Configurații de referință securizate pentru NIS2 și DORA
Configurarea greșită de vineri după-amiază care a devenit o problemă pentru consiliul de administrație
La 16:40, într-o zi de vineri, managerul de inginerie al unei platforme fintech a aprobat ceea ce părea o modificare de rutină a firewall-ului. A fost deschisă o regulă temporară pentru depanarea unei integrări cu un furnizor de analiză a plăților. Tichetul menționa: „eliminați după testare”. Testul a trecut. Regula a rămas.
Trei săptămâni mai târziu, o scanare externă a identificat o interfață administrativă accesibilă din internet. Serverul avea patch-urile aplicate. MFA era implementată pentru utilizatorii obișnuiți. Scannerul de vulnerabilități nu a semnalat niciun CVE critic. Totuși, sistemul nu era securizat, deoarece configurația sa se abătuse de la starea hardenizată aprobată de organizație.
Până luni dimineață, directorul securității informației (CISO) avea patru discuții în paralel:
- Autoritatea de reglementare dorea să știe dacă reziliența operațională fusese afectată.
- Responsabilul cu protecția datelor dorea să știe dacă datele cu caracter personal fuseseră expuse.
- Consiliul de administrație dorea să știe de ce modificările „temporare” nu erau detectate.
- Auditorul intern ISO/IEC 27001:2022 solicita dovezi că configurațiile de referință securizate erau definite, aprobate, implementate și monitorizate.
Acesta este momentul în care multe programe de securitate descoperă un adevăr incomod. Configurarea securizată nu este doar o listă tehnică de hardening. În 2026, configurațiile de referință securizate sunt o problemă de guvernanță, de igienă cibernetică, de risc TIC, de dovezi de audit și de responsabilitate la nivelul consiliului de administrație.
O a doua versiune a aceleiași probleme apare în multe organizații reglementate. Maria, CISO al unui procesator B2B de plăți aflat în creștere, are ingineri competenți, sisteme actualizate cu patch-uri și bune practici cloud. Însă o evaluare a pregătirii pentru NIS2 și DORA evidențiază o constatare critică: lipsa unor configurații de referință securizate formalizate. Echipa ei știe cum să hardenizeze serverele, dar o mare parte din aceste cunoștințe se află în mintea inginerilor, nu în standarde aprobate, verificări automatizate sau pachete de dovezi.
Această lacună nu mai poate fi justificată. NIS2 impune organelor de conducere să aprobe și să supravegheze măsurile de management al riscurilor de securitate cibernetică. DORA impune un cadru documentat de management al riscurilor TIC și operațiuni TIC reziliente. GDPR impune măsuri tehnice și organizatorice adecvate. ISO/IEC 27001:2022 impune selectarea controalelor pe baza riscului, implementare, monitorizare, audit și îmbunătățire continuă.
Configurațiile de referință securizate conectează toate aceste obligații într-un sistem practic de control: definiți configurația de referință, atribuiți responsabilitatea, aplicați-o la provisioning, guvernați excepțiile, detectați abaterile de la configurația de referință, furnizați dovezi și îmbunătățiți după audituri sau incidente.
Așa cum formulează Zenith Blueprint: Foaia de parcurs în 30 de pași a auditorului de la Clarysec în faza Controale în acțiune, pasul 19, Controale tehnologice I:
„Multe încălcări nu apar din defecte software, ci din alegeri slabe de configurare. Parole implicite lăsate neschimbate, servicii nesigure activate, porturi inutile deschise sau sisteme expuse la internet fără justificare.”
Această frază surprinde motivul pentru care configurațiile de referință securizate sunt acum un control central de reziliență. Ele definesc ce înseamnă „securizat” înainte ca un auditor, o autoritate de reglementare, un client sau un atacator să întrebe.
Ce este, de fapt, o configurație de referință securizată
O configurație de referință securizată este setul aprobat, documentat și repetabil de setări de securitate pentru un tip de sistem. Se poate aplica serverelor Windows, gazdelor Linux, dispozitivelor de rețea, tenant-urilor SaaS, stocării cloud, clusterelor Kubernetes, bazelor de date, firewall-urilor, dispozitivelor endpoint, platformelor de identitate, dispozitivelor IoT și tehnologiei operaționale.
O configurație de referință solidă răspunde la întrebări practice:
- Ce servicii sunt dezactivate implicit?
- Ce porturi pot fi expuse extern?
- Ce setări de autentificare și MFA sunt obligatorii?
- Ce setări de jurnalizare trebuie activate?
- Ce setări de criptare sunt necesare?
- Ce interfețe administrative sunt restricționate?
- Ce resurse cloud pot fi publice și cu aprobarea cui?
- Ce abateri necesită acceptarea riscului?
- Cât de des verificăm abaterile de la configurația de referință?
- Ce dovezi demonstrează că această configurație de referință funcționează?
Cea mai frecventă greșeală este tratarea configurațiilor de referință ca preferințe inginerești, nu ca mecanisme de control guvernate. Lista de verificare a unui administrator Linux, pagina wiki a unui arhitect cloud și convenția unui inginer de rețea pentru firewall pot fi utile, dar nu devin auditabile până când nu sunt aprobate, mapate la risc, aplicate consecvent și monitorizate.
De aceea ISO/IEC 27001:2022 este un reper atât de util. Clauzele 4.1-4.3 impun organizațiilor să înțeleagă aspectele interne și externe, părțile interesate și domeniul de aplicare al SMSI, inclusiv cerințele juridice, de reglementare, contractuale și ale terților. Clauzele 6.1.2 și 6.1.3 impun evaluarea riscurilor de securitate a informației, tratarea riscurilor, selectarea controalelor, o Declarație de aplicabilitate și aprobarea de către proprietarul de risc. Clauzele 8.2 și 8.3 impun repetarea evaluării și tratării riscurilor la intervale planificate sau după schimbări semnificative.
Anexa A transformă apoi așteptarea tehnică într-o cerință concretă prin A.8.9 Managementul configurației, susținută de inventarul activelor, managementul vulnerabilităților, managementul schimbărilor, jurnalizare, monitorizare, controlul accesului, criptografie, utilizarea serviciilor cloud și proceduri operaționale documentate.
Rezultatul este o afirmație de guvernanță simplă, dar puternică: dacă organizația nu poate arăta ce înseamnă „securizat” pentru fiecare tip major de sistem, nu poate demonstra convingător igienă cibernetică în temeiul NIS2, controlul riscului TIC în temeiul DORA, responsabilitate în temeiul GDPR sau eficacitatea controalelor în temeiul ISO/IEC 27001:2022.
De ce NIS2, DORA și GDPR fac inevitabile configurațiile de referință
NIS2, DORA și GDPR folosesc limbaje diferite, dar converg către aceeași cerință operațională: sistemele trebuie configurate securizat, monitorizate continuu și guvernate printr-un management al riscurilor cu responsabilități clare.
NIS2 Article 20 impune organelor de conducere ale entităților esențiale și importante să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să primească instruire în domeniul securității cibernetice. Article 21 impune măsuri tehnice, operaționale și organizatorice adecvate și proporționale. Configurațiile de referință securizate susțin Article 21(2)(a) privind politicile de analiză a riscurilor și securitatea sistemelor informatice, Article 21(2)(e) privind securitatea la achiziția, dezvoltarea și mentenanța rețelelor și sistemelor informatice, inclusiv tratarea vulnerabilităților, Article 21(2)(f) privind politicile și procedurile de evaluare a eficacității, Article 21(2)(g) privind igiena cibernetică de bază și instruirea în securitate cibernetică, Article 21(2)(h) privind criptografia, Article 21(2)(i) privind controlul accesului și managementul activelor și Article 21(2)(j) privind autentificarea multifactor și comunicațiile securizate.
DORA se aplică de la 17 ianuarie 2025 și funcționează ca un set sectorial de reguli privind reziliența operațională pentru entitățile financiare acoperite. Articles 5 și 6 impun guvernanță și un cadru documentat de management al riscurilor TIC. Article 8 impune identificarea activelor TIC, a activelor informaționale, a funcțiilor de business susținute de TIC și a dependențelor. Article 9 impune măsuri de protecție și prevenire, inclusiv politici, proceduri, protocoale și instrumente de securitate pentru sistemele TIC, transfer securizat al datelor, controlul accesului, autentificare puternică, protecția cheilor criptografice, managementul schimbărilor, aplicarea patch-urilor și actualizări. Articles 10 to 14 extind modelul către detectare, răspuns, recuperare, backup, restaurare, învățare și comunicare.
GDPR adaugă perspectiva confidențialității. Articles 5 și 32 impun integritate, confidențialitate, securitatea prelucrării și responsabilitate prin măsuri tehnice și organizatorice adecvate. Bucket-urile din cloud public, bazele de date supraexpuse, setările implicite nesigure și accesul administrativ excesiv nu sunt doar puncte slabe de infrastructură. Ele pot deveni eșecuri ale protecției datelor cu caracter personal.
Un singur program de configurații de referință securizate poate susține toate cele trei regimuri fără a crea fluxuri de dovezi duplicate.
| Zonă de cerințe | Contribuția configurării securizate | Dovezi tipice |
|---|---|---|
| Tratamentul riscului ISO/IEC 27001:2022 | Demonstrează controale selectate și implementate pentru stări securizate ale sistemelor | Plan de tratare a riscurilor, Declarație de aplicabilitate, configurație de referință aprobată |
| Igienă cibernetică NIS2 | Arată setări implicite securizate, expunere controlată și evaluarea eficacității | Registru al configurațiilor de referință, rapoarte privind abaterile, raportare către management |
| Managementul riscurilor TIC DORA | Leagă protecția activelor TIC, controlul schimbărilor, aplicarea patch-urilor și monitorizarea | Maparea activelor TIC, tichete de schimbare, rapoarte de conformitate a configurației |
| Responsabilitate GDPR | Demonstrează măsuri adecvate pentru sistemele care prelucrează date cu caracter personal | Maparea sistemelor de date, setări de criptare, revizuirea drepturilor de acces |
| Asigurare pentru clienți | Furnizează dovezi repetabile pentru chestionare de due diligence | Pachet de dovezi, capturi de ecran, exporturi, registru de excepții |
Modelul de configurații de referință Clarysec: politică, procedură și dovezi din platformă
Clarysec tratează configurarea securizată ca pe un sistem de control repetabil, nu ca pe un proiect unic de hardening. Configurația de referință trebuie autorizată prin politică, transpusă în proceduri, implementată prin controale tehnice și demonstrată prin dovezi.
Politica de securitate a informației stabilește această așteptare la nivel organizațional:
„Organizația trebuie să mențină o bază minimă de controale derivată din Anexa A ISO/IEC 27001, completată, după caz, cu controale din ISO/IEC 27002, NIST SP 800-53 și COBIT 2019.”
Din secțiunea „Tratarea riscurilor și excepții”, clauza de politică 7.2.1.
Această clauză împiedică transformarea hardeningului configurațiilor într-o colecție de preferințe personale. Ea ancorează baza minimă de controale în cadre recunoscute.
Pentru mediile cloud, Politica de utilizare a serviciilor cloud restrânge cerința:
„Toate mediile cloud trebuie să respecte o configurație de referință documentată, aprobată de Arhitectul de securitate cloud.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.3.1.
Politica de audit și monitorizare a conformității transformă apoi configurația de referință într-un control monitorizat:
„Trebuie implementate instrumente automatizate pentru a monitoriza conformitatea configurațiilor, managementul vulnerabilităților, starea patch-urilor și accesul privilegiat.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.4.1.
Configurarea este, de asemenea, inseparabilă de managementul vulnerabilităților și al patch-urilor. Politica de management al vulnerabilităților și al patch-urilor prevede:
„Remedierea vulnerabilităților trebuie aliniată la configurația de referință și la standardele de hardening ale sistemelor.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.4.1.
Acest aspect contează. Un sistem poate fi actualizat cu patch-uri și totuși să rămână nesigur dacă SMBv1 este activat, interfețele administrative sunt expuse, jurnalizarea este dezactivată sau setările de autentificare slabă rămân în vigoare. În Zenith Controls: Ghidul de conformitate încrucișată, managementul configurației este tratat ca un control preventiv care protejează confidențialitatea, integritatea și disponibilitatea, cu capabilitate operațională în configurarea securizată. Zenith Controls explică și dependența dintre managementul configurației și managementul vulnerabilităților:
„Managementul vulnerabilităților depinde de configurații cunoscute. Fără o configurație de referință definită, este imposibil să se asigure aplicarea consecventă a patch-urilor.”
Aceasta este povestea dovezilor pe care auditorii și autoritățile de reglementare o așteaptă tot mai des: un sistem de control, nu sarcini tehnice izolate.
Maparea ISO/IEC 27001:2022 A.8.9 la controalele suport
Controlul A.8.9 Managementul configurației din Anexa A ISO/IEC 27001:2022 este ancora, dar nu trebuie tratat ca un document izolat și restrâns. El depinde de o familie mai largă de controale.
| Control din Anexa A ISO/IEC 27001:2022 | De ce contează pentru configurațiile de referință securizate |
|---|---|
| A.5.9 Inventarul informațiilor și al altor active asociate | Fiecare activ cunoscut are nevoie de o configurație de referință atribuită. Activele necunoscute creează risc de configurare necunoscut. |
| A.8.8 Managementul vulnerabilităților tehnice | Scanarea și aplicarea patch-urilor depind de configurații cunoscute și de stări așteptate ale sistemelor. |
| A.8.32 Managementul schimbărilor | Configurațiile de referință definesc stările aprobate, iar managementul schimbărilor controlează trecerea aprobată între stări. |
| A.8.1 Dispozitive endpoint ale utilizatorilor | Build-urile endpoint necesită setări hardenizate, criptare, agenți de securitate și servicii restricționate. |
| A.8.2 Drepturi de acces privilegiat | Doar administratorii autorizați trebuie să modifice configurațiile, iar conturile implicite trebuie eliminate sau securizate. |
| A.8.5 Autentificare securizată | Regulile privind parolele, blocarea conturilor, MFA și sesiunile sunt adesea setări de referință. |
| A.8.15 Jurnalizare | Evenimentele de securitate, administrative și de modificare a configurației trebuie capturate pentru dovezi și investigații. |
| A.8.16 Activități de monitorizare | Detectarea abaterilor și a modificărilor suspecte de configurare necesită monitorizare activă. |
| A.5.37 Proceduri operaționale documentate | Procedurile de build, listele de verificare a configurației și pașii de revizuire fac aplicarea configurației de referință repetabilă. |
| A.5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informației | Verificările de conformitate dovedesc că sistemele continuă să corespundă configurațiilor de referință aprobate. |
Această relație între controale este motivul pentru care Clarysec recomandă gestionarea configurării securizate ca o capabilitate SMSI, cu proprietari, dovezi, metrici și raportare către management.
O mapare mai amplă ajută la transpunerea aceluiași program de configurații de referință în alte cadre.
| Cadru | Cerință sau control relevant | Dovezi privind configurarea securizată |
|---|---|---|
| NIS2 | Article 21 măsuri de management al riscurilor de securitate cibernetică, inclusiv igienă cibernetică, mentenanță securizată, tratarea vulnerabilităților, evaluarea eficacității, controlul accesului și managementul activelor | Standarde de referință, rapoarte privind abaterile, înregistrări ale excepțiilor, supraveghere din partea managementului |
| DORA | Articles 6, 8 și 9 privind managementul riscurilor TIC, identificarea activelor TIC, protecție și prevenire | Registru al configurațiilor de referință TIC, maparea activelor la configurația de referință, dovezi de schimbare și patch-uri |
| GDPR | Articles 5 și 32 privind integritatea, confidențialitatea, securitatea prelucrării și responsabilitatea | Setări de criptare, setări de acces, configurare securizată în cloud, înregistrări ale revizuirilor |
| NIST SP 800-53 Rev. 5 | CM-2 Configurație de referință, CM-3 Controlul schimbărilor de configurare, CM-6 Setări de configurare, CM-7 Funcționalitate minimă, RA-5 Monitorizarea și scanarea vulnerabilităților, SI-4 Monitorizarea sistemelor | Configurații de referință, înregistrări ale schimbărilor, rezultate ale scanărilor de vulnerabilități, rezultate ale monitorizării |
| COBIT 2019 | APO13 Securitate gestionată, BAI06 Schimbări IT gestionate, BAI10 Configurație gestionată, DSS05 Servicii de securitate gestionate, MEA03 Conformitate gestionată cu cerințele externe | Metrici de guvernanță, schimbări aprobate, înregistrări de configurare, raportare de conformitate |
O structură practică de configurație de referință pe care o puteți implementa luna aceasta
Cea mai frecventă greșeală este încercarea de a scrie un standard perfect de hardening de 80 de pagini înainte de a aplica ceva. Începeți cu o configurație de referință minimă, dar auditabilă, pentru fiecare familie tehnologică majoră, apoi maturizați-o prin automatizare și revizuire.
| Componentă a configurației de referință | Exemplu de cerință | Dovezi de păstrat |
|---|---|---|
| Domeniu de aplicare | Servere Windows, servere Linux, dispozitive endpoint, firewall-uri, stocare cloud, tenant de identitate și baze de date | Registru al configurațiilor de referință cu categorii de active |
| Responsabilitate | Fiecare configurație de referință are un proprietar tehnic, un proprietar de risc și o autoritate de aprobare | RACI sau matrice de responsabilitate pentru controale |
| Build aprobat | Imagine hardenizată, șablon infrastructure-as-code, GPO, profil MDM sau listă manuală de verificare a build-ului | Export de șablon, captură de ecran, commit în depozit sau listă de verificare |
| Expunere de rețea | Doar porturile și serviciile aprobate sunt expuse extern | Export de reguli de firewall, raport al grupurilor de securitate cloud |
| Autentificare | MFA pentru acces administrativ, fără conturi implicite, setări securizate pentru parole și blocare | Captură de ecran a politicii de identitate, revizuire a accesului administrativ |
| Jurnalizare | Jurnale de securitate, administrative, de autentificare și de modificare a configurației activate | Tablou de bord SIEM, inventar al surselor de jurnalizare |
| Criptare | Criptarea datelor în repaus și în tranzit activată acolo unde este necesar | Captură de ecran a configurației, înregistrare privind managementul cheilor |
| Controlul schimbărilor | Schimbările și excepțiile față de configurația de referință necesită tichet, aprobare, testare și plan de revenire | Tichet de schimbare și istoric al aprobărilor |
| Monitorizarea abaterilor | Verificări automatizate sau programate compară setările reale cu configurația de referință aprobată | Raport de conformitate a configurației |
| Cadența revizuirii | Configurațiile de referință sunt revizuite cel puțin anual și după incidente majore, schimbări de arhitectură sau schimbări de reglementare | Procese-verbale de revizuire, istoric al versiunilor actualizat |
Pentru o configurație de referință de stocare cloud, prima versiune poate include dezactivarea implicită a accesului public, criptarea datelor în repaus, activarea jurnalizării accesului, limitarea accesului administrativ la grupuri aprobate, obligativitatea MFA pentru acces privilegiat la consolă, versionare activată acolo unde cerințele de recuperare o impun, replicare restricționată la regiuni aprobate și schimbări realizate doar prin fluxuri infrastructure-as-code aprobate.
Pentru o configurație de referință Windows Server 2022 care susține procesarea plăților, prima versiune poate include SMBv1 dezactivat, servicii neesențiale dezactivate, RDP restricționat la o gazdă jump hardenizată, Windows Defender Firewall activat cu reguli deny-by-default, conturi de administrator local controlate, jurnale de evenimente transmise către SIEM, protecția endpoint activată și schimbări administrative corelate cu tichete aprobate.
Pentru fiecare configurație de referință, construiți un pachet restrâns de dovezi:
- Documentul aprobat al configurației de referință.
- O captură de ecran sau o politică exportată care arată configurația aplicată.
- O listă a activelor acoperite de configurația de referință.
- Un tichet de schimbare care arată cum sunt aprobate actualizările.
- Un raport de conformitate a configurației sau o înregistrare a revizuirii manuale.
Acest lucru se aliniază direct cu Zenith Blueprint, faza Controale în acțiune, pasul 19, unde Clarysec recomandă organizațiilor să stabilească liste de verificare a configurației pentru tipurile majore de sisteme, să aplice setările consecvent la provisioning prin automatizare acolo unde este posibil și apoi să auditeze periodic sistemele implementate. Blueprint oferă și o metodă practică de audit:
„Alegeți câteva sisteme reprezentative (de exemplu, un server, un switch, un PC de utilizator final) și validați că configurația lor corespunde configurației de referință securizate. Documentați abaterile și remedierea.”
Pentru IMM-uri, această abordare prin eșantionare reprezentativă este adesea cea mai rapidă cale de la hardening informal la dovezi pregătite pentru audit.
Exemple de hardening pentru IMM-uri care reduc rapid riscul
Configurarea securizată nu este doar o problemă de cloud pentru întreprinderi mari. IMM-urile obțin adesea cea mai mare reducere a riscului din câteva reguli clare de referință.
Politica de securitate a rețelei - IMM prevede:
„Doar porturile esențiale (de exemplu, HTTPS, VPN) pot fi expuse la internetul public; toate celelalte trebuie închise sau filtrate”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.3.
Aceasta impune și disciplină în gestionarea schimbărilor:
„Toate schimbările aduse configurațiilor de rețea (reguli de firewall, ACL-uri de switch, tabele de rutare) trebuie să urmeze un proces documentat de management al schimbărilor”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.9.1.
Și stabilește o cadență de revizuire:
„Furnizorul de suport IT trebuie să efectueze o revizuire anuală a regulilor de firewall, a arhitecturii de rețea și a configurațiilor wireless”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.6.1.
Configurațiile de referință pentru endpoint-uri necesită aceeași atenție. Politica privind protecția endpoint / protecția antimalware - IMM de la Clarysec prevede:
„Dispozitivele trebuie să dezactiveze protocoalele învechite (de exemplu, SMBv1) care pot fi exploatate de malware”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.3.
Pentru mediile IoT și OT, setările implicite nesigure rămân o expunere recurentă. Politica de securitate pentru Internetul obiectelor (IoT) / tehnologie operațională (OT) - IMM prevede:
„Parolele implicite sau hardcodate trebuie schimbate înainte ca dispozitivele să fie activate”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.2.
Aceste clauze de politică nu sunt afirmații abstracte. Sunt cerințe de referință care pot fi testate, documentate cu dovezi și urmărite. Pentru un IMM care se pregătește pentru due diligence din partea clienților, revizuiri ale furnizorilor aliniate la NIS2, asigurare cibernetică sau certificare ISO/IEC 27001:2022, ele creează valoare imediată.
Gestionarea excepțiilor: controlul care separă maturitatea de documentația formală
Fiecare configurație de referință va avea excepții. O aplicație legacy poate necesita un protocol vechi. Un echipament de la furnizor poate să nu suporte setarea de criptare preferată. O deschidere temporară în firewall poate fi necesară pentru migrare. Întrebarea nu este dacă există excepții. Întrebarea este dacă acestea sunt guvernate.
O înregistrare matură a excepției include:
- Cerința de referință încălcată.
- Justificarea de business.
- Activul afectat și proprietarul acestuia.
- Evaluarea riscurilor.
- Controalele compensatorii.
- Autoritatea de aprobare.
- Data expirării.
- Cerința de monitorizare.
- Planul de remediere.
Aici tratarea riscurilor din ISO/IEC 27001:2022 și principiul proporționalității din DORA funcționează împreună. ISO/IEC 27001:2022 impune justificarea deciziilor privind controalele prin evaluarea riscurilor, tratarea riscurilor, Declarația de aplicabilitate și aprobarea de către proprietarul de risc. DORA permite implementare proporțională în funcție de dimensiune, profil de risc și natura, amploarea și complexitatea serviciilor, dar așteaptă în continuare guvernanță documentată a riscurilor TIC, monitorizare, continuitate, testare și conștientizare.
Proporționalitatea nu este permisiunea de a omite configurațiile de referință. Este cerința de a le scala inteligent.
Pentru o microentitate sau o entitate financiară mai mică aflată sub un cadru simplificat de risc TIC, configurația de referință poate fi concisă și susținută prin eșantionare manuală. Pentru o entitate financiară mai mare, același domeniu va necesita probabil verificări automatizate ale configurației, implicarea Auditului Intern, testare anuală și raportare către organul de conducere.
Politica de management al schimbărilor reamintește organizațiilor să urmărească și:
„Abateri de la configurația de referință sau alterare în urma schimbărilor aprobate”
Din secțiunea „Aplicare și conformitate”, clauza de politică 8.1.2.3.
Această formulare leagă controlul schimbărilor de detectarea abaterilor de la configurația de referință. O schimbare poate fi aprobată și totuși poate crea risc dacă starea implementată diferă de starea aprobată sau dacă o setare temporară rămâne după închiderea ferestrei de schimbare.
Construirea unei singure piste de dovezi pentru mai multe obligații de conformitate
O configurație de referință securizată nu ar trebui să creeze cinci fluxuri separate de conformitate. Modelul Clarysec utilizează o singură pistă de dovezi mapată la obligații multiple.
| Artefact de dovezi | Utilizare ISO/IEC 27001:2022 | Utilizare NIS2 | Utilizare DORA | Utilizare GDPR | Utilizare NIST și COBIT 2019 |
|---|---|---|---|---|---|
| Standard de referință | Susține selectarea controalelor din Anexa A și tratarea riscurilor | Demonstrează igienă cibernetică și mentenanță securizată | Susține cadrul de risc TIC și operațiunile TIC securizate | Arată măsuri tehnice adecvate | Susține setările de configurare și obiectivele de guvernanță |
| Maparea activelor la configurația de referință | Susține inventarul activelor și domeniul de aplicare | Arată că sistemele utilizate pentru furnizarea serviciilor sunt controlate | Susține identificarea activelor și dependențelor TIC | Identifică sistemele care prelucrează date cu caracter personal | Susține inventarele și managementul componentelor |
| Tichete de schimbare | Arată implementare controlată și abateri | Arată control operațional bazat pe risc | Susține managementul schimbărilor, aplicarea patch-urilor și actualizările | Arată responsabilitatea pentru schimbări care afectează datele cu caracter personal | Susține controlul schimbărilor și pistele de audit |
| Rapoarte privind abaterile | Arată monitorizare și evaluarea eficacității | Arată evaluarea măsurilor tehnice | Arată monitorizare continuă și control | Arată protecția continuă a datelor | Susține monitorizarea continuă și conformitatea |
| Registru de excepții | Arată aprobarea riscului rezidual de către proprietarul de risc | Arată management proporțional al riscurilor | Arată acceptarea riscului TIC și urmărirea remedierii | Arată responsabilitate și măsuri de protecție | Susține răspunsul la risc și supravegherea managementului |
| Procese-verbale de revizuire | Susțin analiza efectuată de management și îmbunătățirea continuă | Susțin supravegherea managementului în temeiul Article 20 | Susțin responsabilitatea organului de conducere | Susțin revizuirea și actualizarea măsurilor | Susțin raportarea de guvernanță și metricile |
Elementul esențial este trasabilitatea. Zenith Blueprint, faza Audit, revizuire și îmbunătățire, pasul 24, instruiește organizațiile să actualizeze Declarația de aplicabilitate și să o verifice încrucișat cu planul de tratare a riscurilor. Dacă un control este aplicabil, aveți nevoie de o justificare. Această justificare trebuie să fie legată de risc, obligație legală, cerință contractuală sau nevoie de business.
Pentru configurarea securizată, intrarea SoA pentru A.8.9 trebuie să facă trimitere la standardul configurațiilor de referință securizate, categoriile de active acoperite, proprietarii configurațiilor de referință, procedura de management al schimbărilor, metoda de monitorizare, procesul de excepție, cadența revizuirii și obligațiile de conformitate încrucișată, cum ar fi NIS2 Article 21, DORA Articles 6, 8 și 9, GDPR Article 32 și angajamentele față de clienți.
Cum vor testa auditorii configurațiile de referință securizate
Configurarea securizată este atractivă pentru auditori deoarece este bogată în dovezi. Poate fi testată prin documente, interviuri, eșantionare și inspecție tehnică.
| Perspectivă de audit | Ce va întreba auditorul | Dovezi adecvate |
|---|---|---|
| Auditor SMSI ISO/IEC 27001:2022 | Managementul configurației este în domeniul de aplicare, evaluat din perspectiva riscului, selectat în SoA, implementat și monitorizat? | Intrare SoA, plan de tratare a riscurilor, standard de referință, dovezi pentru sisteme eșantionate, rezultate ale auditului intern |
| Auditor tehnic | Sistemele reale corespund configurațiilor de referință aprobate și sunt corectate abaterile? | Exporturi de configurare, capturi de ecran, exporturi GPO, rapoarte privind abaterile, înregistrări ale acțiunilor corective |
| Evaluator NIST | Configurațiile de referință sunt documentate, setările securizate sunt aplicate, inventarele sunt menținute și abaterile sunt monitorizate? | Liste de verificare pentru hardening, CMDB, rapoarte automatizate de conformitate, rezultate ale scanărilor benchmark |
| Auditor COBIT 2019 | Configurațiile de referință sunt guvernate, aprobate, monitorizate și raportate către management? | Metrici de guvernanță, rapoarte de management, tichete de schimbare, registru de excepții |
| Auditor aliniat la ISACA ITAF | Există dovezi suficiente și adecvate că respectivul control este proiectat și funcționează eficace? | Interviuri, verificări la fața locului, înregistrări ale auditurilor de configurare, înregistrări ale incidentelor legate de configurare greșită |
Întrebările practice sunt previzibile:
- Folosiți o listă de verificare pentru hardening la instalarea serverelor noi?
- Cum preveniți rularea serviciilor nesigure, cum ar fi Telnet, pe routere?
- Resursele de stocare cloud sunt private în mod implicit?
- Cine poate aproba o abatere de la configurația de referință?
- Cum detectați abaterile după o schimbare?
- Puteți arăta o revizuire recentă a configurației?
- Puteți arăta că o abatere detectată a fost corectată?
- Configurațiile de rețea și cloud sunt salvate în backup și versionate?
- Procedurile de revenire sunt documentate și testate?
Cele mai solide organizații mențin un pachet de dovezi de referință pentru fiecare categorie majoră de sisteme. Acesta scurtează auditurile, îmbunătățește răspunsurile la verificările de due diligence ale clienților și ajută managementul să înțeleagă performanța reală a controalelor.
Transformați abaterea de la configurația de referință într-o metrică de igienă cibernetică pentru consiliul de administrație
Consiliile de administrație nu au nevoie de fiecare regulă de firewall. Au nevoie să știe dacă igiena cibernetică se îmbunătățește sau se deteriorează.
Un tablou de bord util pentru configurarea securizată include:
- Procentul activelor mapate la o configurație de referință aprobată.
- Procentul activelor care trec verificările configurației de referință.
- Numărul abaterilor critice de la configurația de referință.
- Vechimea medie a abaterilor deschise.
- Numărul excepțiilor expirate.
- Numărul schimbărilor de configurare neautorizate detectate.
- Procentul schimbărilor de configurare privilegiate cu tichete aprobate.
- Excepții de expunere publică în cloud.
- Starea revizuirii configurațiilor de referință pe familie tehnologică.
Aceste metrici susțin evaluarea performanței ISO/IEC 27001:2022, supravegherea managementului NIS2 și raportarea riscurilor TIC DORA. Ele se mapează natural și la rezultatele de guvernanță NIST CSF 2.0 și la obiectivele de monitorizare și conformitate COBIT 2019.
O regulă executivă simplă ajută: niciun sistem critic nu intră în producție fără dovezi privind configurația de referință. Aceasta poate fi aplicată prin managementul schimbărilor, porți CI/CD, verificări ale politicilor cloud, revizuirea infrastructure-as-code, conformitate MDM, aplicarea GPO sau revizuirea configurației de rețea. Nivelul de maturitate poate varia, dar logica de control nu trebuie să varieze.
Playbook-ul de 90 de zile pentru configurații de referință securizate
Dacă porniți de la zero, nu încercați să rezolvați toate problemele de configurare simultan. Folosiți un plan de 90 de zile.
Zilele 1-30: definiți configurația minimă de referință
Identificați categoriile de active critice. Pentru fiecare, atribuiți un proprietar tehnic, un proprietar de risc și o autoritate de aprobare. Creați o primă configurație de referință pentru setările cele mai relevante pentru reziliența la ransomware, expunerea cloud, accesul privilegiat, jurnalizare, criptare și protecția datelor.
Creați registrul configurațiilor de referință și mapați-l la domeniul de aplicare al SMSI, Registrul de riscuri și Declarația de aplicabilitate. Dacă sunteți supus NIS2, identificați dacă sunteți o entitate esențială sau importantă ori dacă clienții așteaptă igienă cibernetică aliniată la NIS2. Dacă sunteți o entitate financiară în temeiul DORA, identificați ce active TIC susțin funcții critice sau importante. Dacă prelucrați date cu caracter personal, mapați sistemele la activitățile de prelucrare GDPR și la categoriile de date.
Zilele 31-60: aplicați și colectați dovezi
Aplicați configurația de referință unui eșantion de sisteme cu risc ridicat. Folosiți automatizare acolo unde este posibil, dar nu așteptați instrumente perfecte. Exportați configurații, realizați capturi de ecran, salvați setări de politică și înregistrați tichete de schimbare.
Pentru fiecare excepție, creați o înregistrare de risc cu dată de expirare. Pentru fiecare abatere, creați un tichet de remediere.
Zilele 61-90: monitorizați, raportați și îmbunătățiți
Efectuați o revizuire a configurației. Eșantionați un server, un endpoint, un dispozitiv de rețea și un mediu cloud. Comparați setările reale cu configurația de referință aprobată. Documentați abaterile și acțiunile corective.
Raportați conformitatea față de configurația de referință către management. Actualizați Declarația de aplicabilitate și planul de tratare a riscurilor. Introduceți abaterile recurente în analiza cauzei principale. Dacă o configurare greșită a cauzat sau a contribuit la un incident, actualizați configurația de referință relevantă ca parte a lecțiilor învățate.
Astfel, auditorii primesc ceva testabil, autoritățile de reglementare primesc ceva inteligibil, iar managementul primește ceva guvernabil.
Gând final: configurarea securizată este igienă cibernetică dovedită
NIS2 folosește limbajul măsurilor de management al riscurilor de securitate cibernetică și al igienei cibernetice de bază. DORA folosește limbajul riscului TIC, rezilienței, monitorizării, continuității și testării. GDPR folosește limbajul măsurilor adecvate și al responsabilității. ISO/IEC 27001:2022 folosește limbajul tratării riscurilor, controalelor, informațiilor documentate, evaluării performanței și îmbunătățirii continue.
Configurațiile de referință securizate le conectează pe toate.
Ele arată că sistemele nu sunt implementate cu setări implicite nesigure. Arată că schimbările sunt controlate. Arată că abaterile sunt detectate. Arată că excepțiile sunt acceptate pe baza riscului. Arată că dovezile există înainte ca auditorul să le solicite.
Mai important, reduc riscul operațional real. Regula de firewall de vineri după-amiază, bucket-ul public din cloud, setarea SMBv1 uitată, parola implicită IoT și consola administrativă nejurnalizată nu sunt constatări teoretice de audit. Sunt puncte practice de eșec.
Clarysec ajută organizațiile să transforme aceste puncte de eșec în configurații de referință controlate, monitorizate și auditabile.
Pașii următori
Dacă organizația dvs. trebuie să demonstreze configurarea securizată pentru ISO/IEC 27001:2022, igienă cibernetică NIS2, managementul riscurilor TIC DORA, responsabilitate GDPR sau asigurare pentru clienți, începeți cu setul de instrumente Clarysec:
- Folosiți Zenith Blueprint: Foaia de parcurs în 30 de pași a auditorului pentru a implementa managementul configurației în faza Controale în acțiune, pasul 19, și pentru a-l valida prin faza Audit, revizuire și îmbunătățire, pasul 24.
- Folosiți Zenith Controls: Ghidul de conformitate încrucișată pentru a mapa managementul configurației la controalele suport ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST SP 800-53, COBIT 2019 și metodologiile de audit.
- Folosiți politicile Clarysec, cum ar fi Politica de securitate a informației, Politica de utilizare a serviciilor cloud, Politica de audit și monitorizare a conformității, Politica de management al vulnerabilităților și al patch-urilor, Politica de securitate a rețelei - IMM, Politica privind protecția endpoint / protecția antimalware - IMM și Politica de securitate pentru Internetul obiectelor (IoT) / tehnologie operațională (OT) - IMM pentru a defini, aplica și documenta cu dovezi cerințele privind configurațiile dvs. de referință.
O configurație de referință securizată nu este doar o listă de verificare pentru hardening. Este dovada că organizația dvs. știe cum arată securitatea, o aplică în mod consecvent și o poate demonstra atunci când contează.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
