħdan it-tolleranza tal-impatt |
| Konsegwenza | Dewmien fl-iskoperta tal-frodi, telf finanzjarju, ksur regolatorju, ħsara lill-klijenti |
| Probabbiltà | Medja, abbażi tal-konċentrazzjoni tal-fornitur u formati proprjetarji |
| Sid tar-riskju | Kap tat-Teknoloġija tal-Kriminalità Finanzjarja |
| Trattament | Emenda tal-kuntratt, test tal-esportazzjoni, valutazzjoni ta’ fornitur alternattiv, verifika tal-backup, test tal-manwal operattiv |
| Approvazzjoni tar-riskju residwu | Approvazzjoni mis-CRO wara evidenza tat-test u rieżami tar-rimedju |
Jum 3: irranġa l-lakuni kuntrattwali
Il-funzjonijiet legali u tal-akkwist iqabblu l-kuntratt mal-klawżoli tal-fornituri ta’ Clarysec. Iżidu assistenza fit-tranżizzjoni, servizz kontinwu matul perjodu ta’ tranżizzjoni definit, aċċess għall-awditjar u għall-evidenza, notifika dwar sottokuntratturi, format tal-esportazzjoni tad-data, ċertifikazzjoni tat-tħassir sigur, kooperazzjoni għall-inċidenti u impenji dwar il-ħinijiet ta’ rkupru.
Il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru, it-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.5.1 tiddikjara:
Kuntratti ma’ fornituri kritiċi għandhom jinkludu obbligi ta’ kontinwità u impenji dwar il-ħinijiet ta’ rkupru.
Għall-SMEs, il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru - SME Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru - SME, it-taqsima “Trattament tar-riskju u eċċezzjonijiet,” klawżola 7.2.1.4 teħtieġ lit-timijiet biex:
jiddokumentaw pjanijiet temporanji ta’ sostituzzjoni ta’ fornitur jew sieħeb
Dik il-klawżola tbiddel “se nimigraw” f’arranġament alternattiv azzjonabbli: liema fornitur, liema workaround intern, liema proċess manwali, liema estratt tad-data, liema sid u liema mogħdija ta’ approvazzjoni.
Jum 4: ittestja l-portabbiltà tad-data u l-irkuprabbiltà tal-backup
It-tim tat-teknoloġija jesporta r-regoli tal-frodi, data tal-każijiet, outputs tal-punteġġjar tat-tranżazzjonijiet, logs, konfigurazzjoni, dokumentazzjoni tal-interfaċċi ta’ programmazzjoni tal-applikazzjonijiet u listi ta’ utenti attivi. Jittestjaw jekk id-data tistax tiġi rrestawrata jew użata mill-ġdid f’ambjent ikkontrollat.
Il-Politika dwar il-Backup u r-Restawr - SME Politika dwar il-Backup u r-Restawr - SME, it-taqsima “Rekwiżiti ta’ governanza,” klawżola 5.3.3 teħtieġ:
It-testijiet ta’ restawr jitwettqu mill-inqas kull tliet xhur, u r-riżultati jiġu dokumentati biex tiġi vverifikata l-irkuprabbiltà
Il-Politika dwar il-Backup u r-Restawr għall-intrapriżi Politika dwar il-Backup u r-Restawr, it-taqsima “Applikazzjoni u konformità,” klawżola 8.3.1 iżżid:
Awditja perjodikament il-logs tal-backup, is-settings tal-konfigurazzjoni u r-riżultati tat-testijiet
F’Zenith Blueprint, il-fażi Kontrolli fl-Azzjoni, Pass 19, Kontroll 8.13, Clarysec iwissi għaliex dan huwa importanti:
L-ittestjar tar-restawr huwa fejn ħafna organizzazzjonijiet jonqsu. Backup li ma jistax jiġi rrestawrat fil-ħin, jew xejn, huwa piż, mhux assi. Skeda eżerċizzji regolari ta’ restawr, anke jekk parzjali biss, u ddokumenta r-riżultat.
It-tim jiskopri li n-noti tal-każijiet esportati ma jinkludux attachments, u li l-limiti tar-rata tal-API jagħmlu esportazzjoni sħiħa bil-mod wisq għall-objettiv ta’ rkupru definit. Il-kwistjoni tiġi rreġistrata, assenjata u rrimedjata permezz ta’ addendum kuntrattwali u disinn mill-ġdid tekniku tal-esportazzjoni.
Jum 5: mexxi eżerċizzju ta’ simulazzjoni tal-ħruġ u rieżami tal-evidenza
It-tim iwettaq eżerċizzju ta’ simulazzjoni: il-fornitur iħabbar terminazzjoni fi żmien 90 jum wara inċident maġġuri. L-operazzjonijiet għandhom ikomplu l-monitoraġġ tal-frodi waqt li d-data tiġi migrata.
F’Zenith Blueprint, il-fażi Kontrolli fl-Azzjoni, Pass 23, Kontroll 5.30, Clarysec jispjega l-istandard tat-test:
It-tħejjija tal-ICT tibda ħafna qabel ma jseħħ tfixkil. Tinvolvi l-identifikazzjoni ta’ sistemi kritiċi, il-fehim tal-interdipendenzi tagħhom u l-immappjar tagħhom mal-proċessi tan-negozju.
L-istess taqsima żżid:
L-objettivi ta’ ħin għall-irkupru (RTOs) u l-objettivi tal-punt ta’ rkupru (RPOs) definiti fil-pjan ta’ kontinwità tan-negozju għandhom jiġu riflessi fil-konfigurazzjonijiet tekniċi, fil-kuntratti u fid-disinn tal-infrastruttura.
Il-pakkett ta’ evidenza jinkludi klassifikazzjoni tal-fornitur, valutazzjoni tar-riskju, klawżoli kuntrattwali, manwal operattiv tal-ħruġ, riżultati tal-esportazzjoni tad-data, evidenza ta’ restawr minn backup, proċedura tat-tħassir, valutazzjoni ta’ fornitur alternattiv, minuti tal-eżerċizzju ta’ simulazzjoni, reġistru tar-rimedju, approvazzjoni mill-maniġment u deċiżjoni dwar ir-riskju residwu.
Is-CISO issa jista’ jwieġeb il-mistoqsija tal-bord b’evidenza, mhux b’ottimiżmu.
Konformità trasversali: pjan wieħed ta’ ħruġ, diversi perspettivi ta’ awditjar
Strateġija ta’ ħruġ b’saħħitha taħt DORA tnaqqas xogħol doppju ta’ konformità madwar l-aspettattivi ta’ governanza ta’ ISO/IEC 27001:2022, NIS2, GDPR, NIST u COBIT 2019.
| Qafas jew regolament | X’jitlob f’termini ta’ ppjanar tal-ħruġ | Evidenza li Clarysec jirrakkomanda |
|---|---|---|
| DORA | Żamma ta’ strateġiji ta’ ħruġ għal servizzi tal-ICT kritiċi jew importanti, ġestjoni tar-riskju ta’ partijiet terzi, ittestjar tar-reżiljenza, dokumentazzjoni tal-kuntratti u d-dipendenzi | Reġistru tal-fornituri, klassifikazzjoni tal-kritikalità, klawżoli kuntrattwali, test tal-ħruġ, pjan ta’ tranżizzjoni, drittijiet ta’ awditjar, valutazzjoni tar-riskju ta’ konċentrazzjoni |
| NIS2 | Għal entitajiet rilevanti, ġestjoni tas-sigurtà tal-katina tal-provvista, kontinwità tan-negozju, backup, irkupru minn diżastru (DR), ġestjoni tal-kriżijiet, immaniġġjar tal-inċidenti u responsabbiltà tal-governanza | Valutazzjoni tar-riskju tal-fornitur, pjan ta’ kontinwità, playbooks tal-inċidenti, approvazzjoni mill-maniġment, azzjonijiet korrettivi |
| GDPR | Protezzjoni tad-data personali matul it-trasferiment, ir-ritorn, it-tħassir, il-migrazzjoni u ż-żamma b’responsabbiltà u miżuri tekniċi u organizzattivi xierqa | Mappa tad-data, termini tal-proċessur, evidenza tal-esportazzjoni, ċertifikazzjoni tat-tħassir, regoli taż-żamma, allinjament tal-immaniġġjar tal-ksur |
| ISO/IEC 27001:2022 | Operazzjoni ta’ kontrolli tal-fornituri, cloud, kontinwità, inċidenti, awditjar, monitoraġġ u titjib ġewwa l-ISMS | Dikjarazzjoni ta’ Applikabbiltà, Pjan ta’ Trattament tar-Riskju, reġistru tal-awditjar intern, Rieżami tal-Ġestjoni, proċeduri dokumentati |
| NIST Cybersecurity Framework 2.0 | Governanza tad-dipendenzi esterni, identifikazzjoni tal-fornituri, protezzjoni tas-servizzi, rispons għat-tfixkil u rkupru tal-operazzjonijiet | Inventarju tad-dipendenzi, reġistri tar-riskju tal-fornituri, kontrolli ta’ protezzjoni, proċedura ta’ rispons, test ta’ rkupru, tagħlimiet miksuba |
| COBIT 2019 | Dimostrazzjoni ta’ governanza fuq sourcing, prestazzjoni tal-fornituri, riskju, kontinwità tas-servizz, assigurazzjoni u konformità | Deċiżjonijiet ta’ governanza, sjieda, KPIs, sorveljanza tal-fornituri, evidenza tal-kontinwità, rapporti ta’ assigurazzjoni |
Il-punt importanti mhuwiex li qafas wieħed jissostitwixxi ieħor. Il-valur huwa li ISMS mibni tajjeb jippermetti lill-organizzazzjoni tiġġenera evidenza darba u terġa’ tużaha b’mod intelliġenti.
Zenith Controls ta’ Clarysec jgħin lit-timijiet jippreparaw għal dawn il-perspettivi ta’ awditjar billi jgħaqqad il-kontrolli ISO/IEC 27001:2022 mal-evidenza tal-awditjar u l-aspettattivi bejn oqfsa differenti.
| Perspettiva tal-awditur | Mistoqsija probabbli tal-awditjar | Evidenza li normalment tissodisfa l-mistoqsija |
|---|---|---|
| Awditur ISO/IEC 27001:2022 | Il-ħruġ minn fornitur u minn cloud huwa kkontrollat fi ħdan l-ISMS, il-valutazzjoni tar-riskju, is-SoA u l-programm ta’ awditjar intern? | Kamp ta’ applikazzjoni tal-ISMS, valutazzjoni tar-riskju, SoA, proċedura tal-fornituri, proċedura ta’ ħruġ mill-cloud, riżultati tal-awditjar intern, azzjonijiet tar-Rieżami tal-Ġestjoni |
| Superviżur DORA jew awditjar intern DORA | Tista’ toħroġ minn fornitur kritiku tal-ICT mingħajr tfixkil mhux aċċettabbli, telf ta’ data jew ksur regolatorju? | Valutazzjoni tal-kritikalità, reġistru DORA tal-fornituri, strateġija ta’ ħruġ, klawżoli kuntrattwali, test tat-tranżizzjoni, valutazzjoni tal-konċentrazzjoni, reġistru tar-rimedju |
| Valutatur orjentat lejn NIST | Għamilt governanza u identifikazzjoni tad-dipendenzi esterni, ipproteġejt servizzi kritiċi u ttestjajt kapaċitajiet ta’ rispons u rkupru? | Inventarju tad-dipendenzi, kontrolli tal-aċċess, monitoraġġ, eskalazzjoni tal-inċidenti, test ta’ rkupru, tagħlimiet miksuba |
| Awditur COBIT 2019 jew ISACA | Il-ħruġ mill-fornitur huwa soġġett għal governanza, għandu sid, jitkejjel u huwa assigurat permezz ta’ objettivi tal-maniġment bħal APO10 Managed Vendors u DSS04 Managed Continuity? | RACI, approvazzjoni mill-maniġment, KPIs, rieżami tal-prestazzjoni tal-fornituri, evidenza ta’ assigurazzjoni, traċċar tal-kwistjonijiet |
| Awditur tal-privatezza | Id-data personali tista’ tiġi rritornata, migrata, ristretta, imħassra jew miżmuma b’mod sigur skont l-obbligi tal-GDPR? | Reġistru tal-ipproċessar tad-data, klawżoli tal-proċessur, evidenza tal-esportazzjoni, ċertifikat tat-tħassir, ġustifikazzjoni taż-żamma, fluss tax-xogħol għall-ksur |
Falliment komuni fl-awditjar huwa l-frammentazzjoni tal-evidenza. Is-sid tal-fornitur għandu l-kuntratt. L-IT għandu l-logs tal-backup. Il-funzjoni legali għandha l-Ftehim dwar l-Ipproċessar tad-Data. Ir-Riskju għandu l-valutazzjoni. Il-Konformità għandha l-immappjar regolatorju. Ħadd ma għandu l-istorja sħiħa.
Clarysec isolvi dan billi jiddisinja l-pakkett ta’ evidenza madwar ix-xenarju ta’ ħruġ. Kull dokument iwieġeb mistoqsija waħda tal-awditjar: liema servizz qed jintemm, għaliex huwa kritiku, liema data u sistemi huma affettwati, min hu sid ir-riskju, liema drittijiet kuntrattwali jagħmlu l-ħruġ possibbli, liema mekkaniżmi tekniċi jagħmlu l-migrazzjoni possibbli, liema arranġamenti ta’ kontinwità jżommu n-negozju għaddej, liema test jipprova li l-pjan jaħdem, liema kwistjonijiet ġew irrimedjati u min approva r-riskju residwu.
Il-lista ta’ kontroll ta’ Clarysec għall-istrateġija ta’ ħruġ taħt DORA
Uża din il-lista ta’ kontroll biex tbiddel strateġija ta’ ħruġ għall-ICT minn fornitur terz taħt DORA minn dokument għal sett ta’ kontrolli li jista’ jiġi awditjat.
| Qasam tal-kontroll | Aspettattiva minima | Evidenza li għandha tinżamm |
|---|---|---|
| Klassifikazzjoni tal-fornituri | Identifika jekk il-fornitur jappoġġax funzjonijiet kritiċi jew importanti | Reġistru tal-fornituri, deċiżjoni tal-kritikalità, mappa tad-dipendenzi |
| Infurzabbiltà kuntrattwali | Inkludi assistenza fit-tranżizzjoni, esportazzjoni tad-data, tħassir, awditjar, kooperazzjoni għall-inċidenti u obbligi ta’ kontinwità | Klawżoli kuntrattwali, addenda, rieżami legali |
| Portabbiltà tal-cloud | Ikkonferma l-kapaċità ta’ esportazzjoni qabel l-onboarding u perjodikament matul l-operazzjoni | Riżultati tat-test tal-esportazzjoni, dokumentazzjoni tal-format tad-data, noti tal-migrazzjoni |
| Protezzjoni tad-data | Indirizza r-ritorn, it-tħassir, iż-żamma, it-trasferiment u l-obbligi tal-proċessur għad-data personali | Mappa tad-data, DPA, ċertifikazzjoni tat-tħassir, deċiżjoni dwar iż-żamma |
| Backup u restawr | Ittestja l-irkuprabbiltà kontra RTO u RPO | Logs tar-restawr, rapport tat-test, reġistru tar-rimedju |
| Ippjanar tas-sostituzzjoni | Iddefinixxi fornitur alternattiv, workaround manwali jew proċess intern | Pjan ta’ sostituzzjoni, minuti tal-eżerċizzju ta’ simulazzjoni, lista tas-sidien |
| Governanza | Assenja sid tar-riskju u approvazzjoni mill-maniġment | Reġistru tar-riskju, aċċettazzjoni tar-riskju residwu, minuti tar-Rieżami tal-Ġestjoni |
| Kapaċità li tintwera l-konformità | Orbot politiki, kontrolli, kuntratti, testijiet u azzjonijiet korrettivi | Indiċi tal-pakkett ta’ evidenza, rapport tal-awditjar intern, task tracker tal-kwistjonijiet |
Ibdel l-ippjanar tal-ħruġ f’kontroll tar-reżiljenza lest għall-bord
Jekk l-istrateġija ta’ ħruġ tiegħek taħt DORA hija biss klawżola kuntrattwali, mhijiex lesta. Jekk il-backup tiegħek qatt ma ġie rrestawrat, mhuwiex lest. Jekk il-fornitur tal-cloud tiegħek jista’ jesporta d-data iżda ħadd ma vverifika l-kompletezza tagħha, mhuwiex lest. Jekk il-bord tiegħek ma jistax jara d-deċiżjoni dwar ir-riskju residwu, mhijiex lesta.
Clarysec jgħin lis-CISOs, lill-maniġers tal-konformità, lill-awdituri u lis-sidien tan-negozju jibnu strateġiji ta’ ħruġ għall-ICT minn fornituri terzi taħt DORA li huma prattiċi, proporzjonati u lesti għall-awditjar. Aħna ngħaqqdu Zenith Blueprint Zenith Blueprint għas-sekwenzjar tal-implimentazzjoni, Zenith Controls Zenith Controls għall-immappjar tal-konformità trasversali, u mudelli ta’ politiki bħall-Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri, Politika dwar l-Użu tal-Cloud - SME Politika dwar l-Użu tal-Cloud - SME, Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, u Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru biex noħolqu katina sħiħa minn kontroll għal evidenza.
Il-pass li jmiss tiegħek huwa sempliċi u ta’ valur għoli: agħżel fornitur kritiku wieħed tal-ICT din il-ġimgħa. Ikklassifikah, irrevedi l-kuntratt tiegħu, ittestja esportazzjoni waħda tad-data, ivverifika restawr wieħed, iddokumenta pjan wieħed ta’ sostituzzjoni u oħloq pakkett wieħed ta’ evidenza.
Dak l-eżerċizzju wieħed juri jekk l-istrateġija ta’ ħruġ tiegħek taħt DORA hijiex kapaċità reali ta’ reżiljenza jew sempliċement dokument li qed jistenna li jfalli waqt awditjar.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
