Open source pro compliance: proč auditoři oceňují otevřený ISMS
Nástroj pro doklady by neměl být tou jednou černou skříňkou ve vašem auditu.
Ověřitelnost je víc než ujištění
U compliance jde o doklady a ověřitelnost. Auditor se ptá, jak jsou data zpracovávána, kde se nacházejí a kdo k nim má přístup. U open source softwaru můžete odpovědět nahlédnutím, nikoli důvěrou.
U nástroje, jehož celým úkolem je uchovávat vaše doklady, není nahlédnutelnost příjemným bonusem navíc.
Otevřený kód umožňuje auditorovi nebo vašemu vlastnímu týmu přesně sledovat, jak je zaznamenáno schválení, lhůta nebo záznam v auditní stopě. Článek 21(2)(f) NIS 2 vyžaduje politiky a postupy pro hodnocení účinnosti vašich opatření.
Hodnotit účinnost je snazší, když lze do mechanismu, který doklad vytváří, nahlédnout, místo aby se předpokládal.
Článek 21(2)(d) NIS 2 vám ukládá řídit riziko dodavatelského řetězce a vaše platforma pro compliance je jedním z vašich dodavatelů. Open source tuto zátěž náležité péče snižuje: kód je přezkoumatelný a neexistuje žádná uzavřená závislost, kterou nemůžete posoudit.
Provoz nástroje můžete outsourcovat, ale odpovědnost za danou povinnost zůstává na vás (§ 30 BSIG). Nahlédnutelný nástroj usnadňuje tuto odpovědnost nést.
Open source není ze své podstaty méně bezpečný. Veřejný kód a veřejné sledování chyb často znamenají, že se zranitelnosti najdou a opraví rychleji. Článek 21(2)(e) NIS 2 pokrývá řešení zranitelností a jejich zveřejňování.
O bezpečnosti ve skutečnosti rozhoduje to, zda je software udržován a aktualizován, což platí pro otevřené i uzavřené nástroje stejně.
Často kladené dotazy
Může auditor open source nástroj odmítnout?
Auditor posuzuje vaše opatření a doklady, nikoli značku vašeho softwaru. NIS 2 neuvádí žádný předepsaný produkt. Nahlédnutelný nástroj zpravidla práci auditora spíše usnadňuje než ztěžuje.
Je open source méně bezpečný než komerční produkt?
Ne kvůli tomu, že je otevřený. O bezpečnosti rozhoduje údržba a včasné aktualizace; princip mnoha očí často spíše pomáhá, než aby škodil.
Musím stále dokumentovat, i když je nástroj otevřený?
Ano. Nástroj zaznamenává doklady; rozhodnutí stále vlastníte vy. Open source dělá záznam transparentním, nikoli volitelným.
Splňuje open source automaticky požadavek na dodavatelský řetězec?
Ne, ale snižuje náklady na náležitou péči. Nástroj jako dodavatele stále posuzujete a dokumentujete podle článku 21(2)(d) NIS 2.
Co bych měl prověřit, než otevřenému ISMS důvěřuji?
Aktivní údržbu, jasnou cestu aktualizací, model hostingu a to, zda můžete svá data exportovat. Otevřenost je základ, údržba je zkouškou.