Managementul continuității afacerii – ce audităm

Hellen Keller a fost o scriitoare americancă.

Oarbă și surdă de la vîrsta de aproape 2 ani.

În The Open Door scrie:

”Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright exposure. Life is either a daring adventure, or nothing.”

Am ales să scriu despre ”continuitate” pentru că îl consider printre cele mai importante subiecte: riscurile rar pot fi eliminate. Riscurile există, trăim cu ele, ne bazăm că semenii noștri au un comportament similar într-o lume mai complicată decît o percepem. Sînt doar cîteva dintre motivele pentru care trebuie să știm cum să reacționăm în situații pe care le conștientizăm. Unele ”întîmplări” vor rămîne oricum necunoscute motiv pentru care, în momente de criză, reacționăm cu totul altfel. În momente de criză, frica își face simțită prezența mai mult. Nu ne plac ”lebedele negre” dar ne dorim să ”supraviețuim”.

Nu mi-am propus să prezint toate aspectele care trebuie revizuite (nu sînt CERT) ci, ca de obicei, exprim o opinie oferind cîteva exemple. Opinie care cu siguranță va suferi modificări după lectura n+1 a Normelor… Ca auditor trebuie să am în primul rînd o înțelegere completă și corectă a proceselor economice din organizația auditată.

1. Cerințe legale

Voi lua ca exemplu prevederile din Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, din 09.11.2020

ARTICOLUL 34 Asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice [D11] 

(1) Cerințe de securitate

[D111]. Asigurarea disponibilității. În conformitate cu PONIS, OSE definește o procedură privind managementul asigurării disponibilității serviciului esențial, în caz de incident de securitate cibernetică.

(2) Indicatori de control. PRADE.

ARTICOLUL 36 Organizarea gestionării crizelor [D21] 

(1) Cerințe de securitate

[D211]. Organizarea gestionării crizelor cibernetice. OSE definește în PONIS sau separat o procedură privind organizarea gestionării crizelor în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționale.

(2) Indicatori de control. PROCIS.

ARTICOLUL 37 Procesul de gestionare a crizelor [D22] 

(1) Cerințe de securitate

[D221]. Gestionarea crizelor cibernetice. OSE definește în PONIS sau separat procesele de gestionare a crizelor pe care le va implementa în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționale.

(2) Indicatori de control. PEGEC.

Acronimele au semnificația:

PONIS – politica de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale

PRADE – procedură privind managementul asigurării disponibilității serviciului esențial, în caz de incident de securitate cibernetică

PEGEC – procese de gestionare a crizelor; documente prin care OSE stabilește procesele și modurile de implementare în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționale

PROCIS – procedură privind organizarea gestionării crizelor în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționale

PROMRE – procedură privind managementul recuperării datelor în caz de dezastre, precum și în caz de incidente severe de securitate cibernetică

Ar fi fost cred mai clar dacă s-ar fi folosit termenii deja consacrați (continuitatea activității, redresare=recovery, plan, analiză etc). Datorită integrării, distribuției tehnologice, mediilor hibride consider că este dificil de realizat o singură ”procedură”, cuprinzătoare, care să acopere People (strategie, organizare), Process, Technology (hardware, software, date, facilități). PEGEC de exemplu este și ”procese” și ”documente” și ar trebui să îl regăsim în mai multe ”locuri”.

În acest moment nu am înțeles în ce măsură criteriile pe baza cărora CERT clasifică un incident se aplică și OSE (NORME TEHNICE din 23 noiembrie 2020 de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esențiale și furnizori de servicii digitale). În funcție de acel impact se va ști dacă un ”incident” va fi sau nu ”criză”.

2. Audit

În mod normal ”obiectivele” ar trebui să cuprindă tot ce este referit în Norme. Dar acum mă voi limita doar la continuitate: cum ne asigurăm că aceste controale sînt eficiente și eficace?

Obiectivele auditului:

  • să ofer managementului o evaluare a nivelului de pregătire a organizației în cazul unei întreruperi majore a proceselor
  • să identific aspectele care pot limita capacitatea de prelucrare și restaurare
  • să ofer managementului o evaluarea a eficienței planului de continuitate (PRADE, PROCIS, PEGEC)

Dar dacă OSE este din sectorul bancar voi avea în vedere și regulamentele BNR și ghidurile EBA aplicabile (de exemplu EBA/GL/2019/04). În domeniul sănătății nu știu să existe cerințe. Nu uităm că Normele citate la începutul acestui articol sînt ”cerințe minime” și să existe cerințe specifice domeniului de activitate al OSE.

Dacă este o organizație cu un departament de audit intern voi solicita ultimul raport de revizie BCP. Dacă nu există așa ceva…trecem mai departe. Dacă este vreo echipă internă de ”management proiecte” cu ei ar trebui să începem. Dacă este nominalizat vreun standard ISO (27001 de ex.), îl vom folosi ca referință și pe acesta.

Cum cerințele minime din normele la care am făcut referire sînt grupate pe domenii de securitate consider că subiectul ar trebuie ”trecut prin această sită” prima dată și nu analizat de sine stătător.

Exemple

Control:  Echipa de management a continuității are un lider/conducător desemnat? Acesta raportează managementului superior? Membrii echipei includ reprezentanți din toate departamentele/unitățile funcționale, dar mai ales cele critice (juridic, resurse umane, relații publice, furnizori/logistică, securitate IT, operațional, audit intern)?                                                     

Vreau să obțin asigurări că documentele pe care le voi revizui nu sînt doar formale. Ca formă, ele pot fi extraordinar de bune. Revizia va porni deci de la solicitarea organigramei și a fișelor de post ale celor nominalizați în echipa de continuitate, diagrama de rețea, harta proceselor economice, inventarul activelor….

Apoi voi solicita procedurile (cele din Norme)/BCP. Trebuie să am o înțelegere asupra modului în care membrii echipei se întîlnesc (un anunț/notificare a unei ședințe), cum comunică între ei, ce decizii se iau (o minută/mail/PV de ședință). Cum spuneam mai sus, vreau să văd și care sînt departamentele reprezentate în echipă. Mă Interesează dacă și cui raportează șeful echipei/coordonatorul – cine ia decizia de declarare a ”crizei”?                                                                                                                                        

Control:  Funcția/echipa este implicată în dezvoltarea procedurilor?

În primul rînd caut să identific dacă documentația reflectă politicile și procedurile generale: cum au fost dezvoltate? Cine le-a revizuit? Cine le-a aprobat? Angajații nominalizați au competențele necesare (ce instruire pe subiect s-a realizat? A fost trecut pur și simplu un nume pe un document?). Procedurile privind managementul incidentelor sînt corelate cu BCP?

Control: procesul de asigurare a continuității este monitorizat și revizuit?

Control: există definită și aprobată o metodologie pentru BIA care este baza dezvoltării BCP (PRADE, PROCES, PGEC)?

Control: Metodologia BIA identifică toate procesele, toate aplicațiile, RTO și RPO pentru aplicațiile critice (Există cerința anterioară cu privire la existența inventarului activelor)? Se știu dependențele dintre procese? BIA este actualizată cel puțin anual? Managerii de proces implicați în completarea BIA sînt implicați și în evaluarea riscurilor (scenariile despre continuitate fac parte din evaluarea riscurilor)?

Control: care este frecvența testelor și rezultatul acestora (scenarii)? RTO a fost atins? S-au testat situații noi? Cum au funcționat apelurile? Care au fost concluziile?

Concluzie

Efortul necesar auditării acestui subiect? Pe la a treia lectură a Normelor consideram că o echipă de 2 oameni poate revizui și testa, în medie, 2 controale pe zi. Există însă domenii, ca acesta, pentru care vor fi necesare minim 2 zile de muncă. Mai trebuie vizitate și sediile DRP (posibil la un terț), funcționarea soluțiilor de HA/replicare….

Odată cu publicarea REGULAMENTULUI din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică, pare că, în sfîrșit, auditul trece de etapa ”bife pe hîrtie”.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.