Monitorizarea continuă a conformității pentru NIS2 și DORA
Întrebarea de vineri după-amiază la care fiecare CISO trebuie acum să răspundă
La 16:40, într-o vineri, CISO-ul unei platforme de plăți găzduite în cloud primește trei mesaje în decurs de zece minute.
Primul este de la CFO: „Partenerul nostru bancar solicită dovezi actualizate că îndeplinim așteptările DORA privind riscul TIC asociat terților și raportarea incidentelor.”
Al doilea este de la consilierul juridic: „Serviciul nostru de securitate gestionată ne-ar putea aduce în domeniul de aplicare al transpunerii naționale NIS2. Putem demonstra supravegherea de către management și eficacitatea controalelor?”
Al treilea este de la directorul departamentului de inginerie: „Am aplicat patch-ul pentru vulnerabilitatea critică, dar backlogul arată 38 de constatări medii restante. Trebuie să escaladăm?”
Acesta este momentul în care conformitatea anuală cedează.
Un PDF de politică, un registru de riscuri actualizat ultima dată înaintea auditului precedent și un folder cu capturi de ecran nu sunt suficiente pentru NIS2 și DORA. Aceste regimuri cer guvernanță activă, supraveghere de către management, fluxuri de lucru pentru incidente, vizibilitate asupra furnizorilor, testarea rezilienței, acțiuni corective și eficacitate demonstrabilă a controalelor.
Pentru mulți CISO, presiunea nu este teoretică. Transpunerea NIS2 în statele membre ale UE a mutat securitatea cibernetică dintr-un program tehnic într-o problemă de responsabilitate a managementului. DORA se aplică de la 17 ianuarie 2025 și oferă entităților financiare un cadru sectorial de reziliență operațională pentru riscul TIC, raportarea incidentelor, testare și riscul asociat terților. Furnizorii de cloud, SaaS, servicii gestionate, securitate gestionată, centre de date, livrare de conținut, servicii de încredere și comunicații electronice publice pot avea, de asemenea, obligații directe sau indirecte, în funcție de domeniul de aplicare, dimensiune, sector, clasificarea națională și contractele cu clienții.
Întrebarea practică nu mai este: „Avem un control?”
Este: „Cine deține controlul, ce metrică demonstrează că funcționează, cât de des colectăm dovezi și ce se întâmplă când metrica eșuează?”
Acesta este nucleul monitorizării continue a conformității pentru NIS2 și DORA. În implementările Clarysec, folosim ISO/IEC 27001:2022 ca schelet al sistemului de management, ISO/IEC 27002:2022 ca limbaj al controalelor, Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului ca secvență de implementare și Zenith Controls: ghidul de conformitate transversală ca busolă de conformitate transversală care conectează dovezile ISO/IEC 27001:2022 la NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 și așteptările de audit.
De ce NIS2 și DORA fac insuficientă conformitatea periodică
NIS2 și DORA diferă ca structură juridică, model de supraveghere și domeniu de aplicare, dar creează aceeași presiune operațională. Securitatea cibernetică și reziliența TIC trebuie guvernate continuu.
NIS2 impune entităților esențiale și importante să aplice măsuri tehnice, operaționale și organizaționale adecvate și proporționale, pe baza unei abordări care acoperă toate riscurile. Aceste măsuri includ analiza riscurilor, politici de securitate a sistemelor informatice, gestionarea incidentelor, continuitatea activității, managementul crizelor, securitatea lanțului de aprovizionare, achiziția și dezvoltarea securizate, gestionarea vulnerabilităților, evaluarea eficacității, igienă cibernetică, instruire, criptografie, securitate HR, controlul accesului, managementul activelor și autentificare multifactor, acolo unde este adecvat. Organele de conducere trebuie să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să primească instruire.
DORA face această cerință și mai explicită pentru entitățile financiare. Impune aranjamente interne de guvernanță și control pentru riscul TIC, un cadru documentat de management al riscurilor TIC, responsabilitatea organului de conducere, gestionarea și raportarea incidentelor legate de TIC, testarea rezilienței operaționale digitale, managementul riscului TIC asociat terților, urmărirea constatărilor de audit, instruire și aranjamente de comunicare. DORA precizează, de asemenea, că entitățile financiare rămân responsabile pentru conformitate atunci când utilizează furnizori terți de servicii TIC.
Aceasta creează o nouă realitate a conformității. Un CISO nu poate aștepta luna auditului pentru a descoperi că:
- revizuirea drepturilor de acces privilegiat a fost omisă timp de două trimestre;
- planurile de ieșire din relația cu furnizorii au fost documentate, dar nu au fost testate niciodată;
- criteriile de severitate a incidentelor nu sunt mapate la pragurile de raportare reglementară;
- backup-urile sunt configurate, dar lipsesc dovezile de restaurare;
- managementul nu a revizuit niciodată tratamentele de risc restante;
- contractele cloud nu includ drepturi de audit, vizibilitate asupra subcontractorilor sau clauze de notificare a incidentelor.
Modelul vechi, bazat pe proiecte, creează cicluri de panică. Echipele se mobilizează înaintea unui audit, colectează capturi de ecran, actualizează datele politicilor și speră că dovezile spun o poveste coerentă. NIS2 și DORA sunt concepute pentru ca această abordare să eșueze. Ele se concentrează pe responsabilitate, proporționalitate, reziliență și dovezi ale funcționării.
ISO/IEC 27001:2022 oferă sistemul de operare pentru această problemă. Clauzele sale impun organizațiilor să înțeleagă contextul, părțile interesate, cerințele legale și contractuale, domeniul de aplicare, leadershipul, rolurile, evaluarea riscurilor, tratarea riscurilor, Declarația de aplicabilitate, planificarea operațională, evaluarea performanței, auditul intern, analiza efectuată de management, gestionarea neconformităților și îmbunătățirea continuă. Această structură este ideală pentru combinarea NIS2, DORA, GDPR, cererilor clienților privind asigurarea controalelor și riscului intern într-un singur model de monitorizare continuă.
Conformitatea continuă nu înseamnă mai multe tablouri de bord. Înseamnă un ritm guvernat de colectare a dovezilor.
Construiți motorul de conformitate pe ISO/IEC 27001:2022
Multe organizații înțeleg greșit ISO/IEC 27001:2022 ca fiind doar un cadru de certificare. În practică, este un sistem de management al riscurilor care face guvernanța securității repetabilă, măsurabilă și verificabilă.
Acest lucru contează deoarece NIS2 și DORA nu sunt liste de verificare izolate. Ele cer un model operațional care poate absorbi cerințe legale, le poate traduce în controale, poate atribui responsabilitatea, poate monitoriza performanța și poate îmbunătăți atunci când sunt identificate lacune.
Clauzele fundamentale ISO/IEC 27001:2022 oferă acest model:
| Clauza ISO/IEC 27001:2022 | Scopul conformității continue | Valoare pentru NIS2 și DORA |
|---|---|---|
| 4.1 Înțelegerea organizației și a contextului acesteia | Definește factorii interni și externi care afectează securitatea cibernetică și reziliența | Surprinde expunerea la reglementări, dependențele operaționale, peisajul amenințărilor și contextul operațional |
| 4.2 Înțelegerea nevoilor și așteptărilor părților interesate | Identifică autoritățile de reglementare, clienții, partenerii, furnizorii și obligațiile legale | Introduce NIS2, DORA, GDPR, contractele și așteptările de supraveghere în SMSI |
| 4.3 Determinarea domeniului de aplicare al SMSI | Definește serviciile, locațiile, tehnologiile, furnizorii și limitele activităților organizației | Împiedică serviciile TIC reglementate și dependențele critice să rămână în afara monitorizării |
| 5.1 Leadership și angajament | Impune responsabilitatea conducerii de vârf și integrarea în procesele de afaceri | Susține responsabilitatea organului de conducere conform NIS2 și DORA |
| 5.3 Roluri, responsabilități și autorități organizaționale | Atribuie responsabilități și autorități SMSI | Creează responsabilitate asupra controalelor și căi de escaladare |
| 6.1.3 Tratarea riscurilor de securitate a informației | Selectează controalele și produce Declarația de aplicabilitate | Transformă obligațiile într-un cadru unificat de control |
| 9.1 Monitorizare, măsurare, analiză și evaluare | Impune monitorizarea performanței și eficacității SMSI | Susține proiectarea KPI, KRI și a ritmului de colectare a dovezilor |
| 9.2 Audit intern | Testează dacă SMSI este conform și implementat eficace | Susține asigurarea independentă și capacitatea de susținere în fața cerințelor de reglementare |
| 9.3 Analiza efectuată de management | Aduce către conducere informații despre performanță, risc, audit și îmbunătățire | Susține supravegherea și deciziile la nivelul consiliului |
| 10.1 Îmbunătățire continuă | Impune îmbunătățirea continuă a adecvării, caracterului corespunzător și eficacității | Transformă constatările în acțiuni corective și îmbunătățirea rezilienței |
Pentru un furnizor FinTech, SaaS, servicii de securitate gestionată sau furnizor TIC pentru entități financiare, această structură previne proiectele de conformitate duplicate. Un singur SMSI poate mapa obligațiile la controale o singură dată, apoi poate reutiliza dovezile în NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, certificarea ISO/IEC 27001:2022 și revizuirile de asigurare solicitate de clienți.
Începeți cu responsabilitatea asupra controalelor, nu cu instrumentele
Primul tipar de eșec în conformitatea continuă este implementarea orientată mai întâi spre instrumente. O companie cumpără o platformă GRC, importă sute de cerințe, atribuie totul către „Securitate” și numește acest lucru monitorizare continuă. Șase luni mai târziu, tabloul de bord este roșu, ingineria contestă dovezile privind vulnerabilitățile, juridicul spune că documentele furnizorilor sunt incomplete, iar managementul nu poate vedea clar riscul rezidual.
ISO/IEC 27001:2022 evită acest lucru prin cerința ca responsabilitățile și autoritățile să fie atribuite și comunicate. NIS2 și DORA consolidează aceeași așteptare prin responsabilitatea managementului, roluri definite și supraveghere.
Politica Clarysec privind rolurile și responsabilitățile de guvernanță pentru IMM-uri prevede:
Fiecare rol cu responsabilități de securitate trebuie înregistrat într-un registru central și confirmat în scris.
Această clauză este mai importantă decât majoritatea tablourilor de bord. Dacă testarea backup-urilor, remedierea vulnerabilităților, verificarea prealabilă a furnizorilor, clasificarea incidentelor și revizuirea accesului privilegiat nu au proprietari desemnați, nu există un ritm fiabil de colectare a dovezilor.
Politica de securitate a informației operaționalizează acest lucru pentru organizațiile mari:
Colectați și păstrați dovezi de audit pentru audituri și revizuiri ale controalelor.
De asemenea, impune proprietarilor de controale să:
Raporteze performanța controlului și orice lacune sau probleme către managerul SMSI.
În Zenith Controls, acest subiect este mapat direct la controlul ISO/IEC 27002:2022 5.2 Roluri și responsabilități pentru securitatea informației, 5.35 Revizuirea independentă a securității informației și 5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informației.
| Control ISO/IEC 27002:2022 menționat în Zenith Controls | Rol în conformitatea continuă | De ce contează pentru NIS2 și DORA |
|---|---|---|
| 5.2 Roluri și responsabilități pentru securitatea informației | Atribuie proprietari responsabili pentru controale, dovezi, KPI, KRI și escaladare | Susține supravegherea managementului, claritatea rolurilor și responsabilitatea operațională |
| 5.35 Revizuirea independentă a securității informației | Testează dacă monitorizarea este obiectivă, completă și eficace | Susține evaluarea eficacității conform NIS2 și așteptările de audit DORA |
| 5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informației | Verifică dacă politicile, standardele și obligațiile sunt respectate | Transformă obligațiile legale și contractuale în verificări măsurabile de conformitate |
Zenith Blueprint oferă un punct practic de pornire în faza de fundamentare și leadership a SMSI, pasul 4: roluri și responsabilități în SMSI. Recomandă desemnare formală, actualizarea fișelor de post, alinierea KPI, comunicare la nivelul întregii organizații și responsabilitate la nivel de departament.
O înregistrare tipică de desemnare poate spune:
„Cu efect imediat, sunteți desemnat Information Security Officer, cu responsabilitatea de a supraveghea și coordona SMSI, inclusiv managementul riscurilor, implementarea controalelor și monitorizarea conformității.”
Această desemnare nu este birocrație. Este dovadă de audit pentru leadershipul și atribuirea rolurilor în ISO/IEC 27001:2022. De asemenea, susține supravegherea managementului conform NIS2 și guvernanța DORA. Autoritățile de reglementare, auditorii de certificare și clienții bancari vor să vadă că responsabilitatea nu este implicită. Ea este atribuită, confirmată, resursată și monitorizată.
Un registru practic al responsabilității asupra controalelor trebuie să includă aceste câmpuri:
| Câmp | Exemplu | Valoare pentru audit |
|---|---|---|
| Domeniu de control | Gestionarea incidentelor | Arată acoperirea controalelor și domeniul de aplicare |
| Factori de reglementare | NIS2 Article 23, DORA Articles 17 to 19 | Leagă dovezile de obligații |
| Referință ISO/IEC 27002:2022 | 5.24 to 5.30 | Conectează controlul operațional la SMSI |
| Proprietar | Responsabil operațiuni de securitate | Stabilește responsabilitatea |
| Proprietar de rezervă | Manager SOC | Reduce dependența de persoane-cheie |
| KPI | 95% dintre alertele cu severitate ridicată triate în SLA | Demonstrează așteptarea de performanță |
| KRI | Orice alertă critică netriată mai veche de 4 ore | Definește escaladarea riscului |
| Frecvența colectării dovezilor | Tablou de bord săptămânal, revizuire lunară, test trimestrial | Face conformitatea continuă |
| Locația dovezilor | Bibliotecă GRC de dovezi | Permite regăsirea pentru audit |
| Cale de escaladare | Manager SMSI, comitet de risc, organ de conducere | Conectează operațiunile la guvernanță |
Acest registru devine puntea dintre politică și dovezi.
Definiți KPI și KRI care demonstrează eficacitatea controalelor
Odată ce proprietarii există, aceștia trebuie să știe cum arată „bine”. Monitorizarea continuă a conformității funcționează pe baza unor indicatori relevanți, nu a unor intenții generale.
„Îmbunătățirea aplicării patch-urilor” nu este un KPI. „Revizuirea regulată a furnizorilor” nu este dovadă. „Menținerea rezilienței” nu este un control măsurabil.
Clarysec separă clar cele două tipuri de indicatori:
- KPI, un indicator-cheie de performanță, măsoară dacă procesul funcționează conform așteptărilor.
- KRI, un indicator-cheie de risc, semnalează creșterea riscului sau depășirea unui prag care impune escaladare.
Politica de management al riscurilor pentru organizațiile mari prevede:
KRI (indicatori-cheie de risc) și metricile de securitate trebuie definite pentru riscurile critice și monitorizate lunar.
De asemenea, impune logica de escaladare:
Declanșatoarele de escaladare trebuie integrate în logica de monitorizare (de exemplu, atunci când riscul rezidual crește cu mai mult de un nivel sau termenele de tratare sunt depășite).
Pentru organizațiile mai mici, Politica de management al riscurilor pentru IMM-uri a Clarysec utilizează o abordare proporțională:
Progresul privind atenuarea riscurilor trebuie revizuit trimestrial.
Aceasta permite și metrici simple:
Pot fi urmărite metrici informale (de exemplu, numărul de riscuri deschise, acțiuni restante, incidente noi).
Această proporționalitate contează. O bancă multinațională și un furnizor FinTech cu 60 de persoane nu au nevoie de telemetrie identică, dar ambele au nevoie de responsabilitate atribuită, măsurare repetabilă, praguri de escaladare și dovezi ale acțiunii corective.
Un model practic KPI și KRI pentru NIS2 și DORA arată astfel:
| Domeniu | Proprietar de control | KPI | KRI sau declanșator de escaladare | Frecvența colectării dovezilor |
|---|---|---|---|---|
| Managementul vulnerabilităților | Responsabil infrastructură sau DevOps | Vulnerabilități critice remediate în SLA aprobat | Orice vulnerabilitate critică expusă la internet în afara SLA | Revizuire operațională săptămânală, raport SMSI lunar |
| Gestionarea incidentelor | Manager SOC | 100% dintre incidente clasificate după severitate și impact asupra serviciului | Incident semnificativ potențial NIS2 sau incident major legat de TIC conform DORA neescaladat în fluxul de lucru | Zilnic pe durata incidentului, revizuire lunară a tendințelor |
| Risc asociat furnizorilor | Achiziții și securitate | 100% dintre furnizorii TIC critici evaluați din perspectiva riscului înainte de integrare | Furnizor critic fără verificare prealabilă curentă, drept de audit, clauză de incident sau plan de ieșire | Verificare lunară a registrului, revizuire trimestrială a furnizorilor |
| Backup și recuperare | Operațiuni IT | Teste de restaurare finalizate pentru serviciile critice în intervalul definit | Test de restaurare eșuat pentru o funcție critică sau importantă | Dovezi lunare privind backup-ul, test trimestrial de restaurare |
| Controlul accesului | Proprietar IAM | Acces privilegiat revizuit în ciclul stabilit | Cont administrativ orfan sau revizuire omisă a accesului privilegiat | Scanare săptămânală a excepțiilor, atestare lunară |
| Conștientizare de securitate | HR sau proprietar al programului de conștientizare de securitate | Instruire obligatorie finalizată în termenul definit | Eșec repetat la simularea de phishing peste pragul aprobat | Raport lunar de instruire, revizuire trimestrială a conștientizării |
| Monitorizarea conformității | Manager SMSI | Elemente de dovezi cu risc ridicat colectate până la termen | Dovezi întârziate cu mai mult de 10 zile lucrătoare | Tablou de bord lunar de conformitate, analiză trimestrială de management |
Aceste metrici susțin mai mult decât certificarea ISO/IEC 27001:2022. Ele susțin și măsurile NIS2 de management al riscurilor de securitate cibernetică, pregătirea pentru raportarea incidentelor NIS2, managementul riscurilor TIC DORA, riscul asociat terților conform DORA, responsabilitatea GDPR, rezultatele de guvernanță NIST CSF 2.0 și managementul performanței în stil COBIT.
Stabiliți ritmul de colectare a dovezilor înainte ca auditul să îl ceară
Multe organizații colectează dovezi aleatoriu. O captură de ecran apare într-un canal Teams. Un tichet Jira este legat într-un e-mail. Un chestionar de furnizor este stocat la Achiziții. Un test de backup este descris verbal. În săptămâna auditului, managerul SMSI devine investigator criminalist.
Conformitatea continuă necesită un ritm planificat și o igienă clară a dovezilor.
Politica de audit și monitorizare a conformității pentru IMM-uri a Clarysec prevede:
Fiecare audit trebuie să includă un domeniu de aplicare definit, obiective, personal responsabil și dovezile necesare.
De asemenea, precizează:
Dovezile trebuie păstrate timp de cel puțin doi ani sau mai mult, atunci când acest lucru este impus de certificare sau de acordurile cu clienții.
Pentru organizațiile mari, Politica de audit și monitorizare a conformității adaugă așteptări privind automatizarea:
Instrumentele automatizate trebuie implementate pentru a monitoriza conformitatea configurațiilor, managementul vulnerabilităților, starea patch-urilor și accesul privilegiat.
Automatizarea trebuie țintită. Controalele cu risc ridicat și frecvență mare nu trebuie să depindă de capturi de ecran manuale. Cel mai bun model de dovezi combină telemetria automatizată, atestările proprietarilor, registrele de excepții, înregistrările din sistemul de ticketing, rezultatele testelor și procesele-verbale ale analizei efectuate de management.
| Frecvență | Tip de dovadă | Exemple | Public de revizuire |
|---|---|---|---|
| În timp real sau la declanșarea evenimentelor | Dovezi privind operațiunile de securitate | Alerte SIEM, clasificarea incidentelor, detectarea vulnerabilităților, escaladarea incidentelor majore | SOC, manager de incident, proprietar de control |
| Săptămânal | Dovezi privind controalele operaționale | Starea vulnerabilităților critice, excepții de acces privilegiat, eșecuri ale sarcinilor de backup, abateri de la configurația de referință | Proprietari de control, manager SMSI |
| Lunar | Dovezi KPI și KRI | Metrici de risc, acțiuni restante, performanța SLA pentru patch-uri, modificări în registrul furnizorilor | Manager SMSI, proprietar de risc |
| Trimestrial | Dovezi de guvernanță și asigurare | Progresul tratării riscurilor, revizuiri ale furnizorilor, recertificarea accesului, rezultatele testării rezilienței | Comitet de risc, organ de conducere |
| Anual sau conform ciclului planificat | Dovezi de revizuire independentă | Audit intern, plan de testare a controalelor, analiză efectuată de management, revizuire a politicilor | Conducerea de vârf, auditori |
Contează și convenția de denumire. Dovezile trebuie să fie ușor de regăsit fără eforturi excepționale. De exemplu:
- raport săptămânal de vulnerabilități:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - revizuire lunară a accesului privilegiat:
YYYY-MM_IAM-Privileged-Review_Attestation - revizuire trimestrială a furnizorilor:
YYYY-QX_Critical-Supplier-Review - pachet de incident:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Aici politica devine operațională. Păstrarea dovezilor nu este o sarcină de arhivare. Este parte a controlului.
Mapați un element de dovadă la mai multe obligații
Conformitatea continuă devine puternică atunci când un singur element de dovadă satisface mai multe cadre. De aceea Zenith Controls este central în abordarea Clarysec de conformitate transversală.
Să luăm gestionarea incidentelor. Conform NIS2, incidentele semnificative impun raportare etapizată, inclusiv avertizare timpurie în termen de 24 de ore de la luarea la cunoștință, notificare în termen de 72 de ore și raportare finală în termen de o lună, sub rezerva transpunerii naționale și a faptelor incidentului. DORA impune entităților financiare să gestioneze, să clasifice, să escaladeze și să raporteze incidentele majore legate de TIC utilizând procesele și modelele cerute. GDPR impune operatorilor să evalueze și să gestioneze încălcările securității datelor cu caracter personal atunci când sunt afectate confidențialitatea, integritatea sau disponibilitatea datelor cu caracter personal.
Un singur pachet de dovezi privind incidentul poate susține toate cele trei regimuri dacă include:
- cronologia incidentului și momentul luării la cunoștință;
- justificarea clasificării;
- serviciile și jurisdicțiile afectate;
- impactul asupra clienților, tranzacțiilor sau utilizatorilor;
- evaluarea impactului asupra datelor cu caracter personal;
- cauza principală;
- acțiuni de atenuare și recuperare;
- comunicări și notificări;
- înregistrarea escaladării către management;
- intrarea de acțiune corectivă.
Aceeași logică de conformitate transversală se aplică riscului asociat furnizorilor. NIS2 impune securitatea lanțului de aprovizionare și atenție față de relațiile directe cu furnizorii și prestatorii de servicii. DORA impune strategia de risc TIC asociat terților, registre, verificare precontractuală prealabilă, clauze contractuale, drepturi de audit, niveluri de serviciu, strategii de ieșire și monitorizarea riscului de concentrare. NIST CSF 2.0 tratează riscul lanțului de aprovizionare ca disciplină de guvernanță pe întreg ciclul de viață. ISO/IEC 27001:2022 leagă aceste cerințe de domeniul de aplicare, cerințele părților interesate, tratarea riscurilor și controlul operațional al proceselor furnizate din exterior.
O matrice practică a dovezilor îi ajută pe proprietarii de control să înțeleagă de ce contează dovezile:
| Element de dovadă | Valoare NIS2 | Valoare DORA | Valoare ISO/IEC 27001:2022 | Valoare GDPR |
|---|---|---|---|---|
| Înregistrarea clasificării incidentului | Susține evaluarea incidentului semnificativ | Susține clasificarea incidentului major legat de TIC | Susține funcționarea și monitorizarea controlului privind incidentele | Susține responsabilitatea privind triajul încălcărilor |
| Registrul furnizorilor | Susține securitatea lanțului de aprovizionare | Susține registrul terților TIC | Susține controlul proceselor furnizate din exterior | Susține supravegherea persoanelor împuternicite și subîmputernicite |
| Raport SLA privind vulnerabilitățile | Susține măsurile de management al riscurilor de securitate cibernetică | Susține protecția și detecția TIC | Susține tratarea riscurilor și managementul vulnerabilităților | Susține măsurile de securitate adecvate |
| Raport de testare a restaurării | Susține continuitatea activității și pregătirea pentru criză | Susține reziliența operațională și recuperarea | Susține pregătirea pentru backup și continuitate | Susține disponibilitatea și reziliența prelucrării |
| Proces-verbal al analizei efectuate de management | Susține supravegherea de către management | Susține responsabilitatea organului de conducere | Susține leadershipul, evaluarea performanței și îmbunătățirea | Susține dovezile privind responsabilitatea |
Această abordare previne munca de conformitate duplicată. Organizația colectează un set solid de dovezi, apoi îl mapează la mai multe obligații.
Modelul de monitorizare Clarysec, de la obligație la proprietar și la dovadă
Un model robust de monitorizare urmează o secvență simplă.
Mai întâi, definiți obligația. De exemplu, DORA impune ca riscul TIC asociat terților să fie gestionat ca parte a managementului riscurilor TIC, cu registre, verificare prealabilă, cerințe contractuale, drepturi de audit și strategii de ieșire pentru funcții critice sau importante. NIS2 impune securitatea lanțului de aprovizionare și acțiuni corective adecvate.
Apoi, traduceți obligația în cerințe SMSI ISO/IEC 27001:2022. Aceasta include cerințele părților interesate, domeniul de aplicare, evaluarea riscurilor, tratarea riscurilor, Declarația de aplicabilitate, controlul operațional, monitorizarea, auditul intern, analiza efectuată de management și îmbunătățirea.
În al treilea rând, selectați controalele operaționale. În Zenith Controls, controalele de guvernanță de bază pentru conformitatea continuă includ controalele ISO/IEC 27002:2022 5.2, 5.35 și 5.36. Controalele suport includ frecvent 5.19 Securitatea informației în relațiile cu furnizorii, 5.21 Gestionarea securității informației în lanțul de aprovizionare TIC, 5.22 Monitorizarea, revizuirea și managementul schimbărilor pentru serviciile furnizorilor, 5.23 Securitatea informației pentru utilizarea serviciilor cloud, 5.24 Planificarea și pregătirea managementului incidentelor de securitate a informației, 5.26 Răspunsul la incidente de securitate a informației, 5.30 Pregătirea TIC pentru continuitatea activității, 5.31 Cerințe legale, statutare, de reglementare și contractuale, 8.8 Managementul vulnerabilităților tehnice, 8.13 Backup-ul informațiilor, 8.15 Jurnalizare, 8.16 Activități de monitorizare și 8.9 Managementul configurațiilor.
În al patrulea rând, atribuiți proprietarul și frecvența. Riscul asociat furnizorilor poate implica Achiziții, Juridic, Securitate și proprietarul serviciului de business, dar un singur proprietar responsabil trebuie să mențină registrul și să raporteze excepțiile.
În al cincilea rând, definiți KPI, KRI și dovezile. KPI pentru furnizori pot include procentul de furnizori TIC critici cu verificare prealabilă finalizată, procentul cu clauze contractuale aprobate, numărul celor fără planuri de ieșire testate și numărul de revizuiri ale furnizorilor restante. KRI pot include constatări nerezolvate cu risc ridicat privind furnizorii, risc de concentrare peste toleranță sau lipsa drepturilor de audit pentru un serviciu care susține o funcție critică sau importantă.
În al șaselea rând, raportați și escaladați. Tablourile de bord SMSI lunare nu trebuie doar să afișeze un statut verde. Ele trebuie să identifice dovezile restante, evoluția riscului, termenele de tratare ratate și deciziile de management necesare.
În al șaptelea rând, auditați și îmbunătățiți. Lacunele de dovezi devin acțiuni corective, nu scuze.
Acest lucru se aliniază cu faza de audit, analiză și îmbunătățire din Zenith Blueprint. Pasul 25, programul de audit intern, recomandă acoperirea proceselor și controalelor SMSI relevante pe durata ciclului de audit, cu un audit anual complet al domeniului de aplicare și verificări punctuale trimestriale mai mici pentru zonele cu risc ridicat, acolo unde este adecvat. Pasul 28, analiza efectuată de management, solicită intrări precum modificări ale cerințelor, rezultate ale monitorizării și măsurării, rezultate ale auditului, incidente, neconformități, oportunități de îmbunătățire și nevoi de resurse. Pasul 29, îmbunătățirea continuă, folosește registrul CAPA pentru a surprinde descrierea problemei, cauza principală, acțiunea corectivă, proprietarul responsabil, data-țintă și starea.
Aceasta este conformitatea continuă în practică.
Un scenariu practic: vulnerabilitate critică pe un API public
La 02:15, se declanșează o alertă SIEM. O scanare de vulnerabilitate a identificat o vulnerabilitate critică de execuție de cod la distanță pe un gateway API expus public, care susține un serviciu de plăți reglementat.
Modelul de monitorizare continuă trebuie să răspundă fără a aștepta o ședință.
Mai întâi, inventarul activelor clasifică gateway-ul ca fiind critic. Cronometrul KPI pentru managementul vulnerabilităților pornește. KRI pentru vulnerabilități critice nepatch-uite crește. Dacă activul este expus la internet și exploit-ul este activ, pragul de escaladare se declanșează imediat.
În al doilea rând, tichetul este direcționat către echipa DevOps de gardă. Responsabilul DevOps, în calitate de proprietar al controlului de management al vulnerabilităților, primește o notificare automatizată. Managerul SOC urmărește dacă există indicatori de exploatare. Managerul SMSI monitorizează dacă sunt îndeplinite criteriile de incident.
În al treilea rând, dovezile sunt colectate ca rezultat al fluxului de lucru. Alerta SIEM, scanarea vulnerabilității, clasificarea activului, marcajele temporale ale tichetului, chatul de răspuns, înregistrarea patch-ului, scanarea de validare și aprobarea închiderii sunt atașate pachetului de dovezi.
În al patrulea rând, echipa evaluează dacă evenimentul este doar o vulnerabilitate, un eveniment de securitate sau un incident. Dacă există impact asupra serviciului, indicatori de compromitere, impact asupra clienților sau expunere a datelor cu caracter personal, fluxul de lucru pentru incidente declanșează evaluările de raportare NIS2, DORA, GDPR și contractuale.
În al cincilea rând, managementul primește un raport concis. Dacă vulnerabilitatea a fost remediată în patru ore, dovezile susțin eficacitatea controlului. Dacă SLA a fost ratat, registrul CAPA înregistrează cauza principală, acțiunea corectivă, proprietarul, data-țintă și starea.
Acest singur eveniment generează dovezi utile pentru managementul vulnerabilităților, pregătirea pentru incidente, monitorizare, accesul la active critice, analiza efectuată de management și îmbunătățirea continuă.
Cum vor testa auditorii și autoritățile de reglementare același model de monitorizare
Un program matur de conformitate continuă trebuie să reziste unor perspective de audit diferite. Dovezile nu se schimbă, dar întrebările da.
| Perspectiva auditorului | Întrebare probabilă de audit | Dovezi așteptate |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Sunt rolurile atribuite, riscurile tratate, controalele operaționale și dovezile păstrate? | Domeniu de aplicare, cerințe ale părților interesate, registru de riscuri, Declarație de aplicabilitate, registru al proprietarilor, rezultate ale monitorizării, audit intern, analiză efectuată de management, registru CAPA |
| Autoritate de reglementare sau evaluator NIS2 | A aprobat și supravegheat managementul măsuri adecvate de management al riscurilor de securitate cibernetică? | Procese-verbale de management, aprobări de risc, flux de lucru pentru incidente, controale ale furnizorilor, dovezi de continuitate, înregistrări de instruire, acțiuni corective |
| Autoritate competentă DORA sau audit intern | Conectează cadrul de risc TIC guvernanța, reziliența, testarea, raportarea incidentelor, riscul asociat terților și urmărirea auditului? | Cadru de risc TIC, strategie de reziliență, înregistrări de clasificare a incidentelor, rezultate ale testării, registrul furnizorilor, dovezi contractuale, rapoarte de audit |
| Evaluator NIST CSF 2.0 | Are organizația rezultate de guvernanță, lacune prioritizate, performanță măsurabilă și cicluri de revizuire? | Profiluri curente și țintă, plan de acțiune pentru risc, metrici de guvernanță, supravegherea lanțului de aprovizionare, rapoarte KPI operaționale |
| Auditor COBIT 2019 sau ISACA | Sunt definite și eficace obiectivele de guvernanță, practicile de management, responsabilitatea asupra proceselor, metricile și activitățile de asigurare? | RACI, descrieri de proces, metrici de performanță, rapoarte de excepții, testarea controalelor, înregistrări ale supravegherii de către management |
Pentru controlul ISO/IEC 27002:2022 5.35 Revizuirea independentă a securității informației, un auditor ISO/IEC 27001:2022 se va concentra pe planul de audit intern, domeniul de aplicare, competență, constatări și acțiuni corective. O autoritate de reglementare NIS2 sau DORA se va concentra pe măsura în care managementul a înțeles constatările, a finanțat remedierea și a redus riscul sistemic. Un evaluator NIST CSF 2.0 poate mapa revizuirea la funcția GOVERN, inclusiv supravegherea și ajustarea performanței.
Același set de dovezi le servește tuturor dacă este complet, actual și conectat la proprietari.
Capcane comune care slăbesc conformitatea continuă
Prima capcană este tratarea NIS2 și DORA ca proiecte separate. Aceasta creează registre duplicate, metrici contradictorii și proprietari de control epuizați. Folosiți ISO/IEC 27001:2022 ca bază SMSI și mapați obligațiile printr-o singură bibliotecă de controale.
A doua capcană este atribuirea controalelor către echipe în loc de persoane. „IT deține backup-urile” nu este suficient. Un proprietar desemnat trebuie să ateste, să raporteze excepții și să escaladeze riscul.
A treia capcană este colectarea dovezilor fără evaluarea eficacității. O captură de ecran cu succesul backup-ului nu demonstrează recuperabilitate. Un test de restaurare demonstrează. Un chestionar de furnizor nu demonstrează reziliența terților. Clauzele contractuale, drepturile de audit, termenii de notificare a incidentelor, rapoartele de performanță și planificarea ieșirii creează dovezi mai solide.
A patra capcană este măsurarea activității în locul riscului. Numărarea vulnerabilităților este utilă. Urmărirea vulnerabilităților critice restante pe sisteme expuse la internet este mai bună. Numărarea furnizorilor este utilă. Urmărirea furnizorilor critici fără planuri de ieșire este mai bună.
A cincea capcană este disciplina slabă a acțiunilor corective. Pasul 29 din Zenith Blueprint este clar: constatările au nevoie de descrierea problemei, cauza principală, acțiune corectivă, proprietar responsabil, data-țintă și stare. Dacă registrul CAPA nu este revizuit, conformitatea continuă devine acumulare continuă de puncte slabe cunoscute.
Ce ar trebui să vadă managementul în fiecare lună
Organele de conducere conform NIS2 și DORA nu au nevoie de exporturi brute din scanere. Au nevoie de o vedere asupra riscului cibernetic și TIC care susține decizii.
Un tablou de bord lunar pentru consiliu sau management trebuie să includă:
- principalele riscuri cibernetice și TIC, cu evoluția riscului rezidual;
- tratamente de risc restante și termene ratate;
- incidente semnificative, candidați la incidente majore legate de TIC și lecții învățate;
- excepții privind riscul furnizorilor critici;
- performanța SLA pentru vulnerabilități aferente activelor critice;
- starea testelor de backup și recuperare;
- excepții la revizuirea accesului privilegiat;
- rata de finalizare a dovezilor de conformitate;
- constatări de audit și starea CAPA;
- decizii necesare privind resursele.
Acest lucru susține direct analiza efectuată de management conform ISO/IEC 27001:2022 și așteptările de guvernanță ale NIS2 și DORA. Se aliniază, de asemenea, cu NIST CSF 2.0, unde executivii stabilesc priorități, responsabilitate, resurse și apetitul la risc, iar managerii traduc aceste priorități în profiluri țintă și planuri de acțiune.
Construiți ritmul dovezilor pentru NIS2 și DORA în această săptămână
Nu trebuie să rezolvați totul dintr-odată pentru a începe. O primă săptămână utilă poate fi simplă.
Ziua 1, creați un registru al proprietarilor de control pentru cinci domenii: guvernanță și managementul riscurilor, gestionarea și raportarea incidentelor, managementul vulnerabilităților și al patch-urilor, riscul asociat furnizorilor și cloud, precum și continuitatea activității și recuperarea.
Ziua 2, definiți un KPI și un KRI pentru fiecare domeniu. Păstrați-le specifice, măsurabile și legate de apetitul la risc.
Ziua 3, mapați fiecare element de dovadă la valoarea pentru NIS2, DORA, ISO/IEC 27001:2022, GDPR și asigurarea solicitată de clienți.
Ziua 4, stabiliți frecvența colectării dovezilor, locația de stocare, convenția de denumire, regula de păstrare și revizorul.
Ziua 5, derulați un exercițiu de simulare pe scenariu. Folosiți un scenariu de indisponibilitate cloud sau de vulnerabilitate critică. Confirmați clasificarea, evaluarea raportării reglementare, comunicarea cu clienții, stocarea dovezilor și crearea CAPA.
Dacă organizația dumneavoastră încă gestionează NIS2 și DORA prin foi de calcul, workshopuri anuale și foldere dispersate de dovezi, acum este momentul să treceți la un ritm operațional monitorizat.
Începeți cu trei acțiuni:
- Construiți un registru al proprietarilor de control pentru domeniile cu cel mai ridicat risc.
- Definiți un KPI, un KRI, un element de dovadă și o frecvență pentru fiecare control.
- Derulați o revizuire de 30 de minute a dovezilor și deschideți elemente CAPA pentru orice lipsește.
Clarysec vă poate ajuta să accelerați tranziția cu Zenith Blueprint pentru secvențierea implementării, Zenith Controls pentru maparea conformității transversale și biblioteca de politici Clarysec, inclusiv Politica de securitate a informației, Politica de management al riscurilor, Politica de audit și monitorizare a conformității, Politica privind rolurile și responsabilitățile de guvernanță pentru IMM-uri, Politica de management al riscurilor pentru IMM-uri și Politica de audit și monitorizare a conformității pentru IMM-uri.
Obiectivul nu este mai multă documentație de conformitate. Obiectivul este să răspundeți cu încredere la întrebarea de vineri după-amiază:
„Da, știm cine deține controlul, cunoaștem KPI-ul, avem dovezile, știm excepțiile, iar managementul a revizuit riscul.”
Contactați Clarysec pentru a construi un model de monitorizare continuă a conformității, pregătit pentru audit, pregătit pentru consiliu și suficient de rezilient pentru NIS2, DORA și următoarea reglementare care va urma.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
