Gwida għall-evidenza tal-awditjar tal-kontroll tal-aċċess għal ISO 27001
Huma d-09:10 fil-jum tal-awditu. Maria, is-CISO ta’ pjattaforma FinTech u cloud li qed tikber b’rata mgħaġġla, għandha l-politika dwar il-kontroll tal-aċċess miftuħa. Il-kap tal-IT qed jesporta s-settings tal-aċċess kundizzjonali mill-fornitur tal-identità. HR qed tfittex it-ticket tat-terminazzjoni ta’ analista tal-finanzi li telaq sitt ġimgħat ilu. L-awditur intern jerfa’ rasu u jistaqsi l-mistoqsija li kulħadd kien jaf li kienet se ssir:
“Uruni kif l-aċċess jintalab, jiġi approvat, jiġi applikat, jiġi rieżaminat u jitneħħa għal utent b’aċċess privileġġjat għal data personali.”
Dik is-sentenza waħda tista’ turi jekk programm ta’ kontroll tal-aċċess huwiex lest għall-awditjar jew sempliċement lest fuq il-karta.
It-tim ta’ Maria kellu Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni matura, ċiklu annwali ta’ riċertifikazzjoni ISO/IEC 27001:2022, awtentikazzjoni b’diversi fatturi fis-seħħ, kontrolli tal-aċċess ibbażati fuq ir-rwoli fis-sistemi ewlenin u spreadsheets tar-rieżamijiet tal-aċċess kull tliet xhur. Iżda dan l-awditu kien differenti. Il-lista tat-talbiet tal-awditur kienet tinkludi tħejjija għal rekwiżiti regolatorji emerġenti. Għall-organizzazzjoni ta’ Maria, dan kien ifisser NIS2, DORA u GDPR, kollha eżaminati mill-istess perspettiva operattiva: identità, aċċess, awtentikazzjoni, privileġġ u evidenza.
Il-problema li qed jiffaċċjaw ħafna CISOs mhijiex li l-kontroll tal-aċċess ma jeżistix. Il-problema hija li l-evidenza teżisti f’biċċiet separati. L-approvazzjonijiet tal-onboarding jinsabu f’Jira jew ServiceNow. Is-settings tal-MFA jinsabu f’Microsoft Entra ID, Okta jew fornitur tal-identità ieħor. Il-permessi ta’ AWS, Azure u Google Cloud jinsabu f’konsols separati. Azzjonijiet privileġġjati jistgħu jkunu rreġistrati fil-logs ta’ għodda PAM, jew ma jkunux irreġistrati xejn. L-istatus tal-HR jinsab f’BambooHR, Workday jew spreadsheets. Ir-rieżamijiet tal-aċċess setgħu ġew approvati bl-email.
Meta awditur jgħaqqad IAM, MFA, PAM, avvenimenti ta’ dħul, trasferiment u tluq, data personali, amministrazzjoni tal-cloud u aspettattivi regolatorji, evidenza frammentata tinqasam malajr.
L-awditi tal-kontroll tal-aċċess ISO/IEC 27001:2022 mhumiex biss rieżamijiet ta’ konfigurazzjoni teknika. Huma testijiet tas-sistema ta’ ġestjoni. Jeżaminaw jekk ir-riskji tal-identità u tal-aċċess humiex mifhuma, trattati, implimentati, immonitorjati u mtejba. Meta NIS2, DORA u GDPR ikunu rilevanti wkoll, l-istess evidenza trid turi governanza tal-aċċess ibbażata fuq ir-riskju, awtentikazzjoni b’saħħitha, approvazzjonijiet traċċabbli, revoka f’waqtha, restrizzjoni tal-privileġġi, protezzjoni tad-data personali u responsabbiltà tal-maniġment.
It-tweġiba prattika mhijiex binder ikbar. Hija mudell wieħed ta’ evidenza tal-kontroll tal-aċċess li jibda mill-kamp ta’ applikazzjoni tal-ISMS u r-riskju, jgħaddi mid-disinn tal-politiki u tal-kontrolli, jinżel fl-għodod IAM u PAM, u jiġi mmappjat b’mod ċar għal ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST u COBIT.
Għaliex il-kontroll tal-aċċess huwa l-punt ċentrali regolatorju
Il-kontroll tal-aċċess sar suġġett fil-livell tal-bord u quddiem ir-regolaturi għaliex kompromess tal-identità issa huwa mogħdija komuni lejn tfixkil operattiv, ksur tad-data, frodi u espożizzjoni fil-katina tal-provvista.
Taħt NIS2, Articles 2 u 3, moqrija flimkien ma’ Annex I u Annex II, idaħħlu fil-kamp ta’ applikazzjoni ħafna entitajiet ta’ daqs medju u akbar f’setturi elenkati bħala entitajiet essenzjali jew importanti. Dan jinkludi infrastruttura diġitali u fornituri ta’ ġestjoni tas-servizzi tal-ICT bħall-fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi taċ-ċentri tad-data, fornituri ta’ servizzi ġestiti u fornituri ta’ servizzi ta’ sigurtà ġestiti. L-Istati Membri kienu meħtieġa jittrasponu NIS2 sa Ottubru 2024 u japplikaw miżuri nazzjonali minn Ottubru 2024, bil-listi tal-entitajiet dovuti f’April 2025. Article 20 jagħmel lill-korpi maniġerjali responsabbli għall-approvazzjoni ta’ miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà u għas-sorveljanza tal-implimentazzjoni. Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi, inklużi politiki dwar il-kontroll tal-aċċess, ġestjoni tal-assi, iġjene ċibernetika, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista u MFA jew awtentikazzjoni kontinwa fejn ikun xieraq.
DORA iżid saff ta’ reżiljenza operattiva speċifiku għas-settur għall-entitajiet finanzjarji u għall-fornituri rilevanti ta’ servizzi ICT ta’ partijiet terzi. Articles 1, 2 u 64 jistabbilixxu lil DORA bħala qafas uniformi applikabbli mis-17 ta’ Jannar 2025. Articles 5 u 6 jeħtieġu governanza u qafas dokumentat għall-ġestjoni tar-riskju tal-ICT. Article 9 jittratta l-protezzjoni u l-prevenzjoni, inklużi politiki, proċeduri, protokolli u għodod tas-sigurtà tal-ICT. Articles 24 sa 30 iżidu l-ittestjar tar-reżiljenza operattiva diġitali u l-ġestjoni tar-riskju ta’ partijiet terzi fl-ICT. Għall-entitajiet finanzjarji, l-evidenza tal-kontroll tal-aċċess issir evidenza tar-reżiljenza, mhux biss evidenza tal-amministrazzjoni tal-IT.
GDPR idaħħal il-perspettiva tad-data personali. Articles 2 u 3 jiddefinixxu applikabbiltà wiesgħa għall-ipproċessar fl-UE u għall-offerta fis-suq tal-UE. Article 5 jeħtieġ integrità, kunfidenzjalità u responsabbiltà dimostrabbli. Article 25 jeħtieġ protezzjoni tad-data mid-disinn u b’mod predefinit. Article 32 jeħtieġ miżuri tekniċi u organizzattivi xierqa. Fil-prattika, dan ifisser aċċess ikkontrollat, awtentikazzjoni sigura, logging, rieżami u tneħħija f’waqtha għal sistemi li jipproċessaw data personali.
ISO/IEC 27001:2022 jagħti lill-organizzazzjonijiet il-mekkaniżmu tas-sistema ta’ ġestjoni biex jgħaqqdu dawn l-obbligi. Clauses 4.1 sa 4.3 jeħtieġu li l-organizzazzjoni tifhem il-kuntest, il-partijiet interessati, ir-rekwiżiti legali u kuntrattwali, l-interfaċċi, id-dipendenzi u l-kamp ta’ applikazzjoni tal-ISMS. Clauses 6.1.1 sa 6.1.3 jeħtieġu valutazzjoni tar-riskju tas-sigurtà tal-informazzjoni, trattament, tqabbil ma’ Annex A, Dikjarazzjoni ta’ Applikabbiltà u approvazzjoni tal-pjanijiet ta’ trattament u tar-riskju residwu. Clause 8.1 teħtieġ kontroll operattiv, informazzjoni dokumentata li turi li l-proċessi seħħew kif ippjanat, kontroll tat-tibdil u kontroll fuq proċessi pprovduti esternament.
Il-mistoqsija tal-awditu għalhekk mhijiex “Għandkom MFA?” Hija “Tistgħu tipprovaw, għall-identitajiet u s-sistemi fil-kamp ta’ applikazzjoni, li r-riskju tal-aċċess huwa governat, trattat, implimentat, immonitorjat u mtejjeb?”
Ibni s-sinsla tal-evidenza mill-kamp ta’ applikazzjoni tal-ISMS sal-prova tal-IAM
Clarysec tibda t-tħejjija għall-awditjar tal-kontroll tal-aċċess billi tagħmel l-evidenza traċċabbli mill-kuntest tan-negozju. ISO/IEC 27001:2022 jistenna li l-ISMS ikun integrat fil-proċessi tal-organizzazzjoni u skalat skont il-ħtiġijiet tagħha. Fornitur SaaS ta’ 30 persuna u bank multinazzjonali mhux se jkollhom l-istess arkitettura tal-aċċess, iżda t-tnejn jeħtieġu katina koerenti ta’ evidenza.
| Saff tal-evidenza | X’jipprova | Sistemi sors tipiċi | Valur għall-konformità trasversali |
|---|---|---|---|
| Kamp ta’ applikazzjoni tal-ISMS u rekwiżiti tal-partijiet interessati | Liema sistemi, data, regolamenti u dipendenzi fuq partijiet terzi huma fil-kamp ta’ applikazzjoni | Kamp ta’ applikazzjoni tal-ISMS, reġistru tal-konformità, inventarju tad-data, reġistru tal-fornituri | Jappoġġa ISO/IEC 27001:2022 Clauses 4.2 u 4.3, definizzjoni tal-kamp ta’ applikazzjoni ta’ NIS2, immappjar tad-dipendenzi tal-ICT għal DORA, responsabbiltà taħt GDPR |
| Valutazzjoni tar-riskju tal-aċċess | Għaliex IAM, MFA, PAM u rieżamijiet huma meħtieġa abbażi tar-riskju | Reġistru tar-riskji, xenarji ta’ theddid, pjan ta’ trattament | Jappoġġa ISO/IEC 27001:2022 Clause 6.1, ISO/IEC 27005:2022, qafas tar-riskju tal-ICT ta’ DORA, miżuri tar-riskju ta’ NIS2 |
| Politiki u standards | X’teħtieġ l-organizzazzjoni | Politika dwar il-kontroll tal-aċċess, politika dwar il-privileġġi, politika dwar id-dħul fis-servizz u t-terminazzjoni | Ibiddel l-aspettattivi regolatorji f’regoli interni infurzabbli |
| Konfigurazzjoni IAM u PAM | Jekk il-kontrolli humiex implimentati teknikament | IdP, HRIS, ITSM, PAM, IAM tal-cloud, konsols tal-amministrazzjoni SaaS | Jipprova l-inqas privileġġ, MFA, RBAC, flussi tax-xogħol ta’ approvazzjoni u kontrolli tas-sessjonijiet privileġġjati |
| Reġistri tar-rieżami u tal-monitoraġġ | Jekk l-aċċess jibqax xieraq maż-żmien | Kampanji ta’ rieżami tal-aċċess, SIEM, logs tal-PAM, attestazzjonijiet tal-maniġers | Jipprova operazzjoni kontinwa tal-kontroll, monitoraġġ ta’ DORA, iġjene ċibernetika ta’ NIS2, minimizzazzjoni taħt GDPR |
| Reġistri tal-offboarding u tal-eċċezzjonijiet | Jekk l-aċċess jitneħħiex u l-eċċezzjonijiet humiex ikkontrollati | Lista tat-terminazzjonijiet tal-HR, logs tad-diżattivazzjoni, reġistru tal-eċċezzjonijiet | Jipprova revoka f’waqtha, aċċettazzjoni tar-riskju residwu u prevenzjoni ta’ ksur |
ISO/IEC 27005:2022 huwa utli għaliex jirrakkomanda li rekwiżiti legali, regolatorji, kuntrattwali, speċifiċi għas-settur u interni jiġu kkonsolidati f’kuntest komuni tar-riskju. Clauses 6.4 u 6.5 jenfasizzaw kriterji tar-riskju li jqisu l-objettivi organizzattivi, il-liġijiet, ir-relazzjonijiet mal-fornituri u r-restrizzjonijiet. Clauses 7.1 u 7.2 jippermettu xenarji bbażati fuq avvenimenti u fuq assi. Għall-kontroll tal-aċċess, dan ifisser li jiġu evalwati xenarji strateġiċi bħal “amministratur SaaS privileġġjat jesporta data tal-klijenti tal-UE” flimkien ma’ xenarji ta’ assi bħal “ċavetta AWS IAM orfni marbuta ma’ ħażna ta’ produzzjoni.”
Fil-Zenith Blueprint: Pjan direzzjonali ta’ awditur f’30 pass ta’ Clarysec, din is-sinsla tal-evidenza tinbena matul il-fażi Controls in Action. Step 19 jiffoka fuq kontrolli teknoloġiċi għall-ġestjoni tal-endpoints u tal-aċċess, filwaqt li Step 22 jifformalizza ċ-ċiklu tal-ħajja organizzattiv tal-aċċess.
Il-Zenith Blueprint jgħid lit-timijiet jivverifikaw li l-provisioning u d-deprovisioning huma strutturati, integrati mal-HR fejn possibbli, appoġġjati minn flussi tax-xogħol għat-talbiet għall-aċċess u rieżaminati kull tliet xhur. Jagħti wkoll struzzjoni lill-organizzazzjonijiet biex jiddokumentaw it-tipi ta’ identità, japplikaw kontrolli għal identitajiet individwali, kondiviżi u ta’ servizz, japplikaw politiki b’saħħithom tal-passwords u MFA, ineħħu kontijiet inattivi, u jżommu vaulting sigur jew dokumentazzjoni sigura għall-kredenzjali tas-servizz.
Dan huwa eżattament kif l-awdituri jittestjaw il-kontroll tal-aċċess: identità waħda, sistema waħda, approvazzjoni waħda, privileġġ wieħed, rieżami wieħed u revoka waħda kull darba.
X’għandu jinġabar għal evidenza tal-kontroll tal-aċċess lesta għall-awditjar
Il-pakkett tal-evidenza tal-kontroll tal-aċċess tiegħek għandu jippermetti lil awditur jieħu kampjun ta’ kwalunkwe utent u jsegwi ċ-ċiklu tal-ħajja: talba, approvazzjoni, assenjazzjoni, awtentikazzjoni, elevazzjoni privileġġjata, monitoraġġ, rieżami u revoka.
Pakkett b’saħħtu ta’ evidenza jinkludi:
- Politika dwar il-kontroll tal-aċċess u politika dwar il-kontijiet tal-utenti
- Proċedura ta’ dħul, trasferiment u tluq
- Matriċi tar-rwoli jew matriċi tal-kontroll tal-aċċess
- Lista ta’ applikazzjonijiet, pjattaformi u repożitorji tad-data fil-kamp ta’ applikazzjoni
- Konfigurazzjoni tal-MFA tal-fornitur tal-identità
- Politiki ta’ aċċess kundizzjonali u lista tal-eċċezzjonijiet
- Inventarju tal-kontijiet privileġġjati
- Evidenza tal-flussi tax-xogħol tal-PAM, inklużi approvazzjonijiet u logs tas-sessjonijiet
- Output reċenti ta’ kampanja ta’ rieżami tal-aċċess
- Kampjuni ta’ attestazzjonijiet tal-maniġers u azzjonijiet ta’ rimedju
- Rapport tat-terminazzjoni tal-HR imqabbel mal-logs tad-diżattivazzjoni
- Inventarju tal-kontijiet tas-servizz, sidien, reġistri tar-rotazzjoni u evidenza tal-vault
- Proċedura għal kontijiet break-glass u log tat-test
- Evidenza ta’ inċident jew twissija relatata ma’ tentattivi ta’ login falluti, żieda fil-privileġġi jew kontijiet inattivi
- Entrati fid-Dikjarazzjoni ta’ Applikabbiltà għall-kontrolli ta’ Annex A relatati mal-aċċess
Il-politiki ta’ Clarysec jagħmlu din l-aspettattiva espliċita. Fil-Access Control Policy-sme għall-SMEs, ir-rekwiżit huwa sempliċi u ffukat fuq l-awditjar:
“Għandu jinżamm reġistru sigur għall-provisioning, il-modifiki u t-tneħħijiet kollha tal-aċċess.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika,” clause 6.1.1.
L-istess politika għall-SMEs torbot ukoll RBAC u MFA direttament mar-responsabbiltajiet tar-rwoli:
“Timplimenta kontrolli tal-aċċess ibbażati fuq ir-rwoli (RBAC) u tapplika awtentikazzjoni b’saħħitha (eż. awtentikazzjoni b’diversi fatturi (MFA)).”
Mis-sezzjoni “Rwoli u responsabbiltajiet,” clause 4.2.3.
Għal organizzazzjonijiet ikbar, l-Onboarding and Termination Policy għall-intrapriżi teħtieġ li s-sistema IAM tirreġistra fil-logs il-ħolqien ta’ kontijiet, l-assenjazzjonijiet ta’ rwoli u permessi, u l-avvenimenti tad-diżattivazzjoni, tappoġġa mudelli ta’ aċċess ibbażati fuq ir-rwoli, u tintegra mas-sistemi HR għal attivaturi ta’ dħul, trasferiment u tluq. Dik il-klawżola tgħin biex tirrakkonta l-istorja tal-awditu f’post wieħed: onboarding standardizzat, ċiklu tal-ħajja tal-identità attivat mill-HR u avvenimenti IAM traċċabbli.
Immappja IAM, MFA, PAM u rieżamijiet mal-kontrolli ISO/IEC 27001:2022
Zenith Controls: The Cross-Compliance Guide ta’ Clarysec jittratta l-kontroll tal-aċċess bħala familja ta’ kontrolli konnessi, mhux bħala punt wieħed f’lista ta’ kontroll. Għal ISO/IEC 27001:2022, l-aktar kontrolli rilevanti jinkludu:
- Kontroll 5.15, kontroll tal-aċċess
- Kontroll 5.16, ġestjoni tal-identità
- Kontroll 5.17, informazzjoni tal-awtentikazzjoni
- Kontroll 5.18, drittijiet tal-aċċess
- Kontroll 8.2, drittijiet ta’ aċċess privileġġjat
- Kontroll 8.3, restrizzjoni tal-aċċess għall-informazzjoni
- Kontroll 8.5, login sigur
- Kontroll 8.15, logging
- Kontroll 8.16, attivitajiet ta’ monitoraġġ
Għall-informazzjoni tal-awtentikazzjoni, Zenith Controls jimmappja control 5.17 bħala kontroll preventiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà, bil-kapaċità operattiva tal-ġestjoni tal-identità u tal-aċċess. Jorbot direttament ma’ ġestjoni tal-identità, login sigur, rwoli u responsabbiltajiet, użu aċċettabbli u konformità mal-politiki. Is-sigurtà tal-kredenzjali tinkludi ċ-ċiklu tal-ħajja tal-awtentikaturi, ħruġ sigur, ħażna, reset, revoka, tokens tal-MFA, ċwievet privati u kredenzjali tas-servizz.
Għad-drittijiet tal-aċċess, Zenith Controls jimmappja control 5.18 għall-għoti, ir-rieżami, il-modifika u r-revoka formali. Jorbot mal-kontroll tal-aċċess, il-ġestjoni tal-identità, is-segregazzjoni tad-dmirijiet, id-drittijiet ta’ aċċess privileġġjat u l-monitoraġġ tal-konformità. Dan huwa l-kontroll li jibdel il-prinċipju tal-inqas privileġġ f’evidenza.
Għad-drittijiet ta’ aċċess privileġġjat, Zenith Controls jimmappja control 8.2 għar-riskju speċjali ta’ kontijiet elevati, inklużi amministraturi tad-domain, utenti root, amministraturi tat-tenant cloud, superutenti tad-databases u kontrolluri ta’ CI/CD. Il-gwida tgħaqqad aċċess privileġġjat ma’ ġestjoni tal-identità, drittijiet tal-aċċess, restrizzjoni tal-aċċess għall-informazzjoni, awtentikazzjoni sigura, xogħol remot, logging u monitoraġġ.
| Suġġett tal-awditu | Evidenza tal-aċċess ISO/IEC 27001:2022 | Immappjar NIS2 | Immappjar DORA | Immappjar GDPR |
|---|---|---|---|---|
| Ċiklu tal-ħajja tal-IAM | Fluss tax-xogħol ta’ dħul, trasferiment u tluq, talbiet għall-aċċess, approvazzjonijiet, mudelli tar-rwoli, logs tad-diżattivazzjoni | Miżuri ta’ ġestjoni tar-riskju Article 21, politiki dwar il-kontroll tal-aċċess u ġestjoni tal-assi | Governanza Articles 5, 6 u 9, qafas tar-riskju tal-ICT, sigurtà loġika u kontroll tal-aċċess | Responsabbiltà, minimizzazzjoni u sigurtà Articles 5, 25 u 32 |
| MFA | Politika tal-IdP, screenshots tal-aċċess kundizzjonali, statistika tar-reġistrazzjoni tal-MFA, approvazzjonijiet tal-eċċezzjonijiet | Article 21(2)(j) MFA jew awtentikazzjoni kontinwa fejn xieraq | Aċċess sigur għal sistemi ICT kritiċi u kontrolli tar-riskju tal-ICT | Miżuri tekniċi xierqa kontra aċċess mhux awtorizzat |
| PAM | Inventarju tal-kontijiet privileġġjati, approvazzjonijiet, elevazzjoni JIT, logs tas-sessjonijiet, rotazzjoni tal-vault | Article 21(2)(i) kontroll tal-aċċess ibbażat fuq ir-riskju u ġestjoni tal-assi | Protezzjoni tas-sistemi ICT, reżiljenza operattiva u monitoraġġ | Restrizzjoni u awditjar ta’ aċċess elevat għal data personali |
| Rieżamijiet tal-aċċess | Reġistri ta’ rieżami kull tliet xhur jew kull sitt xhur, attestazzjonijiet tal-maniġers, tickets ta’ rimedju | Iġjene ċibernetika, politiki dwar il-kontroll tal-aċċess u ġestjoni tal-assi | Monitoraġġ kontinwu, aċċess ibbażat fuq rwoli u revoka | Protezzjoni tad-data b’mod predefinit u responsabbiltà dimostrabbli |
| Offboarding | Lista tat-terminazzjonijiet tal-HR, evidenza ta’ lockout jew tħassir tal-kont, revoka tat-token | Tneħħija f’waqtha ta’ aċċess mhux meħtieġ | Kontroll fuq l-aċċess ICT matul iċ-ċiklu tal-ħajja kollu | Prevenzjoni ta’ aċċess mhux awtorizzat għal data personali |
Rapport wieħed tar-rieżami tal-aċċess imfassal tajjeb jista’ jappoġġa ISO/IEC 27001:2022, NIS2, DORA u GDPR jekk jinkludi l-kamp ta’ applikazzjoni, sid is-sistema, rieżaminatur, lista tal-kontijiet, ġustifikazzjoni tar-rwol, indikatur ta’ privileġġ, deċiżjonijiet, tneħħijiet, eċċezzjonijiet u data tat-tlestija.
L-evidenza tal-MFA hija aktar minn screenshot
Żball komuni fl-awditi huwa li tiġi ppreżentata screenshot li tgħid “MFA enabled.” L-awdituri jeħtieġu aktar minn hekk. Jeħtieġu jkunu jafu fejn tapplika l-MFA, min huwa eskluż, kif jiġu approvati l-eċċezzjonijiet, jekk il-kontijiet privileġġjati humiex koperti, u jekk il-konfigurazzjoni teknika taqbilx mal-politika.
Mill-Zenith Blueprint, il-fażi Controls in Action, Step 19, l-awdituri jistaqsu kif jiġu applikati l-politiki tal-passwords u tal-MFA, liema sistemi huma protetti, għal min tapplika l-MFA, u jekk applikazzjonijiet kritiċi jistgħux jiġu ttestjati b’kont kampjun. L-evidenza tista’ tinkludi konfigurazzjoni tal-IdP, politiki ta’ aċċess kundizzjonali, statistika tar-reġistrazzjoni tal-MFA u proċeduri ta’ reset tal-password.
Għal ambjenti ta’ intrapriża, il-User Account and Privilege Management Policy ta’ Clarysec tgħid:
“Fejn teknikament fattibbli, l-awtentikazzjoni b’diversi fatturi (MFA) hija obbligatorja għal: 6.3.2.1 Kontijiet amministrattivi u fil-livell root 6.3.2.2 Aċċess remot (VPN, pjattaformi cloud) 6.3.2.3 Aċċess għal data sensittiva jew regolata”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika,” clause 6.3.2.
Dan joħloq pont dirett għall-awditjar. Jekk il-MFA hija obbligatorja għal kontijiet amministrattivi, aċċess remot u data regolata, il-pakkett tal-evidenza għandu jinkludi listi ta’ kontijiet amministrattivi u fil-livell root, konfigurazzjoni ta’ aċċess remot, politiki ta’ aċċess kundizzjonali tal-pjattaformi cloud, listi ta’ applikazzjonijiet b’data sensittiva, rapporti tar-reġistrazzjoni tal-MFA, approvazzjonijiet tal-eċċezzjonijiet, kontrolli kumpensatorji u evidenza reċenti ta’ rieżami tat-twissijiet għal tentattivi ta’ login falluti jew tentattivi ta’ bypass tal-MFA.
Għal NIST SP 800-53 Rev. 5, dan jallinja ma’ IA-2 Identifikazzjoni u Awtentikazzjoni, IA-5 Ġestjoni tal-Awtentikaturi, AC-17 Aċċess Remot u AU-2 Event Logging. Għal COBIT 2019, jappoġġa DSS05.04 Manage user identity and logical access u prattiki relatati ta’ monitoraġġ tas-sigurtà.
Standards ISO ta’ appoġġ iwessgħu l-istampa. ISO/IEC 27018:2020 jestendi l-aspettattivi tal-awtentikazzjoni għall-cloud pubbliku li jimmaniġġja data personali. ISO/IEC 24760-1:2019 jappoġġa r-rabta tal-awtentikatur u l-ġestjoni taċ-ċiklu tal-ħajja. ISO/IEC 29115:2013 jintroduċi livelli ta’ assigurazzjoni tal-awtentikazzjoni, utli meta jiġi deċiż fejn huma meħtieġa hardware tokens jew MFA reżistenti għall-phishing. ISO/IEC 27033-1:2015 jappoġġa awtentikazzjoni b’saħħitha tan-network għal aċċess remot jew bejn networks.
L-evidenza tal-PAM hija l-iqsar triq lejn sejba maġġuri jew awditu nadif
L-aċċess privileġġjat huwa fejn l-awdituri jsiru aktar xettiċi, għaliex il-kontijiet privileġġjati jistgħu jaqbżu kontrolli, jesportaw data, joħolqu mekkaniżmi ta’ persistenza u jbiddlu logs. Fil-Zenith Blueprint, Step 19 jgħid:
“F’kull sistema tal-informazzjoni, l-aċċess privileġġjat huwa setgħa, u ma’ dik is-setgħa jiġi r-riskju.”
Il-gwida tiffoka fuq min għandu aċċess privileġġjat, x’jippermetti, kif jiġi ġestit u kif jiġi mmonitorjat maż-żmien. Tirrakkomanda inventarju aġġornat, prinċipju tal-inqas privileġġ, RBAC, elevazzjoni bbażata fuq il-ħin jew just-in-time, flussi tax-xogħol ta’ approvazzjoni, kontijiet ta’ utenti nominati uniċi, evitar ta’ kontijiet kondiviżi, logging break-glass, sistemi PAM, rotazzjoni tal-passwords, vaulting, reġistrazzjoni tas-sessjonijiet, elevazzjoni temporanja, monitoraġġ u rieżami regolari.
Il-Access Control Policy għall-intrapriżi ta’ Clarysec tibdel dan f’rekwiżit ta’ kontroll:
“L-aċċess amministrattiv għandu jkun ikkontrollat b’mod strett permezz ta’: 5.4.1.1 Kontijiet privileġġjati separati 5.4.1.2 Monitoraġġ u reġistrazzjoni tas-sessjonijiet 5.4.1.3 Awtentikazzjoni b’diversi fatturi 5.4.1.4 Elevazzjoni marbuta biż-żmien jew attivata minn fluss tax-xogħol”
Mis-sezzjoni “Rekwiżiti ta’ governanza,” clause 5.4.1.
Din il-kwotazzjoni hija kważi skript ta’ test tal-awditu. Jekk il-politika tgħid kontijiet amministrattivi separati, uri l-lista tal-kontijiet privileġġjati u pprova li kull wieħed huwa marbut ma’ persuna nominata. Jekk tgħid monitoraġġ tas-sessjonijiet, uri sessjonijiet irrekordjati jew logs tal-PAM. Jekk tgħid MFA, uri l-applikazzjoni tagħha għal kull mogħdija ta’ aċċess privileġġjat. Jekk tgħid elevazzjoni marbuta biż-żmien, uri timestamps tal-iskadenza u tickets tal-approvazzjoni.
Il-verżjoni għall-SMEs hija daqstant diretta. Il-User Account and Privilege Management Policy-sme tgħid:
“Privileġġi elevati jew amministrattivi jeħtieġu approvazzjoni addizzjonali mill-Maniġer Ġenerali jew mill-Kap tal-IT u għandhom jiġu dokumentati, marbuta biż-żmien u suġġetti għal rieżami perjodiku.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika,” clause 6.2.2.
Għal organizzazzjonijiet iżgħar, din spiss tkun id-differenza bejn “aħna nafdaw lill-amministratur tagħna” u “aħna nikkontrollaw ir-riskju privileġġjat.” L-awditur ma jeħtieġx għodod ta’ intrapriża f’kull SME, iżda jeħtieġ evidenza proporzjonata mar-riskju. Ticket, approvazzjoni, assenjazzjoni temporanja għal grupp, applikazzjoni tal-MFA u reġistru tar-rieżami jistgħu jkunu biżżejjed meta l-kamp ta’ applikazzjoni jkun limitat u r-riskju aktar baxx.
Ir-rieżamijiet tal-aċċess jipprovaw li l-inqas privileġġ qed jopera
Ir-rieżamijiet tal-aċċess juru jekk il-permessi humiex qed jakkumulaw b’mod sieket. Juru wkoll jekk il-maniġers jifhmux l-aċċess li fil-fatt għandhom it-timijiet tagħhom.
Il-User Account and Privilege Management Policy għall-intrapriżi teħtieġ:
“Rieżamijiet kull tliet xhur tal-kontijiet kollha tal-utenti u tal-privileġġi assoċjati għandhom jitwettqu mis-Sigurtà tal-IT f’kollaborazzjoni mal-maniġers tad-dipartimenti.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika,” clause 6.5.1.
Għall-SMEs, il-User Account and Privilege Management Policy-sme tistabbilixxi ċiklu proporzjonat:
“Rieżami tal-kontijiet kollha tal-utenti u tal-privileġġi għandu jsir kull sitt xhur.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika,” clause 6.4.1.
Rieżami kredibbli tal-aċċess jinkludi isem is-sistema, kamp ta’ applikazzjoni, isem ir-rieżaminatur, data tal-esportazzjoni, data tar-rieżami, sid l-identità, dipartiment, maniġer, status tal-impjieg, rwol jew entitlement, indikatur ta’ privileġġ, indikatur tas-sensittività tad-data, deċiżjoni, ticket ta’ rimedju, data tal-għeluq, sid tal-eċċezzjoni u data tal-iskadenza tal-eċċezzjoni.
Għal Zenith Controls, id-drittijiet tal-aċċess 5.18 huma fejn dan isir evidenza ta’ konformità trasversali. Il-gwida timmappja d-drittijiet tal-aċċess ma’ GDPR Article 25 għaliex l-aċċess għandu jkun limitat mid-disinn u b’mod predefinit. Timmappjahom ma’ NIS2 Article 21(2)(i) għaliex politiki dwar il-kontroll tal-aċċess u ġestjoni tal-assi jeħtieġu assenjazzjoni bbażata fuq ir-riskju, tneħħija f’waqtha ta’ aċċess mhux meħtieġ u revoka formali. Timmappjahom ma’ DORA għaliex sistemi ICT finanzjarji jeħtieġu aċċess ibbażat fuq rwoli, monitoraġġ u proċessi ta’ revoka.
Awdituri orjentati lejn NIST spiss jittestjaw dan permezz ta’ AC-2 Account Management, AC-5 Separation of Duties u AC-6 Least Privilege. Awdituri COBIT 2019 iħarsu lejn DSS05.04 Manage user identity and logical access u DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Awdituri ISACA ITAF jiffokaw fuq jekk l-evidenza hijiex suffiċjenti, affidabbli u kompluta.
L-offboarding u r-revoka tat-tokens huma faċli biex jittieħdu bħala kampjun
Dawk li jitilqu huma wieħed mill-aktar postijiet faċli biex jintwera jekk iċ-ċiklu tal-ħajja jaħdimx. L-awdituri spiss jagħżlu impjegat li ttermina reċentement u jitolbu r-reġistru tat-terminazzjoni tal-HR, it-ticket, il-log tad-diżattivazzjoni tal-kont, evidenza tad-diżattivazzjoni f’SaaS, tneħħija tal-VPN, revoka tal-MFA, tneħħija ta’ token API u ritorn tal-assi.
Fil-Onboarding and Termination Policy-sme, Clarysec tgħid:
“Kontijiet terminati għandhom jiġu msakkra jew imħassra, u t-tokens tal-aċċess assoċjati għandhom jiġu revokati, inklużi aċċess remot (VPN), rabtiet ma’ app ta’ awtentikazzjoni b’diversi fatturi, u tokens API.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika,” clause 6.3.3.
Dan huwa importanti għaliex l-aċċess modern mhuwiex biss username u password. L-aċċess jista’ jippersisti permezz ta’ refresh tokens, ċwievet API, ċwievet SSH, grants OAuth, kontijiet tas-servizz, drittijiet amministrattivi lokali, sessjonijiet mobbli u portali ta’ partijiet terzi. Reġistru tal-HR diżattivat mingħajr revoka tat-token huwa evidenza mhux kompluta.
Il-Zenith Blueprint, il-fażi Controls in Action, Step 16, jgħid lill-organizzazzjonijiet ikunu lesti b’lista ta’ kontroll tat-terminazzjoni dokumentata, evidenza minn persuna li telqet reċentement, log tad-diżattivazzjoni tal-kont tal-utent minn AD jew MDM, formola ta’ ritorn tal-assi ffirmata u dokumentazzjoni tal-offboarding li tinkludi obbligi ta’ kunfidenzjalità.
L-awditur ta’ Maria talab żviluppatur senior li kien qed jitlaq u li kellu aċċess privileġġjat għal databases tal-produzzjoni. It-tim tagħha ppreżenta l-Onboarding and Termination Policy-sme, il-lista ta’ kontroll tat-terminazzjoni mibnija minn Zenith Blueprint Step 16, it-ticket ITSM attivat mill-HR, il-log tad-diżattivazzjoni tad-direttorju, ir-revoka taċ-ċertifikat VPN, it-tneħħija mill-organizzazzjoni GitHub, it-tħassir taċ-ċavetta AWS IAM u t-ticket magħluq tal-verifika ffirmat mill-maniġer tal-IT. L-evidenza kienet kompluta, f’waqtha u marbuta direttament mal-politika.
Mexxi sprint ta’ evidenza bi tliet kampjuni qabel ma jagħmlu dan l-awdituri
Eżerċizzju prattiku ta’ tħejjija huwa li tagħżel tliet kampjuni qabel l-awditu:
- Impjegat ġdid li ngħaqad fl-aħħar 90 jum
- Utent privileġġjat b’aċċess amministrattiv għal cloud, database, produzzjoni jew IAM
- Persuna li telqet jew li nbidel ir-rwol tagħha fl-aħħar 90 jum
| Kampjun | Evidenza li għandha tinġabar | Kundizzjoni ta’ suċċess | Sejba komuni |
|---|---|---|---|
| Impjegat ġdid | Reġistru tad-dħul tal-HR, talba għall-aċċess, approvazzjoni, assenjazzjoni tar-rwol, reġistrazzjoni tal-MFA, l-ewwel login | L-aċċess jingħata biss wara approvazzjoni u jkun allinjat mar-rwol | Aċċess mogħti qabel l-approvazzjoni jew rwol wiesa’ wisq |
| Utent privileġġjat | Ġustifikazzjoni tan-negozju, kont amministrattiv separat, prova tal-MFA, approvazzjoni tal-PAM, log tas-sessjoni, rieżami kull tliet xhur | Il-privileġġ huwa attribwit lil persuna nominata, ġustifikat, marbut biż-żmien fejn possibbli, immonitorjat u rieżaminat | Kont amministrattiv kondiviż, MFA nieqsa, ebda evidenza tas-sessjoni |
| Persuna li telqet jew ġiet trasferita | Avveniment tal-HR, ticket ta’ terminazzjoni jew tibdil tar-rwol, logs tad-diżattivazzjoni, tneħħija tal-VPN, revoka tal-MFA jew token API, għeluq tar-rieżami | L-aċċess jitneħħa fil-pront u kompletament | Kont SaaS għadu attiv, token API mhux revokat, sħubija antika fi grupp miżmuma |
Imbagħad qabbad kull kampjun mar-reġistri tal-ISMS: xenarju tar-riskju, deċiżjoni tat-trattament, għażla tal-kontroll fid-Dikjarazzjoni ta’ Applikabbiltà, klawżola tal-politika, konfigurazzjoni teknika, reġistru tar-rieżami u azzjoni korrettiva jekk teżisti xi lakuna.
Dan ibiddel it-tħejjija għall-awditu minn ġbir ta’ dokumenti għal verifika tal-kontrolli.
Ipprepara għal perspettivi differenti tal-awditjar
Sfondi differenti tal-awditjar iwasslu għal mistoqsijiet differenti, anki meta l-evidenza tkun l-istess.
| Perspettiva tal-awditur | Fokus primarju | Evidenza mistennija |
|---|---|---|
| Awditur ISO/IEC 27001:2022 | Proċess tal-ISMS, trattament tar-riskju u operazzjoni tal-kontroll | Valutazzjoni tar-riskju, SoA, politiki approvati, talbiet għall-aċċess, reġistri tar-rieżami, logs tad-diżattivazzjoni |
| Prattika tal-awditjar ISO/IEC 19011:2018 | Kampjunar, korroborazzjoni u konsistenza | Settings tal-passwords, limiti ta’ lockout, timestamps tal-approvazzjoni, reġistri tat-twettiq, intervisti |
| Awditur tal-ISMS ISO/IEC 27007:2020 | Twettiq u effettività tal-awditu tal-ISMS | Definizzjonijiet tar-rwoli mqabbla ma’ permessi attwali, traċċi tal-approvazzjoni privileġġjata, logs tar-revoka |
| Valutatur iffukat fuq NIST | Implimentazzjoni teknika u ttestjar tal-kontrolli | Evidenza AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 u AU-2 minn għodod IAM, PAM u SIEM |
| Awditur COBIT 2019 jew ISACA | Governanza, sjieda u affidabbiltà tal-evidenza | Evidenza tal-proċessi DSS05.04 u DSS06.03, metriċi, eċċezzjonijiet, traċċar tar-rimedju |
| Rieżaminatur DORA | Riskju ICT, reżiljenza u kritikalità | Listi ta’ aċċess għal sistemi kritiċi, monitoraġġ privileġġjat, kontrolli amministrattivi ta’ partijiet terzi, links mal-ittestjar tar-reżiljenza |
| Rieżaminatur NIS2 | Responsabbiltà tal-maniġment u miżuri tar-riskju | Sorveljanza tal-bord, miżuri tal-kontroll tal-aċċess Article 21, kopertura tal-MFA, tħejjija għall-inċidenti |
| Rieżaminatur GDPR | Kunfidenzjalità u responsabbiltà tad-data personali | Restrizzjonijiet tal-aċċess għad-data personali, evidenza ta’ privatezza b’mod predefinit Article 25, miżuri tas-sigurtà Article 32 |
It-tħejjija ta’ evidenza li tissodisfa dawn il-perspettivi kollha turi programm ta’ konformità matur u tnaqqas xogħol doppju.
Sejbiet komuni u azzjonijiet preventivi
Is-sejbiet tal-kontroll tal-aċċess huma prevedibbli. L-azzjonijiet preventivi wkoll.
| Sejba | Għaliex hija importanti | Prevenzjoni |
|---|---|---|
| Jeżistu rieżamijiet tal-aċċess iżda l-kontijiet privileġġjati huma esklużi | Id-drittijiet amministrattivi joħolqu l-ogħla riskju ta’ impatt | Inkludi indikatur ta’ privileġġ, reġistri tal-PAM u gruppi amministrattivi f’kull rieżami |
| MFA attivata għall-impjegati iżda mhux għal service desks, kuntratturi jew amministraturi cloud | L-attakkanti jimmiraw lejn l-eċċezzjonijiet | Żomm rapport tal-kopertura tal-MFA u reġistru tal-eċċezzjonijiet b’dati tal-iskadenza |
| Il-proċess tad-dħul huwa dokumentat iżda t-trasferimenti mhumiex immaniġġjati | Akkumulazzjoni tal-privileġġi tinġema’ wara tibdil fir-rwoli | Attiva rieżami tal-aċċess ma’ kull bidla fid-dipartiment jew fir-rwol |
| Jeżistu kontijiet amministrattivi kondiviżi mingħajr kontrolli kumpensatorji | Ir-responsabbiltà hija dgħajfa | Ibdelhom b’kontijiet amministrattivi nominati jew applika checkout mill-vault u reġistrazzjoni tas-sessjonijiet |
| Dawk li jitilqu jiġu diżattivati fid-direttorju iżda jibqgħu attivi f’pjattaformi SaaS | L-aċċess jippersisti barra l-IdP ċentrali | Żomm inventarju tal-applikazzjonijiet u lista ta’ kontroll tal-offboarding għal kull sistema |
| Passwords tal-kontijiet tas-servizz mhumiex magħrufa jew qatt ma jiġu rotati | Identitajiet mhux umani jsiru backdoors moħbija | Assenja sidien, aħżen is-sigrieti fil-vault, irrota l-kredenzjali u rrieżamina l-logs tal-użu |
| Il-politika tgħid rieżami kull tliet xhur iżda l-evidenza turi rieżami annwali | Il-politika u l-prattika diverġew | Aġġusta ċ-ċiklu abbażi tar-riskju jew applika r-rekwiżit dokumentat |
| L-approvazzjonijiet tal-aċċess jinsabu fl-email mingħajr regola ta’ żamma | It-traċċa tal-awditjar hija fraġli | Uża flussi tax-xogħol ITSM u żamma allinjata mal-politika |
Il-Access Control Policy għall-intrapriżi żżid rekwiżit ta’ żamma li jipprevjeni wieħed mill-aktar fallimenti komuni tal-evidenza:
“Deċiżjonijiet ta’ approvazzjoni għandhom jiġu rreġistrati fil-logs u miżmuma għal skopijiet ta’ awditjar għal minimu ta’ sentejn.”
Mis-sezzjoni “Rekwiżiti ta’ governanza,” clause 5.3.2.
Jekk l-approvazzjonijiet jisparixxu wara tindif tal-email, il-kontroll seta’ opera, iżda l-awditu ma jistax jistrieħ fuqu. Iż-żamma hija parti mid-disinn tal-kontroll.
Ir-responsabbiltà tal-maniġment teħtieġ metriċi tal-aċċess
NIS2 Article 20 u DORA Articles 5 u 6 jagħmlu l-kontroll tal-aċċess kwistjoni ta’ maniġment għaliex kompromess tal-identità jista’ jsir tfixkil operattiv, rappurtar regolatorju, ksur tad-data u ħsara lill-klijenti. ISO/IEC 27001:2022 Clauses 5.1 sa 5.3 jeħtieġu wkoll li t-tmexxija għolja tallinja l-ISMS mal-istrateġija tan-negozju, tipprovdi riżorsi, tikkomunika l-importanza, tassenja responsabbiltajiet u tippromwovi titjib kontinwu.
Metriċi utli tal-kontroll tal-aċċess jinkludu:
- Perċentwal ta’ sistemi kritiċi koperti minn SSO
- Perċentwal ta’ kontijiet privileġġjati b’MFA
- Numru ta’ kontijiet privileġġjati permanenti meta mqabbla ma’ kontijiet JIT
- Rata tat-tlestija tar-rieżami tal-aċċess
- Numru ta’ permessi eċċessivi revokati
- Konformità mal-SLA tad-diżattivazzjoni ta’ persuni li telqu
- Għadd ta’ kontijiet inattivi
- Kopertura tas-sidien tal-kontijiet tas-servizz
- Kopertura tar-reġistrazzjoni tas-sessjonijiet tal-PAM
- Għadd u età tal-eċċezzjonijiet tal-MFA
Dawn il-metriċi jgħinu lill-maniġment japprova trattament tar-riskju u juri sorveljanza. Jagħmlu wkoll l-awditi aktar kredibbli għaliex l-organizzazzjoni tista’ turi li l-kontroll tal-aċċess huwa mmonitorjat bħala riskju ħaj, mhux skopert mill-ġdid qabel kull awditu.
Ibdel evidenza mxerrda f’kunfidenza għall-awditjar
Jekk l-evidenza tal-kontroll tal-aċċess ISO/IEC 27001:2022 hija mxerrda bejn HR, ITSM, IAM, PAM, konsols cloud u spreadsheets, il-pass li jmiss mhuwiex kitba mill-ġdid ta’ politika oħra. Il-pass li jmiss huwa arkitettura tal-evidenza.
Ibda b’din is-sekwenza:
- Iddefinixxi s-sistemi, l-identitajiet u d-data fil-kamp ta’ applikazzjoni.
- Immappja r-rekwiżiti ta’ NIS2, DORA, GDPR u dawk kuntrattwali fil-kuntest tal-ISMS.
- Uża xenarji tar-riskju fl-istil ta’ ISO/IEC 27005:2022 biex tipprijoritizza IAM, MFA, PAM u rieżamijiet tal-aċċess.
- Aġġorna d-Dikjarazzjoni ta’ Applikabbiltà u l-Pjan ta’ Trattament tar-Riskju.
- Allinja l-klawżoli tal-politika mal-flussi tax-xogħol attwali tal-IAM u tal-PAM.
- Mexxi l-isprint ta’ evidenza bi tliet kampjuni.
- Irranġa l-lakuni qabel isibhom l-awditur.
- Żomm pakkett ta’ evidenza li jista’ jerġa’ jintuża għaċ-ċertifikazzjoni, id-diliġenza dovuta tal-klijenti u r-rieżamijiet regolatorji.
Clarysec tista’ tgħinek timplimenta dan permezz ta’ Zenith Blueprint: Pjan direzzjonali ta’ awditur f’30 pass, timmappja b’mod trasversali r-rekwiżiti permezz ta’ Zenith Controls: The Cross-Compliance Guide, u tħaddem ir-rekwiżiti bis-sett xieraq ta’ politiki Clarysec, inklużi Access Control Policy, User Account and Privilege Management Policy, u Onboarding and Termination Policy.
It-tħejjija għall-awditjar tal-kontroll tal-aċċess mhijiex li tipprova li xtrajt għodda IAM. Hija li tipprova li l-proċessi tal-identità, l-awtentikazzjoni, il-privileġġ u r-rieżami jnaqqsu riskju reali għan-negozju u jissodisfaw l-istandards u r-regolamenti li huma rilevanti għall-organizzazzjoni tiegħek.
Niżżel it-toolkits ta’ Clarysec, mexxi l-isprint ta’ evidenza bi tliet kampjuni, u ibdel l-evidenza tal-kontroll tal-aċċess tiegħek minn taħwid imxerred f’portafoll tal-awditjar ċar, ripetibbli u difensibbli.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
