Informationssäkerhetschefens guide till revisionsklar forensisk beredskap: samordning av NIS2, DORA, ISO 27001 och GDPR

Maria, informationssäkerhetschef på ett medelstort fintechbolag, kände den välbekanta knuten i magen dra åt. Den externa revisionsrapporten för deras ISO/IEC 27001:2022-certifiering låg på hennes skrivbord, med en tydlig slutsats som stirrade tillbaka på henne: en större avvikelse.

Tre veckor tidigare hade en junior utvecklare av misstag exponerat ett datalager i en icke-produktionsmiljö mot publikt internet i 72 minuter. Operativt var incidenthanteringen framgångsrik. Teamet agerade snabbt, låste ned systemet och bekräftade att inga känsliga kunddata berördes.

Ur ett regelefterlevnadsperspektiv var det en katastrof.

När revisorn begärde bevismaterial som kunde visa exakt vad som hände under dessa 72 minuter räckte teamets underlag inte till. Molnleverantörens loggar var generiska och hade rullats över efter 24 timmar. Brandväggsloggarna visade anslutningar men saknade detaljer på paketnivå. De interna applikationsloggarna hade inte konfigurerats för att registrera de specifika API-anrop som gjorts. Teamet kunde inte definitivt visa att ingen obehörig part hade försökt höja behörigheter eller pivotera till andra system.

Revisorns iakttagelse var skoningslös: “Organisationen kan inte tillhandahålla tillräckligt och tillförlitligt bevismaterial för att rekonstruera tidslinjen för en säkerhetshändelse, vilket visar bristande forensisk beredskap. Detta väcker betydande farhågor avseende efterlevnad av NIS2-krav på incidenthantering, DORA:s krav på detaljerad incidentspårning och GDPR:s ansvarsskyldighetsprincip.”

Marias problem var inte bristande incidentrespons, utan bristande framförhållning. Hennes team var mycket bra på att släcka bränder, men de hade inte byggt förmågan att utreda mordbrännaren. Det är i denna kritiska lucka som forensisk beredskap hör hemma – en förmåga som inte längre är en lyx, utan ett icke förhandlingsbart krav enligt moderna regelverk.

Från reaktiv loggning till proaktiv forensisk beredskap

Många organisationer, som Marias, tror felaktigt att “att ha loggar” är detsamma som att vara förberedd för en utredning. Det är det inte. Forensisk beredskap är en strategisk förmåga, inte en oavsiktlig biprodukt av IT-drift. Som den internationella standarden ISO/IEC 27043 beskriver det måste organisationer etablera processer som säkerställer att digital bevisning är förberedd, tillgänglig och kostnadseffektiv inför potentiella säkerhetsincidenter.

I kontexten NIS2, DORA, ISO 27001:2022 och GDPR innebär detta att organisationen kan:

• Detektera relevanta händelser tillräckligt snabbt för att uppfylla snäva rapporteringsfrister.
• Rekonstruera en tillförlitlig händelsekedja från manipulationsskyddade loggar.
• Visa för revisorer och tillsynsmyndigheter att organisationens loggnings- och övervakningskontroller är riskbaserade, respekterar integritetsskydd och är effektiva.

Clarysecs införandevägledning i Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls uttrycker det enkelt:

Effektiv forensisk beredskap i regelefterlevnadssammanhang kräver att insamling av loggdata begränsas till det som är strikt nödvändigt, att lagring av överdrivna mängder personuppgifter eller känsliga data undviks och att data anonymiseras eller pseudonymiseras där det är möjligt. Ytterligare god praxis omfattar robusta säkerhetsåtgärder som åtkomststyrning, kryptering, återkommande revisioner och löpande övervakning, tillsammans med tillämpning av regler för databevarande som är anpassade till GDPR och regelbunden gallring av information som inte längre behövs.

Detta innebär en grundläggande förändring i förhållningssätt:

• Från datalagring utan urval till ändamålsstyrd insamling: I stället för att samla in allt definierar organisationen vilket bevismaterial som behövs för att besvara kritiska frågor: Vem gjorde vad? När och var hände det? Vilken blev konsekvensen?
• Från isolerade loggar till korrelerade tidslinjer: Brandväggs-, applikations- och molnloggar är enskilda pusselbitar. Forensisk beredskap är förmågan att sätta samman dem till en sammanhängande bild.
• Från driftverktyg till bevisbärande tillgång: Loggar är inte bara till för felsökning. De är rättsligt och regulatoriskt bevismaterial som ska skyddas, bevaras och hanteras med en tydlig beviskedja.

Oförmåga att visa vad som hände under ett intrång betraktas nu som ett kontrollmisslyckande i sig, oavsett incidentens initiala påverkan.

Grunden: där styrning och policy möter praktiskt genomförande

Innan en enda logg konfigureras börjar ett program för forensisk beredskap med tydlig styrning. Revisorns första fråga kommer inte att vara “Visa mig ert SIEM”, utan “Visa mig er policy”. Det är här ett strukturerat arbetssätt ger omedelbart och försvarbart värde.

I The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint är steg 14 i fasen “Risk och införande” avsatt för detta grundläggande arbete. Målet är uttryckligt:

“Ta fram eller förfina specifika policyer och procedurer enligt de riskbehandlingar (och bilaga A-kontroller) som organisationen valt, och säkerställ anpassning till regelverk som GDPR, NIS2 och DORA.”

Detta steg tvingar organisationer att omsätta riskbeslut i dokumenterade och bindande regler. För en informationssäkerhetschef som Maria innebär det att skapa en uppsättning sammanlänkade policyer som definierar organisationens forensiska förmåga. Clarysecs policymallar tillhandahåller arkitekturen för denna struktur. Nyckeln är att etablera uttryckliga kopplingar mellan policyer för att skapa ett sammanhållet styrningsramverk.

Genom att först etablera detta policyramverk skapar organisationen en försvarbar position. Till exempel anger vår Policy för bevisinsamling och forensik att den bygger på P22 – Loggnings- och övervakningspolicy för att säkerställa “tillgänglighet till händelseloggar och telemetri för bevisinsamling och forensisk korrelation”. Denna enda mening skapar ett starkt mandat: syftet med loggning är inte bara driftmässigt – det är också att möjliggöra forensisk analys.

För mindre organisationer är principerna desamma. Vår Policy för bevisinsamling och forensik för små och medelstora företag korshänvisar till sin egen grundläggande loggningspolicy: “P22S – Loggnings- och övervakningspolicy: Tillhandahåller de rådata som används som forensisk bevisning och fastställer krav på bevarande, åtkomststyrning och loggning.”

Denna dokumenterade strategi visar revisorer, tillsynsmyndigheter och interna team att organisationen har ett definierat och avsiktligt arbetssätt för hantering av bevismaterial.

Den tekniska motorn: att driva beredskap med strategisk övervakning

Med en solid policygrund är nästa steg att bygga den tekniska motorn. Den bygger på två centrala kontroller i ISO/IEC 27001:2022: 8.15 Loggning och 8.16 Övervakningsaktiviteter. Även om de ofta diskuteras tillsammans fyller de olika syften. Kontroll 8.15 handlar om att registrera händelser. Kontroll 8.16 handlar om att aktivt analysera dem för att detektera avvikelser och säkerhetshändelser. Detta är hjärtslaget i forensisk beredskap.

Guiden Zenith Controls, vår egenutvecklade kontrollkartläggning som kopplar ISO-kontroller till globala standarder och revisionspraxis, beskriver hur 8.16 Övervakningsaktiviteter är nyckelkomponenten som kopplar rådata till handlingsbar information. Den finns inte i ett vakuum; den ingår i ett djupt sammanlänkat säkerhetsekosystem:

• Kopplad till 8.15 Loggning: Effektiv övervakning är omöjlig utan robust loggning. Kontroll 8.15 säkerställer att rådata finns. Kontroll 8.16 tillhandahåller analysmotorn som gör datan begriplig. Utan övervakning är loggar bara ett tyst och ogranskat arkiv.
• Matar in i 5.25 Bedömning och beslut om informationssäkerhetshändelser: De larm och avvikelser som övervakningen (8.16) flaggar är de primära indata till processen för händelsebedömning (5.25). Som guiden Zenith Controls noterar är det så organisationen skiljer en mindre avvikelse från en fullt utvecklad incident som kräver eskalering.
• Informeras av 5.7 Hotinformation: Övervakningen ska inte vara statisk. Hotinformation (5.7) tillhandahåller nya indikatorer på kompromettering och angreppsmönster, som ska användas för att uppdatera övervakningsregler och sökningar och skapa en proaktiv återkopplingsslinga.
• Utsträcks till 5.22 Övervakning av leverantörstjänster: Organisationens insyn får inte sluta vid den egna perimetern. För molntjänster och andra leverantörer måste organisationen säkerställa att deras övervaknings- och loggningsförmåga uppfyller organisationens forensiska krav, vilket är en central aspekt för NIS2 och DORA.

En strategi för loggning och övervakning med forensisk beredskap börjar med syfte. Organisationens larmtrösklar ska baseras på riskbedömningen, till exempel övervakning av toppar i utgående nätverkstrafik, snabba kontolåsningar, behörighetshöjningar, detektion av skadlig kod och installation av otillåten programvara.

På samma sätt måste bevarande av loggar vara ett medvetet beslut. Guiden Zenith Controls rekommenderar:

Bevarande och säkerhetskopiering av loggar bör hanteras under en fördefinierad period, med skydd mot obehörig åtkomst och ändringar. Perioder för bevarande av loggar ska fastställas utifrån verksamhetens behov, riskbedömningar, god praxis och rättsliga krav …

Det innebär att bevarandetider ska definieras per system (t.ex. 12 månader online och 3–5 år arkiverat för DORA-kritiska system) och att säkerhetskopior ska bevaras minst lika länge som loggarna granskas regelbundet.

Balansakten inom regelefterlevnad: att samla in bevismaterial utan att bryta mot GDPR

En reflexmässig reaktion på ett revisionsmisslyckande som Marias kan vara att logga allt, överallt. Det skapar ett nytt och lika farligt problem: överträdelse av dataskyddsprinciperna enligt GDPR. Forensisk beredskap och integritetsskydd ses ofta som motstående krafter, men de måste förenas.

Det är här ISO 27001:2022-kontroll 5.34 Integritet och skydd av personuppgifter (PII) blir kritisk. Den fungerar som bryggan mellan organisationens säkerhetsprogram och dess dataskyddsskyldigheter. Som beskrivs i Zenith Controls är införande av 5.34 direkt bevismaterial för organisationens förmåga att uppfylla GDPR:s Article 25 (inbyggt dataskydd och dataskydd som standard) och Article 32 (säkerhet i samband med behandling).

För att uppnå denna balans måste det forensiska programmet integrera centrala integritetsförstärkande kontroller:

• Integrera med 5.12 Informationsklassning: Säkerställ att loggar från system som behandlar PII klassificeras som mycket känsliga och får det starkaste skyddet.
• Inför 8.11 Datamaskering: Använd aktivt pseudonymisering eller maskering för att dölja personliga identifierare i loggar där råvärden inte krävs för utredningen. Detta är ett direkt genomförande av uppgiftsminimering.
• Tillämpa 5.15 och 5.16 (Åtkomststyrning och identitetshantering): Begränsa åtkomst till råa loggar enligt strikt behovsprincip, särskilt för händelser som rör anställda eller kunder.
• Kartlägg mot ramverk för integritetsskydd: Stöd programmet med standarder som ISO/IEC 27701 (för PIMS), ISO/IEC 27018 (för PII i molnet) och ISO/IEC 29100 (för integritetsprinciper).

Genom att integrera dessa kontroller kan organisationen utforma en loggnings- och övervakningsstrategi som både är forensiskt hållbar och integritetsmedveten, och därmed tillgodose säkerhetsteam och dataskyddsombud samtidigt.

Från teori till revision: vad olika revisorer faktiskt letar efter

Att klara en revision kräver att rätt bevismaterial presenteras på ett sätt som uppfyller revisorns specifika metodik. En ISO 27001-revisor tänker annorlunda än en COBIT-revisor, och båda har ett annat fokus än en NIS2-tillsynsmyndighet.

Avsnittet audit_methodology i vår Zenith Controls-guide för 8.16 Övervakningsaktiviteter ger informationssäkerhetschefer en ovärderlig färdplan genom att översätta kontrollens mål till konkret bevismaterial för olika revisionsperspektiv.

Så här förbereder organisationen sig för granskning från olika vinklar:

Att förstå dessa olika perspektiv är avgörande. För en ISO-revisor är en väl dokumenterad process för hantering av falsklarm utmärkt bevismaterial för ett fungerande system. För en NIST-revisor är ett live-test som visar att ett larm utlöses i realtid mer övertygande. För en NIS2- eller DORA-tillsynsmyndighet är bevis på tidsenlig detektion och eskalering avgörande. Marias team misslyckades eftersom de inte kunde tillhandahålla bevismaterial som skulle tillfredsställa något av dessa perspektiv.

Praktiskt scenario: att bygga ett revisionsklart bevispaket

Låt oss tillämpa detta på ett verklighetsnära scenario: en kampanj med skadlig kod påverkar flera slutpunkter i organisationens EU-verksamhet, varav vissa behandlar kunders PII. Organisationen behöver uppfylla GDPR, NIS2, DORA och kraven från sin ISO 27001-revisor.

Bevispaketet ska vara en strukturerad berättelse, inte bara en datadump. Det ska omfatta:

1. Teknisk tidslinje och artefakter:

   • SIEM-larm som visar initial detektion, kopplade till 8.16 Övervakningsaktiviteter.
   • EDR-loggar med filhashar, processträd och begränsningsåtgärder.
   • Brandväggs- och nätverksloggar som visar C2-kommunikationsförsök.
   • Autentiseringsloggar som visar eventuella försök till lateral förflyttning.
   • Hashar av samtliga insamlade loggfiler för att visa integritet, i linje med 8.24 Användning av kryptografi.

2. Styrnings- och processunderlag:

   • En kopia av organisationens Policy för bevisinsamling och forensik.
   • En kopia av organisationens Loggnings- och övervakningspolicy, som visar mandatet att samla in dessa data.
   • Det relevanta utdraget ur organisationens Policy för bevarande och gallring av data Policy för bevarande och gallring av data som visar bevarandetiderna för dessa specifika loggar.

3. Koppling till incidenthantering:

   • Incidentärendet som visar klassificering, bedömning av allvarlighetsgrad och eskalering, och som kopplar övervakning (8.16) till incidentbedömning (5.25).
   • Poster över beslutsprocessen för att underrätta myndigheter enligt NIS2 Article 23 eller GDPR Article 33.

4. Underlag för dataskyddsefterlevnad:

   • En anteckning från dataskyddsombudet som bekräftar att en dataskyddsgranskning har genomförts av bevispaketet.
   • Demonstration av att eventuell PII i loggarna hanterades enligt policy (t.ex. att åtkomsten var begränsad), i linje med kontroll 5.34 Integritet och skydd av personuppgifter (PII).

5. Regulatorisk kommunikation:

   • En post över eventuell korrespondens med dataskyddsmyndigheten eller nationell cybersäkerhetsmyndighet, enligt rekommendationerna i vår vägledning i Zenith Controls.

Detta strukturerade paket omvandlar en kaotisk händelse till en demonstration av kontroll, process och tillbörlig aktsamhet.

Bygg organisationens bevisarkiv: en handlingsinriktad plan

Hur kan en informationssäkerhetschef gå från ett reaktivt läge till ett tillstånd av löpande revisionsklar forensisk beredskap? Nyckeln är att systematiskt bygga ett “bevisarkiv” som innehåller det underlag revisorer behöver innan de begär det.

1. Dokumentera strategin:

• Slutför policyer: Godkänn och publicera organisationens loggnings- och övervakningspolicy, policy för bevisinsamling och policy för bevarande och gallring av data, med steg 14 i Zenith Blueprint som vägledning.
• Kartlägg dataflödet: Upprätthåll ett diagram som visar varifrån loggar samlas in, var de aggregeras (t.ex. SIEM) och hur de skyddas.

2. Konfigurera och validera verktygen:

• Sätt riskbaserade trösklar: Dokumentera trösklarna för centrala larm och motivera dem utifrån organisationens riskbedömning.
• Validera bevarandeinställningar: Ta skärmbilder från organisationens plattform för logghantering eller molnkonsol som tydligt visar konfigurerade bevarandetider för olika datatyper.
• Visa integritet: Etablera en process för att kryptografiskt hasha kritiska bevisfiler vid insamling och lagra hasharna separat.

3. Visa operativ effektivitet:

• Bevara detaljerade poster: Upprätthåll poster över hur organisationen har hanterat minst tre nyligen inträffade säkerhetshändelser, även falsklarm. Visa initialt larm, triageanteckningar, vidtagna åtgärder och slutlig lösning med tidsstämplar.
• Logga åtkomst till loggar: Var beredd att visa vilka som har åtkomst till råa loggar och tillhandahåll revisionsspår över deras åtkomst.
• Testa och registrera: Bevara poster som visar att organisationens övervakningssystem fungerar normalt och att periodiska tester (t.ex. larmtester) genomförs och loggas.

Marias revisionsmisslyckande var inte tekniskt, utan strategiskt. Hon lärde sig den hårda vägen att i dagens regulatoriska landskap är en incident som inte kan utredas nästan lika allvarlig som själva incidenten. Loggar är inte längre en enkel biprodukt av IT; de är en kritisk tillgång för styrning, riskhantering och regelefterlevnad.

Vänta inte på att en avvikelse ska blottlägga organisationens luckor. Genom att bygga en verklig förmåga för forensisk beredskap omvandlar organisationen sina säkerhetsdata från en potentiell belastning till sin starkaste tillgång för att visa tillbörlig aktsamhet och resiliens.

Redo att bygga organisationens egen revisionsklara forensiska förmåga? Utforska Clarysecs The Zenith Blueprint: An Auditor’s 30-Step Roadmap för att bygga ert dokumenterade ISMS från grunden, och fördjupa er i våra Zenith Controls för att förstå exakt vilket bevismaterial revisorer kräver för varje kontroll. Boka en konsultation idag för att se hur våra integrerade verktygslådor kan påskynda er resa mot verifierbar regelefterlevnad.