Neprekinjeno spremljanje skladnosti za NIS2 in DORA

Petkovo popoldansko vprašanje, na katerega mora zdaj odgovoriti vsak CISO

Ob 16:40 v petek CISO platforme za plačila v oblaku v desetih minutah prejme tri sporočila.

Prvo je od finančnega direktorja: »Naš bančni partner želi posodobljena dokazila, da izpolnjujemo pričakovanja DORA glede IKT-tveganj pri tretjih osebah in poročanja o incidentih.«

Drugo je od pravne službe: »Naša upravljana varnostna storitev nas lahko po nacionalnem prenosu NIS2 uvrsti v področje uporabe. Ali lahko dokažemo nadzor vodstva in učinkovitost kontrol?«

Tretje je od vodje inženiringa: »Kritično ranljivost smo odpravili, vendar zaostanek nalog kaže 38 zapadlih srednje resnih ugotovitev. Ali moramo eskalirati?«

To je trenutek, ko letna skladnost odpove.

PDF politike, register tveganj, nazadnje posodobljen pred prejšnjo presojo, in mapa posnetkov zaslona za NIS2 in DORA niso dovolj. Ti režimi zahtevajo živo upravljanje, nadzor vodstva, delovne tokove za incidente, vidnost nad dobavitelji, testiranje odpornosti, korektivne ukrepe in dokazljivo učinkovitost kontrol.

Za številne vodje informacijske varnosti pritisk ni teoretičen. Prenos NIS2 v zakonodajo držav članic EU je kibernetsko varnost premaknil iz tehničnega programa v vprašanje odgovornosti vodstva. DORA se uporablja od 17. januarja 2025 in finančnim subjektom določa sektorsko specifična pravila digitalne operativne odpornosti za IKT-tveganja, poročanje o incidentih, testiranje in tveganja tretjih oseb. Ponudniki storitev v oblaku, SaaS, upravljanih storitev, upravljane varnosti, podatkovnih centrov, dostave vsebin, skrbniških storitev zaupanja in javnih elektronskih komunikacij se lahko prav tako soočijo z neposrednimi ali posrednimi obveznostmi, odvisno od obsega, velikosti, sektorja, nacionalne razvrstitve in pogodb s strankami.

Praktično vprašanje ni več: »Ali imamo kontrolo?«

Vprašanje je: »Kdo je lastnik kontrole, katera metrika dokazuje, da deluje, kako pogosto zbiramo dokazila in kaj se zgodi, ko metrika odpove?«

To je jedro neprekinjenega spremljanja skladnosti za NIS2 in DORA. Pri implementacijah Clarysec uporabljamo ISO/IEC 27001:2022 kot hrbtenico sistema upravljanja, ISO/IEC 27002:2022 kot jezik kontrol, Zenith Blueprint: 30-koračni načrt presojevalca kot zaporedje implementacije in Zenith Controls: vodnik za skladnost med okviri kot kompas za skladnost med okviri, ki povezuje dokazila ISO/IEC 27001:2022 z NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 in pričakovanji presojevalcev.

Zakaj NIS2 in DORA pomenita, da periodična skladnost ni več dovolj

NIS2 in DORA se razlikujeta po pravni strukturi, nadzornem modelu in področju uporabe, vendar ustvarjata enak operativni pritisk. Kibernetsko varnost in odpornost IKT je treba upravljati neprekinjeno.

NIS2 od bistvenih in pomembnih subjektov zahteva uporabo ustreznih in sorazmernih tehničnih, operativnih in organizacijskih ukrepov po pristopu, ki zajema vse nevarnosti. Ti ukrepi vključujejo analizo tveganj, politike varnosti informacijskih sistemov, obravnavanje incidentov, neprekinjeno poslovanje, krizno upravljanje, varnost dobavne verige, varno nabavo in razvoj, obravnavo ranljivosti, ocenjevanje učinkovitosti, kibernetsko higieno, usposabljanje, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev in večfaktorsko avtentikacijo, kjer je to ustrezno. Organi upravljanja morajo odobriti ukrepe za upravljanje kibernetskih tveganj, nadzirati njihovo izvajanje in se usposabljati.

DORA to za finančne subjekte določa še bolj izrecno. Zahteva notranjo ureditev upravljanja in kontrol za IKT-tveganja, dokumentiran okvir upravljanja IKT-tveganj, odgovornost organa upravljanja, upravljanje in poročanje o incidentih, povezanih z IKT, testiranje digitalne operativne odpornosti, upravljanje IKT-tveganj tretjih oseb, spremljanje revizijskih ukrepov, usposabljanje in komunikacijske ureditve. DORA tudi jasno določa, da finančni subjekti ostajajo odgovorni za skladnost, kadar uporabljajo ponudnike IKT-storitev tretjih oseb.

To ustvarja novo realnost skladnosti. CISO ne more čakati na mesec presoje, da ugotovi, da:

• pregledi privilegiranih dostopov niso bili izvedeni dve četrtletji;
• izstopni načrti za dobavitelje so bili dokumentirani, vendar nikoli testirani;
• merila resnosti incidentov niso preslikana v regulativne pragove poročanja;
• varnostne kopije so konfigurirane, vendar dokazila o obnovitvi manjkajo;
• vodstvo nikoli ni pregledalo zapadlih obravnav tveganj;
• pogodbe za storitve v oblaku nimajo pravic do revizije, vidnosti podizvajalcev ali klavzul o obveščanju o incidentih.

Stari projektni model ustvarja panične cikle. Ekipe pred presojo hitijo, zbirajo posnetke zaslona, posodabljajo datume politik in upajo, da dokazila pripovedujejo skladno zgodbo. NIS2 in DORA sta zasnovani tako, da tak pristop odpove. Osredotočata se na odgovornost, sorazmernost, odpornost in dokazila o delovanju.

ISO/IEC 27001:2022 zagotavlja operacijski sistem za to težavo. Njegove klavzule zahtevajo, da organizacije razumejo kontekst, zainteresirane strani, zakonske in pogodbene zahteve, obseg, voditeljstvo, vloge, oceno tveganj, obravnavo tveganj, Izjavo o uporabljivosti, operativno načrtovanje, vrednotenje uspešnosti, notranjo presojo, vodstveni pregled, obravnavo neskladnosti in nenehno izboljševanje. Ta struktura je idealna za združevanje NIS2, DORA, GDPR, programov zagotavljanja zaupanja naročnikov in notranjih tveganj v en sam model neprekinjenega spremljanja.

Neprekinjena skladnost ne pomeni več nadzornih plošč. Pomeni upravljano kadenco dokazil.

Mehanizem skladnosti zgradite na ISO/IEC 27001:2022

Številne organizacije ISO/IEC 27001:2022 napačno razumejo zgolj kot certifikacijski okvir. V praksi je to sistem upravljanja tveganj, s katerim upravljanje varnosti postane ponovljivo, merljivo in preverljivo.

To je pomembno, ker NIS2 in DORA nista izolirana kontrolna seznama. Zahtevata operativni model, ki lahko sprejme zakonske zahteve, jih prevede v kontrole, dodeli lastništvo, spremlja uspešnost in se izboljšuje, ko se odkrijejo vrzeli.

Temeljne klavzule ISO/IEC 27001:2022 zagotavljajo ta model:

Za FinTech, ponudnika SaaS, upravljano varnostno storitev ali IKT-dobavitelja finančnim subjektom ta struktura preprečuje podvajanje projektov skladnosti. En ISMS lahko obveznosti enkrat preslika v kontrole in nato dokazila ponovno uporabi za NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, certifikacijo ISO/IEC 27001:2022 in preglede zagotavljanja zaupanja naročnikov.

Začnite z lastništvom kontrol, ne z orodji

Prvi vzorec odpovedi pri neprekinjeni skladnosti je implementacija, ki se začne z orodjem. Podjetje kupi platformo GRC, uvozi stotine zahtev, vse dodeli »varnosti« in to poimenuje neprekinjeno spremljanje. Šest mesecev pozneje je nadzorna plošča rdeča, inženiring izpodbija dokazila o ranljivostih, pravna služba opozarja, da so dokumenti dobaviteljev nepopolni, vodstvo pa ne vidi jasno preostalega tveganja.

ISO/IEC 27001:2022 se temu izogne z zahtevo, da so odgovornosti in pooblastila dodeljena in sporočena. NIS2 in DORA isto pričakovanje utrjujeta z odgovornostjo vodstva, opredeljenimi vlogami in nadzorom.

Clarysecova Politika vlog in odgovornosti pri upravljanju - SME določa:

Vsaka vloga z varnostno odgovornostjo mora biti zabeležena v centralni evidenci in pisno potrjena.

Ta klavzula je pomembnejša od večine nadzornih plošč. Če testiranje varnostnih kopij, odprava ranljivosti, skrbni pregled dobaviteljev, razvrščanje incidentov in pregled privilegiranih dostopov nimajo imenovanih lastnikov, ni zanesljive kadence dokazil.

Politika informacijske varnosti to za korporativna okolja operacionalizira:

Zbirajte in hranite dokazila za presoje in preglede kontrol.

Od lastnikov kontrol zahteva tudi, da:

Poročajo o uspešnosti kontrol ter vseh vrzelih ali težavah vodji ISMS.

V Zenith Controls se ta tema neposredno preslika na kontrole ISO/IEC 27002:2022 5.2 Vloge in odgovornosti za informacijsko varnost, 5.35 Neodvisni pregled informacijske varnosti in 5.36 Skladnost s politikami, pravili in standardi informacijske varnosti.

Zenith Blueprint daje praktično izhodišče v fazi ISMS Foundation & Leadership, korak 4: Vloge in odgovornosti v ISMS. Priporoča formalno imenovanje, posodobitve opisov delovnih mest, uskladitev KPI, komunikacijo na ravni celotne organizacije in odgovornost na ravni oddelkov.

Tipičen zapis o imenovanju lahko določa:

»Z učinkom takoj ste imenovani za pooblaščenca za informacijsko varnost, odgovornega za nadzor in usklajevanje ISMS, vključno z upravljanjem tveganj, implementacijo kontrol in spremljanjem skladnosti.«

To imenovanje ni birokracija. Je dokazilo za presojo voditeljstva in dodelitve vlog po ISO/IEC 27001:2022. Podpira tudi nadzor vodstva po NIS2 in upravljanje po DORA. Regulatorji, certifikacijski presojevalci in bančne stranke želijo videti, da odgovornost ni implicitna. Dodeljena je, potrjena, podprta z viri in spremljana.

Praktičen register lastništva kontrol mora vključevati ta polja:

Ta register postane most med politiko in dokazilom.

Določite KPI in KRI, ki dokazujejo učinkovitost kontrol

Ko lastniki obstajajo, morajo vedeti, kaj pomeni »dobro«. Neprekinjeno spremljanje skladnosti temelji na smiselnih kazalnikih, ne na splošnih namerah.

»Izboljšati nameščanje popravkov« ni KPI. »Redno pregledovati dobavitelje« ni dokazilo. »Ohranjati odpornost« ni merljiva kontrola.

Clarysec jasno ločuje dve vrsti kazalnikov:

• KPI, ključni kazalnik uspešnosti, meri, ali proces deluje po pričakovanjih.
• KRI, ključni kazalnik tveganja, signalizira naraščajoče tveganje ali kršitev praga, ki zahteva eskalacijo.

Korporativna Politika upravljanja tveganj določa:

KRI (ključni kazalniki tveganj) in varnostne metrike morajo biti opredeljeni za kritična tveganja in spremljani mesečno.

Zahteva tudi logiko eskalacije:

Eskalacijski sprožilci morajo biti vgrajeni v logiko spremljanja (npr. kadar se preostalo tveganje poveča za več kot eno raven ali so roki obravnave zamujeni).

Za manjše organizacije Clarysecova Politika upravljanja tveganj - SME uporablja sorazmeren pristop:

Napredek pri zmanjševanju tveganj je treba pregledati četrtletno.

Omogoča tudi preproste metrike:

Spremljajo se lahko neformalne metrike (npr. število odprtih tveganj, zapadlih ukrepov, novih incidentov).

Ta sorazmernost je pomembna. Multinacionalna banka in 60-članski FinTech dobavitelj ne potrebujeta enake telemetrije, vendar oba potrebujeta dodeljeno lastništvo, ponovljivo merjenje, pragove eskalacije in dokazila o korektivnih ukrepih.

Praktičen model KPI in KRI za NIS2 in DORA je videti tako:

Te metrike podpirajo več kot certifikacijo ISO/IEC 27001:2022. Podpirajo tudi ukrepe upravljanja kibernetskih tveganj po NIS2, pripravljenost na poročanje o incidentih po NIS2, upravljanje IKT-tveganj po DORA, tveganja tretjih oseb po DORA, odgovornost po GDPR, izide upravljanja po NIST CSF 2.0 in upravljanje uspešnosti v slogu COBIT.

Vzpostavite kadenco dokazil, preden jo zahteva presoja

Številne organizacije dokazila zbirajo naključno. Posnetek zaslona se pojavi v kanalu Teams. Zahtevek Jira je povezan v e-pošti. Vprašalnik dobavitelja je shranjen v nabavi. Test varnostne kopije je opisan ustno. V tednu presoje vodja ISMS postane forenzični preiskovalec.

Neprekinjena skladnost zahteva načrtovano kadenco in urejeno higieno dokazil.

Clarysecova Politika spremljanja presoj in skladnosti - SME določa:

Vsaka presoja mora vključevati opredeljen obseg, cilje, odgovorno osebje in zahtevana dokazila.

Določa tudi:

Dokazila je treba hraniti najmanj dve leti oziroma dlje, kadar to zahtevajo certifikacija ali pogodbe s strankami.

Za korporativne organizacije Politika spremljanja presoj in skladnosti dodaja pričakovanja glede avtomatizacije:

Avtomatizirana orodja morajo biti uvedena za spremljanje skladnosti konfiguracij, upravljanja ranljivosti, stanja popravkov in privilegiranega dostopa.

Avtomatizacija mora biti ciljno usmerjena. Kontrole z visokim tveganjem in visoko pogostostjo ne smejo biti odvisne od ročnih posnetkov zaslona. Najboljši model dokazil združuje avtomatizirano telemetrijo, potrditve lastnikov, dnevnike izjem, zapise v sistemu za upravljanje zahtevkov, rezultate testov in zapisnike vodstvenih pregledov.

Pomembna je tudi konvencija poimenovanja. Dokazila morajo biti enostavno dosegljiva brez izrednega napora. Na primer:

• tedensko poročilo o ranljivostih: YYYY-MM-DD_Vulnerability-SLA_ControlOwner
• mesečni pregled privilegiranih dostopov: YYYY-MM_IAM-Privileged-Review_Attestation
• četrtletni pregled dobaviteljev: YYYY-QX_Critical-Supplier-Review
• paket incidenta: INC-YYYY-###_Timeline-Classification-RCA-CAPA

Tu politika postane operativna. Hramba dokazil ni arhivska naloga. Je del kontrole.

Eno dokazilo preslikajte na več obveznosti

Neprekinjena skladnost postane močna, ko eno dokazilo izpolni zahteve več okvirov. Zato je Zenith Controls osrednji element Clarysecovega pristopa k skladnosti med okviri.

Vzemimo obravnavanje incidentov. Po NIS2 pomembni incidenti zahtevajo fazno poročanje, vključno z zgodnjim opozorilom v 24 urah od seznanitve, obvestilom v 72 urah in končnim poročilom v enem mesecu, odvisno od nacionalne implementacije in dejstev incidenta. DORA od finančnih subjektov zahteva upravljanje, razvrščanje, eskalacijo in poročanje o večjih incidentih, povezanih z IKT, z uporabo zahtevanih procesov in predlog. GDPR od upravljavcev zahteva presojo in upravljanje kršitev varnosti osebnih podatkov, kadar je prizadeta zaupnost, celovitost ali razpoložljivost osebnih podatkov.

En sam paket dokazil o incidentu lahko podpira vse tri, če vključuje:

• časovnico incidenta in čas seznanitve;
• utemeljitev razvrstitve;
• prizadete storitve in jurisdikcije;
• vpliv na stranke, transakcije ali uporabnike;
• oceno vpliva na osebne podatke;
• analizo temeljnega vzroka;
• ukrepe za ublažitev in obnovitev;
• komunikacije in obvestila;
• zapis o eskalaciji vodstvu;
• vnos korektivnega ukrepa.

Ista logika skladnosti med okviri velja za tveganja dobaviteljev. NIS2 zahteva varnost dobavne verige in pozornost do neposrednih odnosov z dobavitelji in ponudniki storitev. DORA zahteva strategijo IKT-tveganj tretjih oseb, registre, predpogodbene skrbne preglede, pogodbene klavzule, pravice do revizije, ravni storitev, izstopne strategije in spremljanje tveganja koncentracije. NIST CSF 2.0 obravnava tveganje dobavne verige kot disciplino upravljanja skozi življenjski cikel. ISO/IEC 27001:2022 te zahteve poveže z obsegom, zahtevami zainteresiranih strani, obravnavo tveganj in operativnim nadzorom zunanje zagotovljenih procesov.

Praktična matrika dokazil lastnikom kontrol pomaga razumeti, zakaj so dokazila pomembna:

Ta pristop preprečuje podvajanje dela na področju skladnosti. Organizacija zbere en močan nabor dokazil in ga nato preslika na več obveznosti.

Clarysecov model spremljanja: od obveznosti do lastnika in dokazila

Robusten model spremljanja sledi preprostemu zaporedju.

Najprej opredelite obveznost. DORA na primer zahteva, da se IKT-tveganja tretjih oseb upravljajo kot del upravljanja IKT-tveganj, z registri, skrbnim pregledom, pogodbenimi zahtevami, pravicami do revizije in izstopnimi strategijami za kritične ali pomembne funkcije. NIS2 zahteva varnost dobavne verige in ustrezne korektivne ukrepe.

Drugič, obveznost prevedite v zahteve ISMS po ISO/IEC 27001:2022. To vključuje zahteve zainteresiranih strani, obseg, oceno tveganj, obravnavo tveganj, Izjavo o uporabljivosti, operativni nadzor, spremljanje, notranjo presojo, vodstveni pregled in izboljševanje.

Tretjič, izberite operativne kontrole. V Zenith Controls ključne upravljavske kontrole za neprekinjeno skladnost vključujejo kontrole ISO/IEC 27002:2022 5.2, 5.35 in 5.36. Podporne kontrole pogosto vključujejo 5.19 Informacijska varnost v odnosih z dobavitelji, 5.21 Upravljanje informacijske varnosti v dobavni verigi IKT, 5.22 Spremljanje, pregled in upravljanje sprememb storitev dobaviteljev, 5.23 Informacijska varnost pri uporabi storitev v oblaku, 5.24 Načrtovanje in priprava upravljanja incidentov informacijske varnosti, 5.26 Odziv na incidente informacijske varnosti, 5.30 Pripravljenost IKT za neprekinjeno poslovanje, 5.31 Zakonske, statutarne, regulativne in pogodbene zahteve, 8.8 Upravljanje tehničnih ranljivosti, 8.13 Varnostno kopiranje informacij, 8.15 Beleženje, 8.16 Dejavnosti spremljanja in 8.9 Upravljanje konfiguracije.

Četrtič, dodelite lastnika in kadenco. Tveganje dobaviteljev lahko vključuje nabavo, pravno službo, varnost in lastnika poslovne storitve, vendar mora en odgovorni lastnik vzdrževati register in poročati o izjemah.

Petič, določite KPI, KRI in dokazila. KPI dobaviteljev lahko vključujejo odstotek kritičnih IKT-dobaviteljev z zaključenim skrbnim pregledom, odstotek z odobrenimi pogodbenimi klavzulami, število brez testiranih izstopnih načrtov in število zapadlih pregledov dobaviteljev. KRI lahko vključujejo nerešene ugotovitve visoko tveganih dobaviteljev, tveganje koncentracije nad toleranco ali manjkajoče pravice do revizije za storitev, ki podpira kritično ali pomembno funkcijo.

Šestič, poročajte in eskalirajte. Mesečne nadzorne plošče ISMS ne smejo prikazovati zgolj zelenega stanja. Identificirati morajo zapadla dokazila, gibanje tveganj, zamujene roke obravnave in odločitve vodstva, ki so potrebne.

Sedmič, izvedite presojo in izboljšave. Vrzeli v dokazilih postanejo korektivni ukrepi, ne izgovori.

To je usklajeno s fazo Audit, Review & Improvement v Zenith Blueprint. Korak 25, Program notranje presoje, priporoča zajem relevantnih procesov in kontrol ISMS v ciklu presoje, z letno presojo celotnega obsega in manjšimi četrtletnimi naključnimi pregledi za področja z visokim tveganjem, kjer je to ustrezno. Korak 28, Vodstveni pregled, zahteva vhodne informacije, kot so spremembe zahtev, rezultati spremljanja in merjenja, rezultati presoj, incidenti, neskladnosti, priložnosti za izboljšave in potrebe po virih. Korak 29, Nenehno izboljševanje, uporablja dnevnik CAPA za zajem opisa težave, temeljnega vzroka, korektivnega ukrepa, odgovornega lastnika, ciljnega datuma in statusa.

To je neprekinjena skladnost v praksi.

Praktičen scenarij: kritična ranljivost na javnem API

Ob 02:15 se sproži opozorilo SIEM. Skeniranje ranljivosti je odkrilo kritično ranljivost za oddaljeno izvajanje kode na javno dostopnem prehodu API, ki podpira regulirano plačilno storitev.

Model neprekinjenega spremljanja se mora odzvati brez čakanja na sestanek.

Najprej evidenca sredstev razvrsti prehod kot kritičen. Ura KPI za upravljanje ranljivosti začne teči. KRI za neodpravljene kritične ranljivosti se poveča. Če je sredstvo izpostavljeno internetu in je izkoriščanje aktivno, se eskalacijski prag sproži takoj.

Drugič, zahtevek se usmeri dežurni ekipi DevOps. Vodja DevOps kot lastnik kontrole upravljanja ranljivosti prejme samodejno obvestilo. SOC Manager spremlja, ali obstajajo kazalniki izkoriščanja. Vodja ISMS spremlja, ali so izpolnjena merila za incident.

Tretjič, dokazila se zbirajo kot stranski produkt delovnega toka. Opozorilo SIEM, skeniranje ranljivosti, razvrstitev sredstva, časovni žigi zahtevka, odzivni klepet, zapis popravka, validacijsko skeniranje in odobritev zaprtja se priložijo paketu dokazil.

Četrtič, ekipa oceni, ali je dogodek zgolj ranljivost, varnostni dogodek ali incident. Če obstajajo vpliv na storitev, kazalniki kompromitacije, vpliv na stranke ali izpostavljenost osebnih podatkov, delovni tok incidenta sproži presoje poročanja po NIS2, DORA, GDPR in pogodbah.

Petič, vodstvo prejme jedrnato poročilo. Če je bila ranljivost odpravljena v štirih urah, dokazila podpirajo učinkovitost kontrol. Če je SLA zamujen, dnevnik CAPA zabeleži temeljni vzrok, korektivni ukrep, lastnika, ciljni datum in status.

Ta en dogodek ustvari uporabna dokazila za upravljanje ranljivosti, pripravljenost na incidente, spremljanje, dostop do kritičnih sredstev, vodstveni pregled in nenehno izboljševanje.

Kako bodo presojevalci in regulatorji testirali isti model spremljanja

Zrel program neprekinjene skladnosti mora prestati različne presojevalne poglede. Dokazila se ne spremenijo, vprašanja pa se.

Pri kontroli ISO/IEC 27002:2022 5.35 Neodvisni pregled informacijske varnosti se bo presojevalec ISO/IEC 27001:2022 osredotočil na načrt notranje presoje, obseg, kompetentnost, ugotovitve in korektivne ukrepe. Regulator NIS2 ali DORA se bo osredotočil na to, ali je vodstvo razumelo ugotovitve, financiralo odpravo in zmanjšalo sistemsko tveganje. Ocenjevalec NIST CSF 2.0 lahko pregled preslika v funkcijo GOVERN, vključno z nadzorom in prilagoditvijo uspešnosti.

Isti nabor dokazil služi vsem, če je popoln, aktualen in povezan z lastništvom.

Pogoste pasti, ki slabijo neprekinjeno skladnost

Prva past je obravnavanje NIS2 in DORA kot ločenih projektov. To ustvarja podvojene registre, nasprotujoče si metrike in izčrpane lastnike kontrol. Uporabite ISO/IEC 27001:2022 kot hrbtenico ISMS in obveznosti preslikajte skozi eno knjižnico kontrol.

Druga past je dodeljevanje kontrol ekipam namesto posameznikom. »IT je lastnik varnostnih kopij« ni dovolj. Imenovani lastnik mora potrditi, poročati o izjemah in eskalirati tveganje.

Tretja past je zbiranje dokazil brez vrednotenja učinkovitosti. Posnetek zaslona o uspešnem varnostnem kopiranju ne dokazuje zmožnosti obnovitve. Test obnovitve jo dokazuje. Vprašalnik dobavitelja ne dokazuje odpornosti tretje osebe. Pogodbene klavzule, pravice do revizije, določila o obveščanju o incidentih, poročila o uspešnosti in izstopno načrtovanje ustvarjajo močnejša dokazila.

Četrta past je merjenje aktivnosti namesto tveganja. Štetje ranljivosti je koristno. Spremljanje zapadlih kritičnih ranljivosti na sistemih, izpostavljenih internetu, je boljše. Štetje dobaviteljev je koristno. Spremljanje kritičnih dobaviteljev brez izstopnih načrtov je boljše.

Peta past je šibka disciplina korektivnih ukrepov. Korak 29 v Zenith Blueprint jasno določa, da ugotovitve potrebujejo opis težave, temeljni vzrok, korektivni ukrep, odgovornega lastnika, ciljni datum in status. Če dnevnik CAPA ni pregledovan, neprekinjena skladnost postane neprekinjeno kopičenje znanih slabosti.

Kaj mora vodstvo videti vsak mesec

Organi upravljanja po NIS2 in DORA ne potrebujejo surovih izvozov iz skenerjev. Potrebujejo pogled na kibernetska in IKT-tveganja, primeren za odločanje.

Mesečna nadzorna plošča za upravni odbor ali vodstvo mora vključevati:

• najpomembnejša kibernetska in IKT-tveganja z gibanjem preostalega tveganja;
• zapadle obravnave tveganj in zamujene roke;
• pomembne incidente, kandidate za večje incidente, povezane z IKT, in pridobljene izkušnje;
• izjeme pri tveganjih kritičnih dobaviteljev;
• uspešnost SLA za ranljivosti na kritičnih sredstvih;
• stanje testov varnostnega kopiranja in obnovitve;
• izjeme pri pregledih privilegiranih dostopov;
• stopnjo dokončanja dokazil o skladnosti;
• ugotovitve presoj in status CAPA;
• potrebne odločitve o virih.

To neposredno podpira vodstveni pregled po ISO/IEC 27001:2022 in pričakovanja upravljanja po NIS2 in DORA. Usklajeno je tudi z NIST CSF 2.0, kjer izvršno vodstvo določa prioritete, odgovornost, vire in apetit po tveganju, vodje pa te prioritete pretvorijo v ciljne profile in načrte ukrepov.

Ta teden zgradite ritem dokazil za NIS2 in DORA

Za začetek vam ni treba rešiti vsega naenkrat. Koristen prvi teden je lahko preprost.

1. dan: ustvarite register lastnikov kontrol za pet področij: upravljanje in upravljanje tveganj, upravljanje incidentov in poročanje, upravljanje ranljivosti in popravkov, tveganja dobaviteljev in storitev v oblaku ter neprekinjeno poslovanje in obnovitev.

2. dan: določite en KPI in en KRI za vsako področje. Naj bosta konkretna, merljiva in povezana z apetitom po tveganju.

3. dan: vsako dokazilo preslikajte na vrednost za NIS2, DORA, ISO/IEC 27001:2022, GDPR in zagotavljanje zaupanja naročnikov.

4. dan: določite kadenco dokazil, lokacijo hrambe, konvencijo poimenovanja, pravilo hrambe in pregledovalca.

5. dan: izvedite namizno eskalacijo. Uporabite scenarij izpada storitve v oblaku ali kritične ranljivosti. Potrdite razvrstitev, presojo regulativnega poročanja, komunikacijo s strankami, hrambo dokazil in oblikovanje CAPA.

Če vaša organizacija NIS2 in DORA še vedno upravlja s preglednicami, letnimi delavnicami in razpršenimi mapami dokazil, je zdaj čas za prehod na spremljan operativni ritem.

Začnite s tremi ukrepi:

1. Zgradite register lastnikov kontrol za področja z najvišjim tveganjem.
2. Za vsako kontrolo določite en KPI, en KRI, eno dokazilo in eno kadenco.
3. Izvedite 30-minutni pregled dokazil in odprite postavke CAPA za vse, kar manjka.

Clarysec vam lahko pomaga pospešiti prehod z Zenith Blueprint za zaporedje implementacije, Zenith Controls za preslikavo skladnosti med okviri in knjižnico politik Clarysec, vključno z Politiko informacijske varnosti, Politiko upravljanja tveganj, Politiko spremljanja presoj in skladnosti, Politiko vlog in odgovornosti pri upravljanju - SME, Politiko upravljanja tveganj - SME in Politiko spremljanja presoj in skladnosti - SME.

Cilj ni več dokumentacija za skladnost. Cilj je na petkovo popoldansko vprašanje odgovoriti samozavestno:

»Da, vemo, kdo je lastnik kontrole, poznamo KPI, imamo dokazila, poznamo izjeme in vodstvo je pregledalo tveganje.«

Kontaktirajte Clarysec za vzpostavitev modela neprekinjenega spremljanja skladnosti, ki je pripravljen za presojo, primeren za upravni odbor in dovolj odporen za NIS2, DORA ter naslednji predpis, ki sledi.