Nad rámec obnovy: príručka pre CISO na budovanie skutočnej prevádzkovej odolnosti podľa ISO 27001:2022
Maria, CISO v rastúcej fintech spoločnosti, prezentuje predstavenstvu metriky rizík za Q3. Jej snímky sú prehľadné, ukazujú klesajúci počet zraniteľností a úspešné phishingové simulácie. Zrazu jej telefón naliehavo zavibruje. Prioritné upozornenie od vedúceho bezpečnostného operačného centra (SOC): „Detegovali sme ransomvér. Šíri sa laterálne. Kľúčové bankové služby sú ovplyvnené.“
Atmosféra v miestnosti sa mení zo sebavedomej na napätú. Generálny riaditeľ položí nevyhnutnú otázku: „Ako rýchlo vieme obnoviť služby zo zálohy?“
Maria vie, že zálohy majú. Testujú ich štvrťročne. No kým jej tím narýchlo pripravuje prepnutie do záložného prostredia, hlavou jej prebehne množstvo ďalších otázok. Sú prostredia obnovy bezpečné, alebo iba opätovne infikujú obnovené systémy? Funguje naše logovanie incidentov aj na záložnom pracovisku, alebo strácame prehľad? Kto má núdzový administrátorský prístup a sú jeho kroky sledované? Nepošle niekto v snahe rýchlo obnoviť služby citlivé údaje zákazníkov z osobného účtu?
Toto je kritický moment, v ktorom tradičný plán obnovy po havárii zlyháva a skutočná prevádzková odolnosť sa preveruje v praxi. Nejde len o návrat do prevádzky; ide o návrat so zachovanou integritou. Práve tento zásadný posun v uvažovaní vyžaduje ISO/IEC 27001:2022: posun od samotnej obnovy k udržiavaniu komplexného a neprerušeného bezpečnostného stavu aj uprostred chaosu.
Moderná definícia odolnosti: bezpečnosť sa nikdy nezastavuje
Plánovanie kontinuity činností sa roky výrazne sústreďovalo na cieľové časy obnovy (RTO) a cieľové body obnovy (RPO). Hoci sú tieto metriky nevyhnutné, hovoria iba časť príbehu. Merajú rýchlosť obnovy a prípustnú stratu údajov, ale nemerajú bezpečnostný stav počas samotnej krízy.
ISO/IEC 27001:2022, najmä prostredníctvom opatrení prílohy A, posúva diskusiu ďalej. Uznáva, že narušenie nie je tlačidlo pozastavenia pre informačnú bezpečnosť. Práve naopak: chaos krízy je presne tým okamihom, keď sú bezpečnostné opatrenia najdôležitejšie. Útočníci využívajú zmätok a zneužívajú práve tie náhradné postupy a núdzové procesy, ktoré majú obnoviť služby.
Odolnosť v ISO/IEC 27001:2022 znamená udržiavať informačnú bezpečnosť počas narušenia (opatrenie 5.29 prílohy A), zabezpečiť robustnú pripravenosť IKT na kontinuitu činností (5.30) a spoľahlivé zálohovanie informácií (8.13). Cieľom je zabezpečiť, aby samotná reakcia nevytvorila nové a nebezpečnejšie zraniteľnosti. Ako uvádza Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora, „audítori budú hľadať súlad nielen s politikou, ale aj s realitou.“ Práve tu väčšina organizácií zaostáva: plánuje dostupnosť, nie však udržanie súladu počas chaosu.
Základ: prečo odolnosť začína kontextom, nie opatreniami
Skôr než dokážete účinne implementovať konkrétne opatrenia odolnosti, musíte vybudovať pevný systém manažérstva informačnej bezpečnosti (ISMS). Mnohé organizácie zlyhávajú už tu: preskočia priamo na prílohu A bez primeraného základu.
Zenith Blueprint zdôrazňuje, že treba začať kľúčovými kapitolami ISMS, pretože práve táto základná práca tvorí podložie odolnosti. Proces sa začína pochopením jedinečného prostredia vašej organizácie:
- Kapitola 4: Kontext organizácie: Pochopenie kontextu organizácie vrátane interných a externých otázok a požiadaviek zainteresovaných strán a definovanie rozsahu ISMS.
- Kapitola 5: Vedenie: Zabezpečenie záväzku vrcholového vedenia, vytvorenie politiky informačnej bezpečnosti a definovanie organizačných rolí a zodpovedností.
- Kapitola 6: Plánovanie: Vykonanie dôkladného posúdenia rizík, plánovanie ošetrenia rizík a stanovenie jasných cieľov informačnej bezpečnosti.
V prípade Mariinej fintech spoločnosti by dôkladná analýza podľa kapitoly 4 identifikovala regulačný tlak vyplývajúci z DORA a NIS2 ako kľúčové externé otázky. Posúdenie rizík podľa kapitoly 6 by modelovalo presne ten ransomvérový scenár, ktorému teraz čelí, a zvýraznilo by riziko kompromitovaných prostredí obnovy a nedostatočného logovania počas incidentu. Bez tohto kontextu je každý plán odolnosti len streľbou naslepo.
Dva piliere prevádzkovej odolnosti v ISO/IEC 27001:2022
V rámci ISO/IEC 27001:2022 vystupujú ako piliere prevádzkovej odolnosti dve opatrenia prílohy A: Zálohovanie informácií (8.13) a Informačná bezpečnosť počas narušenia (5.29).
Opatrenie 8.13: Zálohovanie informácií – nevyhnutná bezpečnostná sieť
Toto je opatrenie, o ktorom si každý myslí, že ho má zvládnuté. Skutočne účinná stratégia zálohovania však znamená viac než len kopírovanie súborov. Ide o opatrenie nápravnej povahy zamerané na integritu a dostupnosť a je úzko prepojené s viacerými ďalšími opatreniami.
Atribúty: nápravné; integrita, dostupnosť; obnova; kontinuita; ochrana.
Prevádzková schopnosť: kontinuita.
Bezpečnostná doména: ochrana.
Auditný pohľad: Audítorovi nebude stačiť odpoveď „áno“ na otázku „Máte zálohy?“. Bude požadovať logy preukazujúce existenciu nedávnych záloh, dôkazy o úspešných testoch obnovy a dôkaz, že zálohovacie médiá boli šifrované, bezpečne uložené a pokrývali všetky kritické aktíva definované vo vašej evidencii.
Scenár: Systém je vymazaný ransomvérom alebo kritickou chybou konfigurácie. Vaša schopnosť obnoviť ho so zachovanou integritou závisí od vyspelosti stratégie zálohovania. Audítori overia, že táto stratégia nie je izolovaná, ale je prepojená s ďalšími kritickými opatreniami:
- 5.9 Inventarizácia informácií a iných pridružených aktív: Nemôžete zálohovať to, o čom neviete, že to máte. Komplexná evidencia aktív je nevyhnutná.
- 8.7 Ochrana pred malvérom: Zálohy musia byť izolované a chránené pred tým istým ransomvérom, ktorý majú pomôcť prekonať. Zahŕňa to používanie nemenného úložiska alebo air-gap kópií.
- 5.31 Zákonné, štatutárne, regulačné a zmluvné požiadavky: Sú vaše lehoty uchovávania záloh a miesta ich uloženia v súlade so zákonmi o lokalizácii údajov a so zmluvnými povinnosťami?
- 5.33 Ochrana záznamov: Spĺňajú vaše zálohy požiadavky na uchovávanie a ochranu súkromia pri osobných údajoch (PII), finančných záznamoch alebo iných regulovaných údajoch?
Opatrenie 5.29: Informačná bezpečnosť počas narušenia – strážca integrity
Toto je opatrenie, ktoré odlišuje ISMS spĺňajúci požiadavky od skutočne odolného ISMS. Priamo rieši kritické otázky, ktoré Mariu prenasledujú počas krízy: ako udržíme bezpečnosť, keď naše primárne nástroje a procesy nie sú dostupné? Opatrenie 5.29 vyžaduje, aby bezpečnostné opatrenia boli vopred naplánované a zostali účinné počas celej narušujúcej udalosti.
Atribúty: preventívne, nápravné; ochrana, reakcia; dôvernosť, integrita, dostupnosť.
Prevádzková schopnosť: kontinuita.
Bezpečnostná doména: ochrana, odolnosť.
Auditný pohľad: Audítori preskúmavajú plány kontinuity činností a obnovy po havárii osobitne preto, aby našli dôkazy o zohľadnení bezpečnosti. Kontrolujú bezpečnostné konfigurácie alternatívnych pracovísk, overujú, že logovanie a riadenie prístupu zostávajú zachované, a skúmajú náhradné procesy z pohľadu bezpečnostných slabín, nielen z pohľadu schopnosti obnoviť službu.
Scenár: Vaše primárne dátové centrum je mimo prevádzky a presúvate prevádzku na záložné pracovisko. Audítori očakávajú dôkazy – správy z obhliadok pracoviska, konfiguračné súbory, prístupové logy – že sekundárne pracovisko spĺňa vaše primárne bezpečnostné požiadavky. Rozšíril núdzový prechod na prácu na diaľku ochranu koncových bodov a bezpečný prístup na všetky zariadenia? Zdokumentovali ste rozhodnutia o dočasnom uvoľnení niektorých opatrení a ich následnom obnovení?
Zenith Blueprint vystihuje podstatu presne: „Podstatné je, že bezpečnosť sa počas obnovy systémov nezastaví. Opatrenia môžu zmeniť formu, ale cieľ zostáva rovnaký: chrániť informácie aj pod tlakom.“ Toto opatrenie vás núti plánovať pre neprehľadnú realitu krízy a je pevne prepojené s ďalšími opatreniami:
- 5.30 Pripravenosť IKT na kontinuitu činností: Zabezpečuje, aby technický plán obnovy neignoroval bezpečnostný plán.
- 8.16 Monitorovacie činnosti: Vyžaduje, aby ste mali spôsob, ako udržať prehľad aj vtedy, keď sú primárne monitorovacie nástroje mimo prevádzky.
- 5.24 Plánovanie a príprava riadenia incidentov informačnej bezpečnosti: Krízové tímy a tímy kontinuity musia pracovať súbežne, aby sa počas narušenia zachovalo povedomie o reakcii na incidenty.
- 5.28 Zber dôkazov: Zabezpečuje, aby ste v zhone pri obnove nezničili kľúčové forenzné dôkazy potrebné na vyšetrovanie a regulačné oznámenie.
Praktická príručka na implementáciu auditovateľnej odolnosti
Premeniť tieto opatrenia z teórie na prax si vyžaduje jasné a vykonateľné politiky a postupy. Šablóny politík Clarysec sú navrhnuté tak, aby tieto princípy vložili priamo do vášho ISMS. Napríklad naša Politika zálohovania a obnovy poskytuje rámec, ktorý ide nad rámec jednoduchých harmonogramov zálohovania:
„Politika presadzuje opatrenia ISO/IEC 27001:2022 súvisiace so zberom dôkazov (5.28), odolnosťou počas narušenia (5.29), prevádzkovou obnovou (8.13) a výmazom informácií (8.10) a mapuje ich na osvedčené postupy z ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA a NIS2.“
Tento holistický prístup premieňa odolnosť z abstraktného konceptu na súbor auditovateľných prevádzkových úloh.
Praktický kontrolný zoznam: audit stratégie zálohovania a odolnosti
Použite tento kontrolný zoznam spolu s komplexnou politikou na prípravu dôkazov, ktoré bude audítor požadovať.
| Auditná otázka | Odkaz na opatrenie | Usmernenie politiky Clarysec | Dôkazy na prípravu |
|---|---|---|---|
| Je rozsah zálohovania zosúladený s vašou BIA a evidenciou aktív? | 8.13, 5.9 | Politika vyžaduje prepojenie harmonogramu zálohovania s klasifikáciou kritickosti informačných aktív. | Evidencia aktív s hodnoteniami kritickosti; konfigurácia zálohovania zobrazujúca prioritizované systémy. |
| Vykonávajú sa testy obnovy pravidelne a dokumentujú sa ich výsledky? | 8.13, 9.2 | Politika definuje minimálnu frekvenciu testovania a vyžaduje vypracovanie testovacej správy vrátane metrík času obnovy a kontrol integrity údajov. | Plány a správy z testov obnovy za posledných 12 mesiacov; záznamy o prijatých nápravných opatreniach. |
| Ako sú zálohy chránené pred ransomvérom? | 8.13, 8.7 | Politika stanovuje požiadavky na nemenné úložisko, air-gap kópie alebo izolované zálohovacie siete v súlade s opatreniami ochrany pred malvérom. | Sieťové diagramy; konfiguračné údaje zálohovacieho úložiska; skeny zraniteľností zálohovacieho prostredia. |
| Sú bezpečnostné opatrenia zachované počas operácie obnovy? | 5.29, 8.16 | Politika odkazuje na potrebu bezpečných prostredí obnovy a nepretržitého logovania, čím zabezpečuje súlad s plánom reakcie na incidenty organizácie. | Plán reakcie na incidenty; dokumentácia bezpečného sandboxového prostredia na obnovu; logy z nedávneho testu obnovy. |
| Sú lehoty uchovávania záloh zosúladené so zákonmi o ochrane údajov? | 8.13, 5.34, 8.10 | Politika vyžaduje, aby pravidlá uchovávania záloh boli v súlade s harmonogramom uchovávania údajov, aby sa predišlo neobmedzenému uchovávaniu osobných údajov a podporilo sa právo na vymazanie podľa GDPR. | Harmonogram uchovávania údajov; konfigurácie zálohovacích úloh zobrazujúce lehoty uchovávania; postupy výmazu údajov zo záloh. |
Imperatív krížového súladu: mapovanie odolnosti na DORA, NIS2 a ďalšie rámce
Pre organizácie v kritických sektoroch nie je odolnosť len osvedčeným postupom podľa ISO/IEC 27001:2022; je to regulačná požiadavka. Predpisy ako Digital Operational Resilience Act (DORA) a smernica NIS2 kladú mimoriadny dôraz na schopnosť odolať narušeniam IKT a zotaviť sa z nich.
Dobrou správou je, že práca vykonaná pre ISO/IEC 27001:2022 poskytuje výrazný náskok. Clarysec Zenith Controls: príručka krížového súladu je navrhnutá tak, aby vytvárala explicitné mapovacie tabuľky preukazujúce toto zosúladenie audítorom a regulátorom. Proaktívna dokumentácia ukazuje, že riadite bezpečnosť v jej plnom právnom kontexte.
Naše politiky sú vytvorené práve s týmto zámerom. Napríklad Politika ochrany údajov a súkromia výslovne uvádza svoju úlohu pri posilňovaní súladu s DORA a NIS2 popri ISO/IEC 27001:2022.
Nasledujúca mapovacia tabuľka ukazuje, ako kľúčové opatrenia odolnosti spĺňajú požiadavky naprieč viacerými významnými rámcami.
| Rámec | Kľúčové kapitoly/články | Ako sa mapujú opatrenia odolnosti (5.29, 8.13) | Očakávania auditu |
|---|---|---|---|
| GDPR | Čl. 32, 34, 5(1)(f), 17(1) | Ochrana údajov pokračuje aj pod tlakom; zálohovacie systémy musia podporovať obnovu a práva na vymazanie; pri zraniteľnostiach vzniknutých počas krízy sa vyžaduje oznámenie porušenia ochrany osobných údajov. | Preskúmanie zálohovacích logov, testov obnovy, dôkazov o výmaze údajov zo záloh a incidentných logov počas narušenia. |
| NIS2 | Čl. 21(2)(d), 21(2)(f), 21(2)(h), 23 | Prevádzková odolnosť je nevyhnutná; opatrenia musia zabezpečiť kontinuitu činností a použiteľnosť záloh; krízové riadenie musí udržať informácie chránené. | Dôkladné preskúmanie plánov kontinuity činností, harmonogramov zálohovania, dôkazov o tom, že zálohovacie opatrenia fungujú podľa požiadaviek, a správ o riešení incidentov. |
| DORA | Čl. 10(1), 11(1), 15(3), 17, 18 | Vyžaduje sa povinné testovanie odolnosti prepojené na riešenie incidentov, obnovu zo záloh a dodávateľské kontroly pre služby IKT. | Audit cvičení odolnosti, logov obnovy zo záloh, doložiek dodávateľov o obnove údajov a incidentných správ. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Kontinuita činností a riadenie rizík musia byť prepojené; schopnosti zálohovania a obnovy sa preukazujú metrikami, logmi a cyklami neustáleho zlepšovania. | Audit preskúmaní kontinuity, ukazovateľov výkonnosti zálohovania, logov a záznamov o náprave a zlepšovaní. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Zálohovacie riešenia a reakcia na incidenty sú základnými opatreniami obnovy; logovanie a testy obnovy sú povinné na preukázanie schopnosti. | Overenie schopností obnovy, bezpečnosti záloh, riadenia uchovávania a postupov riešenia incidentov. |
Budovaním ISMS na robustnom rámci ISO/IEC 27001:2022 si zároveň vytvárate obhájiteľnú pozíciu voči týmto ďalším prísnym predpisom.
Pohľadom audítora: ako sa bude testovať vaša odolnosť
Audítori sú školení pozerať sa za rámec politík a hľadať dôkaz o implementácii. Pri odolnosti chcú vidieť dôkaz disciplíny pod tlakom. Audit vašich schopností odolnosti bude viacvrstvový a rôzni audítori sa zamerajú na rôzne typy dôkazov.
| Pohľad audítora (rámec) | Kľúčová oblasť zamerania | Ako sa bude overovať | Požadované typy dôkazov |
|---|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Integrácia bezpečnosti do plánov kontinuity činností a obnovy po havárii | Preskúmanie dokumentácie BC/DR s cieľom potvrdiť, že bezpečnostné aspekty sú zabudované, nie iba dodatočne pripojené. Overenie, že alternatívne pracoviská majú rovnocenné bezpečnostné opatrenia. | Plán kontinuity činností; plán obnovy po havárii; posúdenia rizík alternatívnych pracovísk; dokumenty bezpečnostnej konfigurácie prostredí obnovy. |
| COBIT 2019 (DSS04) | Neustále zlepšovanie a postincidentné preskúmanie | Preskúmanie správ z vyhodnotenia reálnych narušení alebo cvičení. Dôraz sa kladie na to, či boli bezpečnostné medzery identifikované počas udalosti zdokumentované a odstránené. | Správy z postincidentného preskúmania; plány nápravných opatrení (CAP) s dôkazmi o uzatvorení; zápisnice zo stretnutí z vyhodnotení krízového riadenia. |
| NIST SP 800-53A (CP-10) | Validácia obnovy a rekonštitúcie | Testovanie na základe scenárov, buď prostredníctvom stolových cvičení, alebo živých cvičení. Audítori posudzujú schopnosť organizácie udržať bezpečnostné opatrenia počas procesu obnovy. | Záznamy zo stolových cvičení vrátane zoznamov účastníkov a výsledkov; technická validácia zo živých DR testov dokazujúca, že bezpečnostné konfigurácie (napr. firewally, logovanie) boli aktívne na obnovených systémoch. |
| ISACA ITAF | Zdokumentovaná akceptácia rizika | Dokumentácia a preskúmanie akceptácií rizika vykonaných počas narušenia. Dôkazy musia byť v registri rizík alebo v pláne kontinuity činností s jasným oprávnením. | Záznamy v registri rizík; zdokumentované schválenia dočasných odchýlok od opatrení; zápisnice zo stretnutí krízového tímu. |
Bežné zlyhania: kde plány odolnosti v praxi často nefungujú
Auditné zistenia Clarysec ukazujú opakujúce sa slabiny, ktoré oslabujú aj najlepšie napísané plány. Vyhnite sa týmto bežným zlyhaniam:
- Manuálnym náhradným procesom chýba bezpečnosť. Keď systémy prestanú fungovať, zamestnanci sa vracajú k tabuľkám a e-mailu. Tieto manuálne procesy často nemajú fyzickú ani logickú bezpečnosť primárnych systémov.
- Náprava: Zahrňte fyzickú ochranu (uzamknuté skrinky, prístupové logy) a logické kontroly (šifrované súbory, bezpečné komunikačné kanály) do krízových protokolov pre manuálne náhradné postupy.
- Alternatívne pracoviská nie sú plne nakonfigurované. Záložné dátové centrum má servery a údaje, ale nemusí mať rovnocenné pravidlá firewallu, logovacích agentov alebo integrácie riadenia prístupu.
- Náprava: Zdokumentujte rovnocennosť bezpečnostných opatrení medzi primárnym a sekundárnym pracoviskom. Vykonávajte pravidelné technické audity záložného pracoviska a zapájajte zástupcov bezpečnosti do všetkých cvičení prepnutia na záložné riešenie.
- Testy obnovy sú neúplné alebo ad hoc. Organizácie testujú, či možno server obnoviť, ale netestujú, či je obnovená aplikácia bezpečná, logovaná a správne funguje pod záťažou.
- Náprava: Urobte z komplexných testov obnovy zo záloh vrátane bezpečnostnej validácie povinnú súčasť incidentných cvičení a ročných auditných preskúmaní.
- Ochrana údajov v zálohách sa prehliada. Zálohy sa môžu stať rizikom súladu, ak obsahujú údaje, ktoré mali byť vymazané podľa práva na vymazanie podľa GDPR.
- Náprava: Zosúlaďte postupy uchovávania a výmazu záloh s politikami ochrany údajov. Zabezpečte zdokumentovaný proces výmazu konkrétnych údajov zo zálohovacích súborov, keď to vyžaduje zákon.
Od súladu k odolnosti: budovanie kultúry neustáleho zlepšovania
Dosiahnutie odolnosti nie je jednorazový projekt, ktorý sa končí certifikáciou. Je to trvalý záväzok k zlepšovaniu zakotvený v kapitole 10 ISO/IEC 27001:2022. Skutočne odolná organizácia sa učí z každého incidentu, každej takmer vzniknutej udalosti a každého auditného zistenia.
Vyžaduje si to posun za hranicu reaktívnych opráv. Zenith Blueprint odporúča zabudovať neustále zlepšovanie do organizačnej kultúry vytvorením kanálov, cez ktoré môžu zamestnanci navrhovať bezpečnostné zlepšenia, vykonávaním proaktívnych posúdení rizík pri významných zmenách a dôslednými postincidentnými preskúmaniami na zachytenie získaných poznatkov.
Dôležitú úlohu zohráva aj opatrenie 5.35 (Nezávislé preskúmanie informačnej bezpečnosti). Pozvanie nezávislej strany na preskúmanie vášho ISMS poskytuje nestranný pohľad, ktorý môže odhaliť slepé miesta, ktoré internému tímu uniknú. Ako výstižne uvádza Zenith Blueprint: „…to, čo odlišuje ISMS spĺňajúci požiadavky od skutočne odolného ISMS, je ochota klásť ťažké otázky a počúvať, keď sú odpovede nepríjemné.“
Váš ďalší krok: vybudovanie neprelomiteľného ISMS
Mariina kríza poukazuje na univerzálnu pravdu: narušenie je nevyhnutné. Či už ide o ransomvér, prírodnú katastrofu alebo zlyhanie kritického dodávateľa, vaša organizácia bude otestovaná. Otázka neznie či, ale ako zareagujete. Iba obnovíte prevádzku, alebo zareagujete odolne?
Vybudovanie ISMS, ktorý udrží integritu pod tlakom, vyžaduje strategický a holistický prístup. Začína sa pevným základom, zahŕňa hlboko prepojené opatrenia a posilňuje ho kultúra neustáleho zlepšovania. Nečakajte na reálne narušenie, ktoré odhalí medzery vo vašej stratégii.
Ste pripravení vybudovať ISMS, ktorý nie je len v súlade s požiadavkami, ale je skutočne neprelomiteľný?
- Stiahnite si Clarysec Zenith Blueprint: 30-krokovú cestovnú mapu audítora, ktorá vás prevedie implementáciou od začiatku do konca.
- Využite naše komplexné šablóny politík, napríklad Politiku zálohovania a obnovy, na premenu noriem na konkrétne a auditovateľné kroky.
- Použite Zenith Controls: príručku krížového súladu, aby ste zabezpečili, že vaše úsilie splní prísne požiadavky ISO/IEC 27001:2022, DORA a NIS2.
Kontaktujte nás ešte dnes a získajte bezplatné posúdenie odolnosti. Experti Clarysec vám pomôžu vybudovať ISMS, ktorý obstojí aj pod tlakom.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
