Programul de testare DORA: maparea testelor la ISO 27001
Este februarie 2026. CISO al unei instituții de plată de dimensiune medie are o ședință cu consiliul de administrație peste două zile, un audit de supraveghere ISO/IEC 27001:2022 peste șase săptămâni și o solicitare de supraveghere DORA în inboxul echipei de conformitate.
Autoritatea de supraveghere nu solicită o strategie cibernetică elegant prezentată. Solicitarea este practică:
- Furnizați programul de testare a rezilienței operaționale digitale pentru 2026.
- Arătați ce teste acoperă funcțiile critice sau importante.
- Demonstrați cum sunt remediate și retestate constatările.
- Furnizați dovezi privind supravegherea exercitată de organul de conducere.
- Explicați cum sunt incluși furnizorii terți TIC.
- Furnizați înregistrări pentru evaluările de vulnerabilitate, testele bazate pe scenarii, testarea de performanță și capacitate și testarea de penetrare.
CISO deschide patru foldere. Scanările de vulnerabilitate sunt în sistemul de ticketing al SOC. Notele exercițiilor tabletop sunt într-o unitate partajată. Rezultatele testelor de încărcare sunt gestionate de echipa de inginerie. Rapoartele de testare de penetrare sunt în depozitul restricționat al departamentului juridic. Urmărirea remedierilor este împărțită între Jira, e-mail și un fișier tabelar creat pentru auditul ISO de anul trecut.
Nimic nu este fals. O mare parte reprezintă activitate executată corect. Dar nu este încă un program DORA guvernat de testare a rezilienței operaționale digitale. Este o colecție de teste.
Această diferență contează în 2026. DORA se aplică de la 17 ianuarie 2025 și stabilește un cadru uniform al UE pentru reziliența operațională digitală, acoperind managementul riscurilor TIC, raportarea incidentelor, testarea rezilienței, schimbul de informații privind amenințările cibernetice și vulnerabilitățile, managementul riscului asociat terților TIC, cerințele contractuale și supravegherea furnizorilor terți critici de servicii TIC. Acoperă o gamă largă de entități financiare, inclusiv instituții de credit, instituții de plată, firme de investiții, furnizori de servicii de criptoactive, societăți de asigurare și alte entități reglementate. DORA funcționează, de asemenea, ca act juridic sectorial al Uniunii pentru entitățile financiare care altfel ar intra sub incidența unor obligații echivalente de securitate cibernetică NIS2.
Întrebarea practică pentru consilii, CISO, manageri de conformitate și furnizori TIC nu mai este dacă se efectuează testare. Întrebarea este dacă testarea este planificată, bazată pe risc, susținută prin dovezi, remediată, revizuită și reutilizabilă în cadrul DORA și ISO/IEC 27001:2022.
Modelul operațional Clarysec este construit exact pentru această problemă. Utilizând Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului, suita de politici Clarysec aliniată la ISO și Zenith Controls: ghidul de conformitate transversală, organizațiile pot transforma activitățile de reziliență dispersate într-un catalog anual controlat de teste, care răspunde cerințelor supraveghetorilor, auditorilor, clienților și consiliilor.
De ce DORA transformă testarea într-o problemă de guvernanță
DORA este explicită cu privire la responsabilitatea conducerii executive. Articolul 5 atribuie organului de conducere responsabilitatea pentru managementul riscurilor TIC. Articolul 6 impune un cadru de management al riscurilor TIC solid, cuprinzător și bine documentat, integrat în sistemul general de management al riscurilor al organizației. Articolul 4 adaugă principiul proporționalității, ceea ce înseamnă că cerințele trebuie aplicate în funcție de dimensiune, profilul general de risc și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor.
Astfel, testarea rezilienței operaționale digitale devine mai mult decât o sarcină tehnică. Ea devine dovada că organul de conducere înțelege riscul, a aprobat o strategie, primește raportări relevante și determină remedierea.
ISO/IEC 27001:2022 utilizează o logică similară de sistem de management. Clauzele 4.1-4.4 impun organizației să înțeleagă contextul, părțile interesate, obligațiile legale și contractuale, domeniul de aplicare, interfețele și dependențele. Clauzele 5.1-5.3 impun leadership, alinierea politicilor, resurse, comunicare, responsabilități atribuite și raportare către conducerea de vârf. Clauza 6.1 impune evaluarea riscurilor de securitate a informațiilor și tratarea riscurilor.
Prin urmare, un program de testare DORA trebuie să conecteze:
- servicii de business și funcții critice sau importante
- active TIC, date și dependențe de terți
- evaluarea riscurilor, proprietari de risc și planuri de tratare a riscurilor
- tipuri de teste, frecvență și declanșatoare
- autorizare, independență și reguli de angajament
- constatări, termene de remediere și retestare
- păstrarea dovezilor și controlul accesului
- raportare către management și îmbunătățire continuă
Pentru entitățile financiare mai mici sau cu risc mai redus, Articolul 16 prevede un cadru simplificat de management al riscurilor TIC, dar simplificat nu înseamnă informal. Chiar și programele dimensionate proporțional au nevoie de management documentat al riscurilor TIC, monitorizare, sisteme reziliente, identificarea surselor de risc TIC și a anomaliilor, dependențe-cheie de furnizori terți TIC, măsuri de continuitate și recuperare, testare periodică și lecții învățate.
Cu alte cuvinte, DORA nu recompensează volumul de teste. Recompensează testarea guvernată și bazată pe risc, care dovedește reziliența serviciilor care contează cel mai mult.
Ce trebuie să includă un program de testare DORA pentru 2026?
Un program matur de testare DORA trebuie să funcționeze ca un catalog anual de teste. Nu trebuie limitat la un singur test anual de penetrare sau la un teanc de exporturi din scanări de vulnerabilitate. Trebuie să includă teste de bază și avansate, planificate în jurul riscului, criticității serviciilor, obligațiilor de reglementare, dependențelor de furnizori, schimbărilor majore și constatărilor anterioare.
Articolul 24 din DORA stabilește programul de testare a rezilienței operaționale digitale. Articolul 25 descrie o gamă de teste, inclusiv evaluări și scanări de vulnerabilitate, analize open-source, evaluări de securitate a rețelei, analize ale lacunelor, revizuiri de securitate fizică, chestionare, soluții software de scanare, revizuiri ale codului-sursă acolo unde este fezabil, teste bazate pe scenarii, testare de compatibilitate, testare de performanță, testare end-to-end și testare de penetrare. Articolul 26 adaugă testarea de penetrare ghidată de amenințări pentru entitățile financiare identificate de autoritățile competente.
Pentru majoritatea organizațiilor, catalogul practic este construit în jurul a patru familii de testare.
| Familie de testare | Ce validează | Dovezi tipice | Valoarea dovezilor pentru ISO/IEC 27001:2022 |
|---|---|---|---|
| Evaluări de vulnerabilitate | Puncte slabe cunoscute la nivelul infrastructurii, aplicațiilor, serviciilor cloud și punctelor terminale | Rapoarte de scanare, domeniul activelor, ratinguri de severitate, tichete, SLA-uri de remediere, înregistrări ale retestării | Evaluarea riscurilor, managementul vulnerabilităților tehnice, dovezi privind controlul operațional, progresul planului de tratare a riscurilor |
| Teste bazate pe scenarii | Răspunsul la perturbări realiste, incidente cibernetice, eșecul unui terț, încălcarea securității datelor, ransomware sau indisponibilitatea plăților | Pachete tabletop, jurnale ale participanților, înregistrări decizionale, comunicări, lecții învățate, actualizări ale planurilor | Gestionarea incidentelor, continuitatea activității, colectarea dovezilor, instruire, date de intrare pentru revizuirea de management |
| Teste de performanță și reziliență | Capacitate, încărcare, failover, obiective privind timpul de recuperare, obiective privind punctul de recuperare, integritatea backup-ului și degradarea serviciului | Rapoarte de încărcare, praguri de capacitate, dovezi de monitorizare, jurnale de failover, rezultate ale restaurării backup-urilor, aprobarea proprietarului serviciului | Managementul capacității, testarea backup-urilor, pregătirea TIC pentru continuitatea activității, planificare operațională |
| Testare de penetrare și red teaming | Exploitabilitate, căi de atac, ocolirea controalelor, capabilitatea de detecție și răspuns | Reguli de angajament, autorizare, raport final, capturi de ecran ca dovezi, ratinguri de risc, raport de remediere și retestare | Testare de securitate, revizuire independentă, asigurare privind furnizorii, revizuire de audit și conformitate |
Politica de testare de securitate și red teaming a Clarysec oferă un reper solid de politică pentru acest catalog:
“Tipuri de teste: Programul de testare de securitate trebuie să includă, cel puțin: (a) scanarea vulnerabilităților, constând în scanări automatizate săptămânale sau lunare ale rețelelor și aplicațiilor pentru identificarea vulnerabilităților cunoscute; (b) testarea de penetrare, constând în testare manuală aprofundată a unor sisteme sau aplicații specifice, realizată de testeri calificați, pentru identificarea punctelor slabe complexe; și (c) exerciții de red teaming, constând în simulări bazate pe scenarii ale unor atacuri reale, inclusiv inginerie socială și alte tactici, pentru testarea capabilităților de detecție și răspuns ale organizației în ansamblu.”
Aceeași politică impune planificarea periodică:
“Calendar de testare: Organizația trebuie să efectueze testare de securitate conform unui calendar periodic. Sistemele-cheie expuse la internet și aplicațiile interne critice trebuie să facă obiectul testării de penetrare cel puțin anual. Schimbările cu risc ridicat, cum ar fi implementarea unui nou sistem critic sau actualizările majore, necesită testare ad-hoc înainte și/sau la scurt timp după intrarea în producție.”
Acest aspect este critic pentru DORA. Un plan anual static nu este suficient dacă entitatea implementează un nou gateway de plăți, migrează un sistem de bază în cloud, schimbă un furnizor de servicii administrate sau lansează un nou flux de autentificare a clienților. Schimbările cu risc ridicat trebuie să declanșeze testare suplimentară.
Construiți catalogul anual de teste ca sursă unică de adevăr
Cea mai eficientă modalitate de a satisface DORA și ISO/IEC 27001:2022 este crearea unui singur catalog anual controlat de teste. Acesta poate fi administrat într-o platformă GRC, într-un flux de ticketing sau într-un fișier tabelar controlat. Formatul contează mai puțin decât trasabilitatea.
Fiecare test trebuie să răspundă la cinci întrebări de audit:
- Ce serviciu, activ, furnizor, aplicație sau proces a fost testat?
- Ce risc, obligație sau cerință de control a declanșat testul?
- Cine a autorizat și cine a efectuat testul?
- Ce constatări au fost identificate, acceptate, remediate sau amânate?
- Ce dovezi demonstrează că testul a avut loc și că rezultatul a fost revizuit?
Un catalog practic în stil Clarysec include următoarele câmpuri.
| Câmp | De ce contează pentru DORA și dovezile ISO |
|---|---|
| ID test | Creează trasabilitate între planuri, rapoarte, tichete și materialele pentru consiliu |
| Tip test | Distinge evaluarea de vulnerabilitate, testul de scenariu, testul de performanță, testul de penetrare sau exercițiul red team |
| Serviciu de business | Corelează testul cu reziliența serviciului și impactul asupra părților interesate |
| Funcție critică sau importantă | Susține proporționalitatea și prioritizarea DORA |
| Active și date TIC | Conectează testul la inventarul activelor, clasificarea datelor și impactul GDPR |
| Dependențe de terți TIC | Arată dacă sunt incluși furnizori, platforme cloud sau servicii administrate |
| Declanșator | Calendar anual, schimbare cu risc ridicat, lecție învățată din incident, constatare de audit sau cerință de reglementare |
| Mapare controale | Leagă testul de ISO/IEC 27001:2022 Annex A, tratarea riscurilor și Zenith Controls |
| Proprietar | Atribuie responsabilitatea pentru planificare și remediere |
| Independența testerului | Arată modelul de revizuire internă, externă sau independentă |
| Locația dovezilor | Împiedică dispersarea dovezilor de audit în mai multe instrumente |
| Constatări și severitate | Creează responsabilitate pentru remediere |
| Stadiul retestării | Arată închiderea, atenuarea sau acceptarea riscului rezidual |
| Data raportării către management | Demonstrează supravegherea și îmbunătățirea continuă |
Politica de audit și monitorizare a conformității-sme - SME a Clarysec oferă o regulă concisă de guvernanță care se potrivește acestei structuri:
“Fiecare audit trebuie să includă un domeniu de aplicare definit, obiective, personal responsabil și dovezi necesare.”
Deși este formulată pentru audituri, aceeași regulă trebuie aplicată testelor de reziliență. Dacă o scanare de vulnerabilitate, un exercițiu tabletop, o simulare de failover sau un test de penetrare nu are domeniu de aplicare, obiectiv, proprietar și dovezi necesare definite, va fi slabă atât în fața DORA, cât și în cadrul auditului ISO.
Aceeași politică precizează:
“Dovezile trebuie păstrate cel puțin doi ani sau mai mult atunci când acest lucru este cerut de certificări sau de acordurile cu clienții.”
Pentru entitățile financiare și furnizorii TIC reglementați de DORA, doi ani trebuie tratați ca prag minim. Obligațiile contractuale, așteptările de supraveghere, ciclurile de certificare și investigațiile incidentelor pot impune perioade de păstrare mai lungi.
Mapați tipurile de teste DORA la dovezile ISO 27001
Puterea unui program integrat constă în faptul că un singur test poate satisface mai multe obligații. Esențial este ca dovezile să fie etichetate corect și conectate la SMSI.
Zenith Blueprint explică acest lucru în faza Audit, revizuire și îmbunătățire, pasul 24:
“Declarația de aplicabilitate trebuie să fie consecventă cu Registrul de riscuri și Planul de tratament al riscurilor. Verificați încă o dată că fiecare control ales ca tratament al riscului este marcat ca „Aplicabil” în Declarația de aplicabilitate.”
Pentru un program de testare DORA, catalogul de teste devine puntea dintre tratarea riscurilor și dovezile operaționale. Declarația de aplicabilitate nu trebuie să afirme că un control se aplică în timp ce dovezile de testare se află în altă parte, nemapate și negestionate.
| Tip de test DORA | Reper ISO/IEC 27001:2022 Annex A | Conexiune | Artefacte de dovezi ISO | Politică sau toolkit Clarysec |
|---|---|---|---|---|
| Evaluare de vulnerabilitate | 8.8 Managementul vulnerabilităților tehnice | Identifică, evaluează, prioritizează și remediază punctele slabe cunoscute | Rapoarte de scanare, ratinguri de risc, tichete, registre ale patch-urilor, excepții, înregistrări ale retestării | Vulnerability and Patch Management Policy-sme - SME |
| Testare de penetrare | 5.35 Revizuirea independentă a securității informațiilor | Oferă evaluare independentă a eficacității controalelor și a exploitabilității | Domeniu de aplicare, propunere, autorizare, reguli de angajament, raport final, plan de remediere, raport de retestare | Security Testing and Red-Teaming Policy |
| Testare de performanță și capacitate | 8.6 Managementul capacității | Validează performanța, capacitatea, pragurile și ipotezele de creștere | Rapoarte de încărcare, tablouri de bord, planuri de capacitate, incidente de performanță, acțiuni de scalare | Mapare Zenith Controls și proceduri operaționale |
| Testare bazată pe scenarii | 5.30 Pregătirea TIC pentru continuitatea activității | Validează răspunsul, recuperarea, escaladarea și aranjamentele de continuitate | Scripturi tabletop, planuri de failover, jurnale ale participanților, lecții învățate, acțiuni de îmbunătățire | Business Continuity Policy and Disaster Recovery Policy-sme - SME |
| Testare la lansarea aplicațiilor | 8.29 Testarea securității în dezvoltare și acceptare | Verifică securitatea înainte de implementare și după schimbări cu risc ridicat | Cazuri de testare, aprobare de securitate, defecte, aprobări de lansare, dovezi de retestare | Application Security Requirements Policy-sme - SME |
| Testare de audit protejată | 8.34 Protecția sistemelor informaționale în timpul testării de audit | Previne perturbările neautorizate sau expunerile cauzate de teste | Înregistrări de aprobare, ferestre de testare, contacte de urgență, controale de acces, planuri de revenire | Zenith Blueprint pasul 21 și Security Testing and Red-Teaming Policy |
Acest tabel ajută un CISO să răspundă la întrebarea frecventă a CEO: „Sunt suficiente pentru DORA testele noastre ISO de penetrare și scanările de vulnerabilitate?”
Răspunsul este: pot face parte din conformitatea DORA, dar numai dacă sunt bazate pe risc, legate de funcții critice sau importante, guvernate prin politică, urmărite până la remediere și raportate managementului.
Evaluările de vulnerabilitate: dovezi continue, nu doar rezultate de scanare
Evaluarea de vulnerabilitate este adesea cea mai ușor de executat activitate de testare și cea mai ușor de gestionat greșit. Multe organizații pot produce rapoarte de scanare. Mai puține pot dovedi că scanările acoperă activele potrivite, prioritizează serviciile critice, generează remediere la timp și alimentează deciziile de tratare a riscurilor.
Politica de management al vulnerabilităților și al patch-urilor-sme - SME a Clarysec începe cu obiectivul corect:
“Identificarea și evaluarea vulnerabilităților cunoscute la nivelul tuturor activelor IT într-un mod prompt și consecvent”
Pentru DORA, aceasta susține identificarea surselor de risc TIC, menținerea unor sisteme reziliente și actualizate, monitorizarea, detectarea anomaliilor și îmbunătățirea continuă. Pentru ISO/IEC 27001:2022, se mapează direct la 8.8 Managementul vulnerabilităților tehnice și se bazează, de asemenea, pe 5.9 Inventarul informațiilor și al altor active asociate, 8.16 Activități de monitorizare și 8.32 Managementul schimbărilor.
O înregistrare solidă a evaluării de vulnerabilitate trebuie să includă:
- instantaneul inventarului activelor utilizat pentru definirea domeniului de aplicare
- data scanării, instrumentul și metoda autentificată sau neautentificată
- excluderi și justificarea de business
- constatări după severitate, exploitabilitate și serviciu de business
- maparea la funcții critice sau importante și tipuri de date
- referințe la tichete și proprietarul de risc
- SLA de remediere și termen-limită
- rezultatul retestării
- excepții cu aprobarea riscului rezidual
Zenith Controls poziționează 8.8 Managementul vulnerabilităților tehnice ca zonă centrală de dovezi pentru identificare, evaluare, prioritizare și urmărirea remedierii. Arată, de asemenea, de ce auditorii vor testa procesele adiacente. Dacă inventarul activelor este incomplet, acoperirea vulnerabilităților este incompletă. Dacă managementul schimbărilor este ocolit, implementarea patch-urilor poate crea risc operațional nou. Dacă monitorizarea este slabă, tentativele de exploatare pot să nu fie detectate.
Testele de scenariu: dovediți procesul decizional înaintea incidentului real
Testele de scenariu sunt locul în care reziliența operațională devine vizibilă pentru executivi. Un tabletop de ransomware, o simulare de indisponibilitate a unei regiuni cloud, un exercițiu privind compromiterea accesului privilegiat sau un scenariu de eșec al unui furnizor TIC critic vor evidenția puncte slabe pe care o scanare nu le poate identifica.
Articolele 17-20 din DORA impun un ciclu de viață formal pentru incidentul legat de TIC: detectare, gestionare, notificare, înregistrare, monitorizare, tratare, urmărire, documentarea cauzei principale, remediere, clasificarea severității, atribuirea rolurilor, escaladarea incidentelor majore și raportarea prin etapele cerute. Atunci când interesele financiare ale clienților sunt afectate, clienții trebuie informați fără întârzieri nejustificate.
NIS2 are o urgență similară pentru entitățile din domeniul său de aplicare, inclusiv avertizare timpurie, notificare, raportare intermediară și raportare finală. Pentru entitățile financiare aflate în domeniu, DORA este actul juridic sectorial pentru obligațiile echivalente de management al riscurilor de securitate cibernetică și raportare. Furnizorii TIC, platformele SaaS, MSP și MSSP trebuie totuși să verifice dacă intră direct în domeniul NIS2 sau dacă sunt incluși contractual în mecanismele de asigurare DORA de către clienți reglementați.
Zenith Blueprint, faza Controale în acțiune, pasul 23, oferă modelul practic de dovezi:
“Selectați un eveniment recent sau desfășurați un exercițiu de tip tabletop pentru a valida planul. Capturați și înregistrați în jurnal toate deciziile, rolurile și comunicările (5.26) și actualizați planul cu lecțiile învățate (5.27).”
Un test de scenariu DORA trebuie să producă înregistrări verificabile, nu doar note de ședință:
- descrierea scenariului și obiectivele
- participanți și roluri, inclusiv Juridic, Comunicare, IT, SOC, proprietarul de business și contacte ale furnizorilor
- cronologia injectărilor și a deciziilor
- decizia de clasificare și analiza pragurilor de raportare
- proiecte de comunicări interne și externe
- acțiuni de conservare a dovezilor
- lecții învățate
- proprietari ai acțiunilor și termene-limită
- proceduri actualizate de incident, continuitate sau comunicare
Politica de continuitate a activității și politica de recuperare în caz de dezastru-sme - SME a Clarysec consolidează așteptarea privind testarea anuală:
“Organizația trebuie să testeze atât capabilitățile BCP, cât și capabilitățile DR cel puțin anual. Testele trebuie să includă:”
Catalogul de testare trebuie să transforme această obligație în exerciții specifice, cum ar fi tabletop de management al crizei, test de restaurare a backup-ului, test de failover în cloud, test al arborelui de contacte și simulare a perturbării unui furnizor.
Testele de performanță, capacitate și recuperare: dovezile de reziliență neglijate
Testarea de performanță este adesea tratată ca o preocupare de inginerie. În cadrul DORA, devine dovadă de reziliență.
O platformă de tranzacționare, un serviciu de plată, un sistem de daune, o platformă de identitate sau un portal pentru clienți nu are nevoie de un atac cibernetic pentru a afecta clienții. Epuizarea capacității, saturarea cozilor, blocajele bazelor de date, autoscaling configurat greșit sau failover defect pot produce aceeași perturbare operațională ca un incident de securitate.
ISO/IEC 27001:2022 Annex A 8.6 Managementul capacității este reperul principal. Dovezile pot include testare la încărcare, testare de stres, testare a degradării serviciului, validarea pragurilor de infrastructură, teste de restaurare a backup-urilor și simulări de failover.
O înregistrare bună a testului de performanță și capacitate trebuie să captureze:
- ipoteze privind încărcarea normală de referință și încărcarea de vârf
- parcursuri critice de tranzacție testate
- limite de infrastructură și cloud testate
- tablouri de bord de monitorizare și praguri de alertare
- moduri de eșec, cum ar fi saturarea cozilor sau blocajele bazelor de date
- relevanța RTO și RPO atunci când este testat failover-ul sau recuperarea
- impactul asupra businessului dacă pragurile sunt depășite
- acțiuni de remediere, decizii de scalare sau schimbări de arhitectură
- acceptarea de către management a riscului rezidual de capacitate
Zenith Blueprint, pasul 23, conectează așteptările de recuperare cu dovezile:
“Verificați dacă obiectivele privind timpul de recuperare (RTO) și obiectivele privind punctul de recuperare (RPO) pentru sistemele critice sunt aliniate cu așteptările privind continuitatea activității (5.30). Efectuați cel puțin un test tehnic de recuperare sau o simulare de failover și documentați rezultatele.”
Aceasta este diferența dintre a spune „avem backup-uri” și a dovedi că un serviciu critic a fost restaurat în toleranța agreată, cu rezultate documentate și vizibilitate la nivel de management.
Testarea de penetrare și red teaming: dovezile puternice necesită control puternic
Testarea de penetrare este o dovadă foarte valoroasă, dar implică și risc operațional. Testarea guvernată necorespunzător poate afecta sistemele de producție, expune date sensibile, declanșa alarme necontrolate, crea probleme juridice sau perturba clienții.
Politica privind cerințele de securitate a aplicațiilor-sme - SME stabilește o poartă clară pentru lansare:
“Înainte de implementare, toate aplicațiile trebuie să fie supuse testării de securitate pentru a verifica caracteristicile de bază enumerate mai sus.”
Pentru aplicațiile critice, aceasta trebuie să alimenteze catalogul DORA ca testare de securitate în preproducție, validare după intrarea în producție pentru schimbări cu risc ridicat și testare de penetrare periodică pe baza expunerii și criticității.
Security Testing and Red-Teaming Policy consolidează lanțul de remediere:
“Remedierea constatărilor: Toate vulnerabilitățile sau punctele slabe identificate trebuie documentate într-un raport de constatări cu ratinguri de severitate. La primirea raportului, proprietarii de sistem sunt responsabili pentru crearea unui plan de remediere cu termene-limită; de exemplu, constatările critice trebuie remediate în termen de 30 de zile, iar constatările de severitate ridicată în termen de 60 de zile, în conformitate cu Politica organizației de management al vulnerabilităților și al patch-urilor. STC trebuie să urmărească progresul remedierii. Retestarea trebuie efectuată pentru a confirma că problemele critice au fost rezolvate sau atenuate în mod adecvat.”
Aceeași politică definește așteptările de raportare:
“Raportare: La încheierea fiecărui test trebuie emis un raport formal. Pentru testarea de penetrare, raportul trebuie să includă un rezumat executiv, metodologia și constatări detaliate cu dovezi suport și recomandări.”
Zenith Blueprint, pasul 21, evidențiază și protecția în timpul auditului și testării:
“Niciun test sau audit nu trebuie să înceapă fără aprobarea documentată a proprietarilor de sistem sau a părților interesate relevante.”
Regulile de angajament, ferestrele de testare, contactele de urgență, accesul temporar, gestionarea datelor, jurnalizarea, procedurile de revenire și aprobările juridice nu sunt birocrație. Sunt măsuri de protecție a rezilienței.
Includeți furnizorii terți TIC înainte ca testul să eșueze
DORA transformă riscul asociat terților TIC într-o temă centrală de reziliență. Articolul 28 impune entităților financiare să gestioneze riscul asociat terților TIC în cadrul de management al riscurilor TIC, să rămână responsabile atunci când utilizează servicii TIC, să mențină un registru de informații, să raporteze anumite aranjamente, să efectueze evaluări precontractuale și să utilizeze furnizori care îndeplinesc standarde adecvate de securitate a informațiilor. Articolele 29 și 30 abordează riscul de concentrare, subcontractarea, recuperarea datelor, protecțiile contractuale, nivelurile de serviciu, asistența în caz de incident, drepturile de audit, testarea planurilor de continuitate ale furnizorilor, participarea la testare atunci când este relevant și aranjamentele de ieșire.
ISO/IEC 27001:2022 Annex A oferă controale de suport privind furnizorii, inclusiv 5.19 Securitatea informațiilor în relațiile cu furnizorii, 5.20 Abordarea securității informațiilor în acordurile cu furnizorii, 5.21 Managementul securității informațiilor în lanțul de aprovizionare TIC, 5.22 Monitorizarea, revizuirea și managementul schimbărilor serviciilor furnizorilor și 5.23 Securitatea informațiilor pentru utilizarea serviciilor cloud.
Un catalog de teste DORA trebuie să identifice testele care necesită participarea furnizorilor sau dovezi privind furnizorii. Exemplele includ:
- ipoteze de failover ale furnizorului cloud
- escaladarea și conservarea dovezilor de către SOC administrat
- comunicarea incidentelor pentru platforma core banking
- scenariu de indisponibilitate a procesatorului de plăți
- test de recuperare al furnizorului de identitate
- atestări ale testării de penetrare ale furnizorului SaaS
- evaluarea impactului lanțului de subcontractori critici
Un program care exclude furnizorii TIC critici va eșua testul realității. Serviciul destinat clienților poate fi al organizației, dar dependența de reziliență poate fi într-o regiune cloud, într-un SOC externalizat, la un furnizor de identitate, un furnizor de software, un procesator de plăți sau un centru de date.
Mapare de conformitate transversală: un set de dovezi, multe obligații
Un program DORA de testare bine proiectat reduce oboseala de audit. Aceleași dovezi pot susține DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 și revizuiri de guvernanță COBIT 2019 dacă sunt etichetate, păstrate și raportate corespunzător.
| Element de dovadă | Relevanță DORA | Relevanță ISO/IEC 27001:2022 | Relevanță pentru conformitate transversală |
|---|---|---|---|
| Catalog anual de teste | Guvernanța și proporționalitatea testării rezilienței operaționale digitale | Planificare operațională, tratarea riscurilor și revizuire de management | Profiluri NIST CSF și GOVERN, guvernanță COBIT și revizuire a performanței |
| Scanare de vulnerabilitate și remediere | Identificarea surselor de risc TIC și sisteme reziliente | 8.8 Managementul vulnerabilităților tehnice și dovezi de tratare | Gestionarea vulnerabilităților NIS2, rezultate NIST CSF ID.RA și DE.CM |
| Tabletop de incident | Clasificarea incidentului, escaladare, comunicare și pregătire pentru raportare | Planificarea incidentelor, răspuns, lecții învățate și colectarea dovezilor | Alinierea raportării incidentelor NIS2, suport pentru decizia privind încălcarea securității datelor în GDPR |
| Test de restaurare a backup-ului | Continuitate și recuperare pentru funcții critice | 5.30 Pregătirea TIC pentru continuitatea activității și dovezi de testare a backup-ului | Rezultate NIST CSF RECOVER, dovezi contractuale de reziliență pentru clienți |
| Test de capacitate | Reziliență sub sarcină și continuitatea serviciului | 8.6 Managementul capacității și monitorizare operațională | Mecanisme de reziliență NIST CSF PR.IR, guvernanța nivelului de serviciu |
| Test de penetrare | Eficacitatea controalelor de securitate și validarea căilor de atac | 5.35 Revizuirea independentă a securității informațiilor și acțiune corectivă | Asigurare privind furnizorii, raportare către consiliu, verificare prealabilă a clienților |
GDPR nu trebuie uitat. Dacă testele de reziliență implică date cu caracter personal, jurnale, înregistrări despre clienți, date de identitate, înregistrări HR, elemente biometrice sau categorii speciale de date, organizația trebuie să respecte principiile GDPR, inclusiv legalitatea, echitatea, transparența, minimizarea datelor, limitarea stocării, integritatea, confidențialitatea și responsabilitatea. Copiile de date de test, jurnalele exportate și dovezile de testare de penetrare pot deveni depozite de date reglementate. Programul de testare trebuie să definească cine le poate accesa, cât timp sunt păstrate și cum sunt eliminate în mod securizat.
Cum vor testa auditorii același program
Un supraveghetor DORA, un auditor ISO, un evaluator bazat pe NIST, un revizor COBIT și un auditor al clientului pot examina aceleași dovezi prin lentile diferite.
| Lentila auditorului | Întrebare probabilă de audit | Dovezi așteptate |
|---|---|---|
| Supraveghetor DORA | Este testarea bazată pe risc, proporțională, guvernată și corelată cu funcții critice sau importante? | Catalog anual de teste aprobat, maparea funcțiilor critice, raportare către organul de conducere, stadiul remedierilor, participarea terților |
| Auditor ISO/IEC 27001:2022 | Susține testarea evaluarea riscurilor din SMSI, Declarația de aplicabilitate, tratarea riscurilor și controalele operaționale? | Registrul de riscuri, mapare SoA, planuri de testare, rapoarte, acțiuni corective, dovezi păstrate, date de intrare pentru revizuirea de management |
| Evaluator NIST CSF | Trece organizația de la postura curentă la postura-țintă prin planuri de acțiune prioritizate? | Profil curent și profil-țintă, analiza lacunelor, POA&M, înregistrări ale vulnerabilităților, dovezi de monitorizare și răspuns |
| Auditor COBIT sau ISACA | Funcționează eficace obiectivele de guvernanță, deținerea controalelor, metricile de performanță și activitățile de asigurare? | RACI, KPI, KRI, rezultate ale testării controalelor, jurnale de probleme, aprobări ale managementului și dovezi de revizuire independentă |
| Auditor al clientului | Poate furnizorul să dovedească reziliența operațională pentru serviciile contractate? | Rapoarte de testare specifice serviciului, dovezi SLA, proces de suport în caz de incident, asigurare privind furnizorii, dovezi de ieșire și continuitate |
Zenith Controls este util aici ca busolă de conformitate transversală. Pentru testarea DORA, Clarysec evidențiază 5.35 Revizuirea independentă a securității informațiilor, 8.8 Managementul vulnerabilităților tehnice și 8.6 Managementul capacității ca repere deosebit de importante din ISO/IEC 27001:2022 Annex A. Acestea ajută proprietarii de control să conecteze testarea la asigurarea independentă, gestionarea vulnerabilităților și capacitatea operațională.
Politica de securitate a informației a Clarysec susține, de asemenea, pista de audit:
“Proprietarii de control trebuie să păstreze rezultatele testelor, jurnalele și înregistrările revizuirilor pentru a susține auditurile periodice.”
Această propoziție trebuie să devină o regulă operațională. Fiecare proprietar de test trebuie să știe ce trebuie păstrat, unde trebuie păstrat, cum trebuie protejat și cum se leagă de riscuri și de dovezile controalelor.
Construiți un pachet de dovezi DORA-ISO într-o săptămână
O entitate financiară sau un furnizor TIC poate face progrese semnificative în cinci zile lucrătoare.
Ziua 1: Definiți domeniul de aplicare și criticitatea
Folosiți logica ISO/IEC 27001:2022 din clauzele 4.1-4.4. Identificați părțile interesate, obligațiile de reglementare, obligațiile contractuale, interfețele și dependențele. Listați serviciile de business, funcțiile critice sau importante, activele-cheie, tipurile de date și furnizorii TIC.
Rezultat: registru al domeniului de aplicare pentru testarea DORA.
Ziua 2: Creați catalogul anual de teste
Utilizați cele patru familii de teste: vulnerabilitate, scenariu, performanță și penetrare. Pentru fiecare serviciu, definiți ce teste se aplică, frecvența, proprietarul, nivelul de independență și declanșatorul. Includeți declanșatoare pentru schimbări cu risc ridicat.
Rezultat: catalogul de testare a rezilienței operaționale digitale pentru 2026.
Ziua 3: Mapați controalele și obligațiile
Mapați fiecare test la ISO/IEC 27001:2022 Annex A, Registrul de riscuri, SoA, articolele DORA, obligațiile furnizorilor și intrările relevante din Zenith Controls. De exemplu, scanările externe lunare de vulnerabilitate se mapează la 8.8 Managementul vulnerabilităților tehnice, tratarea riscurilor, monitorizare, managementul riscurilor TIC DORA și rezultatele NIST CSF privind vulnerabilitățile.
Rezultat: matrice de mapare a controalelor.
Ziua 4: Standardizați folderele de dovezi
Creați o structură controlată de dovezi:
- 01 Plan și autorizare
- 02 Domeniu de aplicare și reguli de angajament
- 03 Rezultate brute
- 04 Raport final
- 05 Registru de constatări
- 06 Tichete de remediere
- 07 Dovezi de retestare
- 08 Raportare către management
- 09 Lecții învățate și actualizări de politici
Rezultat: depozit de dovezi cu reguli de păstrare.
Ziua 5: Revizuiți constatările și raportarea
Consolidați constatările deschise după severitate, serviciu, proprietar de risc și termen-limită. Identificați remedierile restante, riscurile acceptate și lacunele de retestare. Pregătiți un tablou de bord pentru organul de conducere care arată acoperirea testării, constatările majore, acțiunile restante, problemele legate de terți și riscul rezidual.
Rezultat: tablou de bord DORA și ISO privind testarea, pregătit pentru consiliu.
Capcane frecvente ale programelor de testare DORA
Cel mai frecvent eșec nu este lipsa testării. Este lipsa guvernanței.
Urmăriți aceste probleme:
- teste de penetrare efectuate anual, dar constatări neurmărite până la închidere
- scanări de vulnerabilitate rulate frecvent, dar active critice lipsă din domeniul de aplicare
- exerciții tabletop desfășurate, dar fără jurnal decizional sau plan de acțiune pentru lecțiile învățate
- teste de restaurare a backup-ului finalizate, dar nemapate la RTO și RPO
- teste de încărcare rulate de inginerie, dar neraportate către risc sau conformitate
- furnizori TIC excluși din testele de scenariu și recuperare
- dovezi stocate în foldere personale, fire de discuție sau unități negestionate
- rapoarte către consiliu axate pe numărul de activități, nu pe riscul de reziliență nerezolvat
- SoA afirmă că un control se aplică, dar nu există dovezi de testare
- testarea creează risc în producție deoarece autorizarea și limitele sunt neclare
Fiecare lacună poate fi rezolvată. Soluția nu constă în testare aleatorie suplimentară. Soluția este un singur program controlat, care leagă riscul, activitatea de testare, remedierea, dovezile și supravegherea managementului.
Ce ar trebui să vadă, de fapt, consiliul
DORA face din reziliența TIC o responsabilitate a organului de conducere. Un raport util către consiliu nu trebuie să includă fiecare constatare tehnică. Trebuie să răspundă dacă organizația este suficient de rezilientă în raport cu apetitul la risc și toleranța la perturbări.
Un raport trimestrial sau semestrial solid include:
- acoperirea testării față de funcțiile critice sau importante
- teste finalizate versus teste planificate
- constatări critice și ridicate pe serviciu
- remedieri restante pe proprietar
- rata de promovare a retestării
- constatări legate de furnizori și preocupări de concentrare
- lecții din testele de scenariu care afectează planurile de criză sau de incident
- riscuri de capacitate față de creșterea businessului și perioadele de vârf
- riscuri reziduale care necesită acceptarea managementului
- constrângeri de buget, resurse sau instrumente
Acest raport devine intrare pentru revizuirea de management ISO, dovadă de guvernanță DORA și instrument practic de decizie.
De la teste dispersate la reziliență strategică
Problema inițială a CISO nu era absența testării. Organizația avea scanări, tabletop-uri, rapoarte de încărcare și PDF-uri de testare de penetrare. Problema era că aceste activități nu spuneau încă o poveste coerentă a dovezilor.
Un program unificat de testare DORA și ISO/IEC 27001:2022 schimbă acest lucru. Evaluarea riscurilor conduce catalogul. Catalogul conduce testarea autorizată. Testarea produce constatări. Constatările conduc remedierea și retestarea. Rezultatele alimentează raportarea către management. Lecțiile învățate actualizează politici, proceduri, contracte și controale.
Așa se transformă o sarcină de conformitate într-o capabilitate strategică.
Clarysec ajută organizațiile să evite programele paralele de conformitate. DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 și COBIT 2019 nu au nevoie de universuri separate de dovezi. Au nevoie de un singur model operațional guvernat, care poate fi prezentat prin lentile de audit diferite.
Abordarea noastră combină:
- Zenith Blueprint pentru implementare ISO etapizată și pregătire pentru audit
- Zenith Controls pentru mapare de conformitate transversală între controale, cadre și așteptări de audit
- politici enterprise și SME pentru testare de securitate, monitorizare de audit, managementul vulnerabilităților, securitatea aplicațiilor, continuitate și securitatea informației
- registre practice, structuri de dovezi și șabloane de raportare către management
Dacă dovezile tale de testare DORA pentru 2026 sunt dispersate între instrumente de scanare, foldere de inginerie, note tabletop și PDF-uri de testare de penetrare, acum este momentul să le consolidezi.
Începe cu un singur catalog anual de teste mapat la tratarea riscurilor ISO/IEC 27001:2022, SoA, funcții critice sau importante, terți TIC și raportare către management. Apoi utilizează Zenith Blueprint, Zenith Controls și toolkitul de politici Clarysec pentru a transforma acel catalog în dovezi de audit robuste și defensabile.
Clarysec te poate ajuta să proiectezi programul, să mapezi controalele, să structurezi pachetul de dovezi și să pregătești raportul de reziliență la nivel de consiliu înainte ca următoarea solicitare de supraveghere să ajungă.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
