Open source dla zgodności: dlaczego audytorzy cenią otwarty ISMS
Narzędzie do gromadzenia dowodów nie powinno być jedyną czarną skrzynką w Państwa audycie.
Możliwość weryfikacji przewyższa zapewnienie
Zgodność dotyczy dowodów i możliwości weryfikacji. Audytor pyta, w jaki sposób dane są przetwarzane, gdzie się znajdują i kto ma do nich dostęp. Przy oprogramowaniu open source mogą Państwo odpowiedzieć na to poprzez kontrolę, a nie poprzez zaufanie.
Dla narzędzia, którego całym zadaniem jest przechowywanie Państwa dowodów, możliwość kontroli nie jest dodatkiem opcjonalnym.
Otwarty kod pozwala audytorowi lub Państwa własnemu zespołowi prześledzić dokładnie, w jaki sposób rejestrowane jest zatwierdzenie, termin lub wpis w ścieżce audytu. Art. 21(2)(f) NIS 2 wymaga polityk i procedur oceny skuteczności Państwa środków.
Ocena skuteczności jest łatwiejsza, gdy mechanizm generujący dowód można skontrolować, a nie tylko założyć.
Art. 21(2)(d) NIS 2 zobowiązuje Państwa do zarządzania ryzykiem łańcucha dostaw, a Państwa platforma do zgodności jest jednym z Państwa dostawców. Open source obniża ten ciężar należytej staranności: kod można poddać przeglądowi i nie ma zamkniętej zależności, której nie mogliby Państwo ocenić.
Mogą Państwo zlecić na zewnątrz obsługę narzędzia, ale odpowiedzialność za obowiązek pozostaje przy Państwu (§ 30 BSIG). Narzędzie możliwe do skontrolowania ułatwia dźwiganie tej odpowiedzialności.
Open source nie jest z natury mniej bezpieczny. Publiczny kod i publiczne śledzenie zgłoszeń często oznaczają, że podatności są wykrywane i łatane szybciej. Art. 21(2)(e) NIS 2 obejmuje obsługę i ujawnianie podatności.
O bezpieczeństwie faktycznie decyduje to, czy oprogramowanie jest utrzymywane i aktualizowane, co dotyczy w równym stopniu narzędzi otwartych i zamkniętych.
Najczęściej zadawane pytania
Czy audytor może odrzucić narzędzie open source?
Audytor ocenia Państwa środki i dowody, a nie markę oprogramowania. NIS 2 nie wskazuje żadnego wymaganego produktu. Narzędzie możliwe do skontrolowania zwykle ułatwia pracę audytora, a nie utrudnia ją.
Czy open source jest mniej bezpieczny niż produkt komercyjny?
Nie ze względu na to, że jest otwarty. O bezpieczeństwie decydują utrzymanie i terminowe aktualizacje; zasada wielu par oczu częściej pomaga, niż szkodzi.
Czy muszę nadal dokumentować, jeśli narzędzie jest otwarte?
Tak. Narzędzie rejestruje dowody, ale decyzje nadal należą do Państwa. Open source czyni rejestrowanie przejrzystym, a nie opcjonalnym.
Czy open source automatycznie spełnia wymóg dotyczący łańcucha dostaw?
Nie, ale obniża koszt należytej staranności. Nadal oceniają i dokumentują Państwo narzędzie jako dostawcę na podstawie art. 21(2)(d) NIS 2.
Co powinienem sprawdzić, zanim zaufam otwartemu ISMS?
Aktywne utrzymanie, jasną ścieżkę aktualizacji, model hostingu oraz to, czy mogą Państwo wyeksportować swoje dane. Otwartość to fundament, utrzymanie to sprawdzian.