Ce este un control compensatoriu pentru criptarea datelor în repaus?

Un control compensatoriu este o măsură alternativă de securitate utilizată atunci când controlul principal, cum ar fi criptarea datelor în repaus, nu este fezabil. Acesta trebuie să ofere un nivel comparabil de protecție prin tratarea acelorași riscuri, cum ar fi confidențialitatea datelor în cazul pierderii sau furtului unui mediu de stocare. Exemplele includ prevenirea pierderilor de date (DLP), controale stricte de acces și mascarea datelor.

Sunt controalele compensatorii acceptate de auditori pentru cadre precum ISO/IEC 27001:2022?

Da, auditorii acceptă controale compensatorii bine documentate și eficiente. Aceștia se vor aștepta să vadă o evaluare formală a riscurilor care justifică necesitatea controlului, dovezi că acesta este aplicat consecvent (de exemplu, jurnale, rapoarte) și dovezi că atenuează eficace riscul inițial. Esențial este să demonstrați o abordare matură, bazată pe risc, nu doar o justificare pentru o lacună de control.

Cum se raportează controalele compensatorii la conformitatea cu GDPR?

GDPR Article 32 impune «măsuri tehnice și organizatorice adecvate» pentru protejarea datelor cu caracter personal. Deși criptarea este o măsură recomandată, nu este obligatorie în mod absolut în toate situațiile. Dacă criptarea datelor în repaus nu este posibilă, un set robust de controale compensatorii, precum pseudonimizarea, mascarea datelor și monitorizarea strictă a accesului, poate ajuta la demonstrarea diligenței necesare și la îndeplinirea cerinței de asigurare a unui nivel adecvat de securitate.

Care sunt cele mai frecvente capcane la implementarea controalelor compensatorii?

Capcanele frecvente includ documentarea deficitară, lipsa acceptării formale a riscului de către conducerea organizației, implementarea unor controale care nu acoperă toți vectorii de amenințare (de exemplu, omiterea serviciilor de sincronizare în cloud) și neglijarea testării periodice a eficacității acestora. Un control care există doar pe hârtie nu oferă protecție reală și nu va satisface cerințele unui auditor.

Poate prevenirea pierderilor de date (DLP) să înlocuiască într-adevăr criptarea datelor în repaus?

DLP nu înlocuiește criptarea, dar poate fi un control compensatoriu puternic. Criptarea face datele ilizibile dacă sunt furate. DLP urmărește să prevină furtul datelor încă de la început, prin monitorizarea și blocarea transferurilor neautorizate de date. În combinație cu alte straturi, precum controalele stricte de acces și securitatea fizică, creează o apărare solidă care poate oferi un nivel de protecție comparabil cu criptarea pentru cazuri de utilizare specifice și documentate.

NIS2 DORA GDPR NIST COBIT 2019

Criptarea datelor în repaus nu este posibilă? Ghid pentru CISO privind controalele compensatorii robuste

Editorii Clarysec

November 25, 2025

18 min read

#Managementul riscurilor #Audit #SMSI #Protecția datelor #Controale compensatorii

Diagramă de flux care ilustrează procesul în 3 etape al CISO pentru implementarea controalelor compensatorii pentru criptarea datelor în repaus, incluzând evaluarea riscurilor, apărări stratificate (DLP, mascarea datelor, controlul accesului) și documentație de audit pentru cadrele ISO 27001, GDPR și NIST.

Constatarea auditorului a ajuns pe biroul lui Sarah Chen, CISO, cu un impact familiar. O bază de date veche, critică și generatoare de venituri, aflată în centrul operațional al liniei de producție a companiei, nu putea suporta criptarea modernă a datelor în repaus. Arhitectura sa de bază avea deja un deceniu, iar furnizorul încetase de mult să mai livreze actualizări de securitate. Auditorul a semnalat-o, pe bună dreptate, ca risc major. Recomandarea: „Criptați toate datele sensibile în repaus utilizând algoritmi standard în industrie.”

Pentru Sarah, aceasta nu era doar o problemă tehnică; era o criză de continuitate a activității. Modernizarea sistemului ar fi însemnat luni de indisponibilitate și costuri de milioane, o opțiune inacceptabilă pentru consiliul de administrație. Dar menținerea necriptată a unui volum important de proprietate intelectuală sensibilă reprezenta un risc inacceptabil și o abatere clară de la sistemul de management al securității informației (SMSI).

Acesta este contextul real al securității cibernetice, unde soluțiile perfecte sunt rare, iar conformitatea nu poate fi suspendată. Se întâmplă atunci când copii de siguranță critice sunt stocate pe sisteme vechi, când un furnizor SaaS esențial invocă „limitări tehnice” sau când aplicațiile de înaltă performanță cedează sub impactul costului operațional al criptării. Răspunsul din manual, „criptați pur și simplu”, se lovește frecvent de realitatea operațională.

Ce se întâmplă, așadar, când controlul principal prevăzut nu poate fi aplicat? Nu acceptați pur și simplu riscul. Construiți o apărare mai inteligentă și mai rezilientă folosind controale compensatorii. Nu este vorba despre scuze; este vorba despre demonstrarea unui management matur al securității, bazat pe risc, capabil să reziste celei mai exigente examinări de audit.

De ce criptarea datelor în repaus este o cerință cu miză ridicată

Criptarea datelor în repaus este un control fundamental în toate cadrele moderne de securitate, inclusiv ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA și NIST SP 800-53 SC-28. Scopul său este simplu, dar critic: să facă datele stocate ilizibile dacă apărările fizice sau logice eșuează. O bandă de backup pierdută sau un server furat care conține date necriptate nu reprezintă doar o eroare tehnică; adesea constituie o încălcare a securității datelor care trebuie notificată conform legii.

Riscurile sunt clare și semnificative:

furtul sau pierderea mediilor portabile, precum unități USB și benzi de backup;
expunerea datelor de pe dispozitive neadministrate, uitate sau vechi;
imposibilitatea de a aplica criptarea nativă la nivel de disc sau bază de date în contexte specifice SaaS, cloud, OT sau sisteme vechi;
riscuri privind recuperarea datelor dacă cheile de criptare sunt pierdute sau gestionate necorespunzător.

Aceste cerințe nu sunt doar tehnice; sunt obligații legale. GDPR Article 32 și DORA Articles 5 și 10 recunosc explicit criptarea ca „măsură tehnică adecvată”. NIS2 o tratează ca bază pentru asigurarea integrității sistemelor și informațiilor. Când această apărare principală nu este fezabilă, sarcina probei revine organizației, care trebuie să demonstreze că măsurile alternative sunt la fel de eficiente.

De la o singură bifă la o apărare stratificată

Reacția instinctivă la o constatare de audit precum cea a lui Sarah este adesea panica. Însă un SMSI bine structurat anticipează aceste situații. Primul pas al lui Sarah nu a fost să sune echipa de infrastructură; a fost să deschidă Politica privind controalele criptografice a organizației, un document construit pe baza șabloanelor enterprise Clarysec. A mers direct la clauza care oferea fundamentul strategiei sale.

Conform Politicii privind controalele criptografice, Secțiunea 7.2.3 descrie explicit procesul de definire a:

„controalelor compensatorii specifice care trebuie aplicate”

Această clauză este un instrument esențial pentru CISO. Ea recunoaște că o abordare universală a securității este defectuoasă și oferă o cale aprobată pentru tratarea riscului. Politica nu funcționează izolat. După cum se precizează în clauza 10.5, aceasta este legată direct de Politica de clasificare și etichetare a datelor, care „definește nivelurile de clasificare (de exemplu, Confidențial, Date reglementate) ce declanșează cerințe specifice de criptare”.

Această legătură este critică. Datele din baza de date veche erau clasificate ca „Confidențial”, motiv pentru care lipsa criptării a fost semnalată. Misiunea lui Sarah era acum clară: să construiască un set de controale compensatorii suficient de robust încât să reducă riscul de expunere până la un nivel acceptabil.

Proiectarea unei strategii defensabile cu Zenith Blueprint

Criptarea este o piatră de temelie a securității moderne, însă, așa cum explică Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec la Pasul 21, Controlul 8.24 Utilizarea criptografiei nu înseamnă pur și simplu „activarea criptării”. În schimb, este vorba despre „integrarea criptografiei în proiectarea, politica și managementul ciclului de viață al organizației”.

Când o parte a proiectării (baza de date veche) eșuează, componentele de politică și ciclu de viață trebuie să compenseze. Echipa lui Sarah a folosit acest cadru pentru a proiecta o apărare pe mai multe niveluri, concentrată pe prevenirea ieșirii datelor din containerul lor securizat, chiar dacă necriptat.

Control compensatoriu 1: Prevenirea pierderilor de date (DLP)

Dacă nu puteți cripta datele acolo unde se află, trebuie să vă asigurați că acestea nu pot părăsi mediul. Echipa lui Sarah a implementat o soluție de prevenire a pierderilor de date (DLP) care să acționeze ca un gardian digital. Nu era o simplă regulă de rețea; era un control sofisticat, sensibil la conținut.

Folosind Zenith Controls: ghidul de conformitate încrucișată de la Clarysec, echipa a configurat sistemul DLP pe baza îndrumărilor pentru controlul ISO/IEC 27001:2022 8.12 Prevenirea scurgerii de date. Regulile au fost informate direct de 5.12 Classification of information. Orice date care corespundeau tiparelor informațiilor „Confidențial” din baza de date veche erau blocate automat la transfer prin e-mail, încărcări web sau chiar copiere și lipire în alte aplicații.

După cum explică Zenith Controls:

„Prevenirea pierderilor de date (DLP) depinde fundamental de clasificarea exactă a datelor. Controlul 5.12 asigură etichetarea datelor în funcție de sensibilitate… DLP este o formă specializată de monitorizare continuă, care vizează mișcarea datelor… 8.12 poate aplica politici de criptare pentru datele care părăsesc organizația, asigurând că, inclusiv atunci când datele sunt exfiltrate, acestea rămân ilizibile pentru părțile neautorizate.”

Acest control este recunoscut în mai multe cadre, fiind mapat la GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 și NIST SP 800-53 SI-4. Prin implementarea lui, echipa lui Sarah a creat o zonă de protecție puternică, asigurând că datele necriptate rămân izolate.

Control compensatoriu 2: Mascarea datelor pentru utilizarea în medii care nu sunt de producție

Unul dintre cele mai mari riscuri pentru datele din sisteme vechi este utilizarea lor în alte medii. Echipa de dezvoltare avea frecvent nevoie de date din sistemul de producție pentru a testa funcționalități noi ale aplicațiilor. Furnizarea directă a datelor confidențiale, necriptate, era exclusă.

Aici, Sarah a apelat la Pasul 20 din Zenith Blueprint, care acoperă 8.11 Data masking. Ghidul notează că auditorii vor întreba direct: „Folosiți vreodată date reale cu caracter personal în sistemele de testare? Dacă da, cum sunt protejate?”

Urmând aceste îndrumări, echipa lui Sarah a implementat o procedură strictă de mascare a datelor. Orice extras de date solicitat de echipa de dezvoltare trebuia să treacă printr-un proces automatizat care pseudonimiza sau anonimiza câmpurile sensibile. Numele clienților, formulele proprietare și metricile de producție au fost înlocuite cu date realiste, dar fictive. Acest singur control a eliminat o suprafață de risc semnificativă, asigurând că datele sensibile nu părăsesc niciodată mediul de producție strict controlat în forma lor originală.

Control compensatoriu 3: Controale fizice și logice consolidate

După tratarea scurgerii de date și a utilizării în medii care nu sunt de producție, ultimul strat de apărare s-a concentrat pe sistemul însuși. Plecând de la principiile 7.10 Storage media din Zenith Controls, echipa lui Sarah a tratat serverul fizic ca pe un activ cu nivel ridicat de securitate. Deși 7.10 este asociat adesea cu medii amovibile, principiile sale privind managementul ciclului de viață și securitatea fizică sunt pe deplin aplicabile.

După cum notează Zenith Controls pe acest subiect:

„ISO/IEC 27002:2022 oferă îndrumări cuprinzătoare în cadrul Clause 7.10 pentru gestionarea securizată a mediilor de stocare pe întreg ciclul lor de viață. Standardul recomandă organizațiilor să mențină un registru al tuturor mediilor amovibile…”

Aplicând această logică, serverul a fost mutat într-un rack dedicat și încuiat din centrul de date, accesibil doar pentru doi ingineri seniori nominalizați. Accesul fizic necesita semnare la intrare și era monitorizat prin CCTV. La nivel de rețea, serverul a fost plasat într-un VLAN segmentat pentru sisteme vechi. Regulile de firewall au fost configurate să blocheze implicit întreg traficul, cu o singură regulă explicită care permitea comunicarea doar de la serverul de aplicație desemnat, pe un port specific. Această izolare strictă a redus drastic suprafața de atac, făcând datele necriptate invizibile și inaccesibile.

În fața auditului: prezentarea unei strategii defensabile, din mai multe perspective

Când auditorul a revenit pentru auditul de urmărire, Sarah nu a prezentat scuze. A prezentat un plan complet de tratare a riscurilor, însoțit de documentație, jurnale și demonstrații în timp real ale controalelor compensatorii ale echipei sale. Un audit nu este un eveniment singular; este o conversație privită prin mai multe lentile, iar un CISO trebuie să fie pregătit pentru fiecare dintre ele.

Perspectiva auditorului ISO/IEC 27001: Auditorul a dorit să vadă eficacitatea operațională. Echipa lui Sarah a demonstrat sistemul DLP blocând un e-mail neautorizat, a arătat rularea scriptului de mascare a datelor și a furnizat jurnale de acces fizic corelate cu tichete de lucru.

Perspectiva GDPR și a protecției datelor: Auditorul a întrebat cum este aplicată minimizarea datelor. Sarah a prezentat scripturile automatizate pentru ștergerea securizată a datelor din cache și procesul de pseudonimizare pentru orice date care părăsesc sistemul de producție, aliniate cu GDPR Article 25 (protecția datelor începând cu momentul conceperii și în mod implicit). Cryptographic Controls Policy-sme atribuie explicit responsabilului cu protecția datelor (DPO) responsabilitatea de a „asigura alinierea controalelor de criptare cu obligațiile de protecție a datelor prevăzute la Article 32 din GDPR”.

Perspectiva NIS2/DORA: Această perspectivă se concentrează pe reziliența operațională. Sarah a prezentat rezultatele testelor de backup și restaurare pentru sistemul izolat și anexele de securitate ale furnizorului pentru software-ul vechi, demonstrând managementul proactiv al riscului, conform cerințelor NIS2 Article 21 și DORA Article 9.

Perspectiva NIST/COBIT: Un auditor care utilizează aceste cadre caută guvernanță și metrici. Sarah a prezentat registrul de riscuri actualizat, care arăta acceptarea formală a riscului rezidual (COBIT APO13). A mapat DLP la NIST SP 800-53 SI-4 (System Monitoring), segmentarea rețelei la SC-7 (Boundary Protection) și controalele de acces la AC-3 și AC-4, demonstrând că, deși SC-28 (Protection of Information at Rest) nu era îndeplinit direct, exista un set echivalent de controale.

Dovezi-cheie pentru auditori privind controalele compensatorii

Pentru a comunica eficient strategia, echipa lui Sarah a pregătit dovezi adaptate așteptărilor auditorilor.

Perspectivă de audit	Dovezi necesare	Test de audit uzual
ISO/IEC 27001	Înregistrări în registrul de riscuri, registrul excepțiilor de la politici, reguli DLP, inventare ale mediilor de stocare	Revizuirea jurnalelor de risc/excepții, solicitarea jurnalelor acțiunilor DLP; urmărirea ciclului de viață al mediilor.
GDPR	Proceduri de mascare a datelor, pregătire pentru notificarea încălcărilor, înregistrări privind ștergerea datelor	Revizuirea unor seturi de date eșantion (mascate vs. nemascate), testarea declanșatoarelor DLP, simularea unui scenariu de încălcare.
NIS2/DORA	Rezultatele testelor de backup/restaurare, evaluări de securitate ale furnizorilor, exerciții de răspuns la incidente	Simularea unei tentative de export al datelor; revizuirea proceselor de gestionare a backup-urilor; testarea controalelor DLP pe date critice.
NIST/COBIT	Jurnale tehnice de monitorizare, documentație privind integrarea politicilor, interviuri cu personalul	Simularea exfiltrării de date, compararea politicii cu procedura, intervievarea custozilor de date și a proprietarilor de sistem cheie.

Anticipând aceste perspective diferite, Sarah a transformat o potențială neconformitate într-o demonstrație a maturității securității.

Rezumat practic pentru următorul audit

Pentru a face strategia clară și defensabilă, echipa lui Sarah a creat un tabel de sinteză în planul de tratare a riscurilor. Este o abordare pe care orice organizație o poate adopta.

Risc	Control principal (nefezabil)	Strategie de controale compensatorii	Resursă Clarysec	Dovezi pentru auditor
Divulgarea neautorizată a datelor în repaus	Criptarea completă a discului (AES-256)	1. Prevenirea pierderilor de date (DLP): monitorizarea și blocarea tuturor tentativelor neautorizate de exfiltrare de date pe baza conținutului și contextului.	Zenith Controls (8.12)	Configurația politicii DLP, jurnale de alerte, proceduri de răspuns la incidente.
		2. Control strict al accesului logic: izolarea serverului într-o rețea segmentată cu reguli de firewall de tip „blocare implicită” și acces extrem de restricționat pentru conturile de serviciu.	Zenith Controls (8.3)	Diagrame de rețea, seturi de reguli de firewall, revizuirea drepturilor de acces ale utilizatorilor, politica privind credențialele conturilor de serviciu.
		3. Securitate fizică îmbunătățită: găzduirea serverului într-un rack dedicat, încuiat, cu acces fizic jurnalizat și monitorizat.	Zenith Controls (7.10)	Jurnale de acces în centrul de date, înregistrări CCTV, fișe de predare-primire a cheilor rack-ului.
Utilizarea datelor sensibile în medii care nu sunt de producție	Criptarea copiilor datelor de test	Mascarea datelor: implementarea unei proceduri formale pentru pseudonimizarea sau anonimizarea tuturor extraselor de date înainte de utilizarea în testare sau dezvoltare.	Zenith Blueprint (Pasul 20)	Document formal privind procedura de mascare a datelor, demonstrarea scripturilor de mascare, eșantion de set de date mascat.

Conformitate încrucișată pe scurt

O strategie solidă de controale compensatorii este defensabilă în toate cadrele majore. Zenith Controls de la Clarysec oferă maparea de corespondență pentru a asigura că apărările sunt înțelese și acceptate în mod uniform.

Cadru	Clauză/referință cheie	Cum sunt recunoscute controalele compensatorii
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Abordarea bazată pe risc permite controale alternative precum DLP, managementul mediilor de stocare și mascarea datelor, atunci când sunt justificate.
GDPR	Art. 5(1)(f), 25, 32	Impune măsuri tehnice „adecvate”; pseudonimizarea, controalele de acces și DLP pot îndeplini această cerință dacă criptarea nu este fezabilă.
NIS2	Art. 21, 23	Impune o abordare bazată pe risc; controalele stratificate, precum DLP, protecția backup-urilor și verificările furnizorilor, sunt tratamente valide ale riscurilor.
DORA	Art. 5, 9, 10, 28	Pune accent pe reziliența operațională; DLP, controlul accesului și jurnalizarea robustă sunt esențiale pentru protejarea datelor financiare, cu sau fără criptare.
NIST SP 800-53	SC-28, MP-2 to MP-7, AC-3/4, SI-4	Permite controale compensatorii; DLP (SI-4), restricțiile de acces (AC-3) și urmărirea mediilor (seria MP) pot trata riscurile datelor necriptate.
COBIT	DSS05, APO13, MEA03	Se concentrează pe guvernanță și măsurare; acceptarea documentată a riscului (APO13) și monitorizarea controalelor compensatorii (MEA03) demonstrează diligența necesară.

Concluzie: transformați cea mai slabă verigă într-un punct forte

Povestea bazei de date vechi care nu poate fi criptată nu este o poveste despre eșec. Este o poveste despre management matur și inteligent al riscurilor. Refuzând să accepte un răspuns simplu de tip „nu se poate”, echipa lui Sarah a transformat o vulnerabilitate semnificativă într-o demonstrație a capabilităților sale de apărare în profunzime. Au demonstrat că securitatea nu înseamnă bifarea unei singure căsuțe numite „criptare”. Înseamnă înțelegerea riscului și construirea unei apărări bine gândite, stratificate și verificabile pentru a-l atenua.

Organizația dumneavoastră va avea inevitabil propria versiune a acestei baze de date vechi. Când o identificați, nu o priviți ca pe un blocaj. Priviți-o ca pe o oportunitate de a construi un program de securitate mai rezilient și mai defensabil.

Sunteți pregătit să construiți propriul cadru de control solid și pregătit pentru audit? Începeți cu fundamentul potrivit.

Revizuiți ecosistemul de politici cu seturile complete de politici Clarysec.
Explorați The Zenith Blueprint: An Auditor’s 30-Step Roadmap pentru a vă ghida implementarea.
Utilizați Zenith Controls: The Cross-Compliance Guide pentru a vă asigura că apărările rezistă examinării din orice perspectivă.

Contactați Clarysec pentru un workshop adaptat sau pentru o evaluare completă de conformitate încrucișată. Pentru că, în peisajul de reglementare actual, pregătirea este singurul control care contează.

Referințe:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council