Código aberto para a conformidade: porque os auditores valorizam um ISMS aberto
A ferramenta de prova não deve ser a única caixa negra na sua auditoria.
A verificabilidade vale mais do que a garantia
A conformidade tem que ver com prova e verificabilidade. Um auditor pergunta como os dados são tratados, onde residem e quem tem acesso. Com software de código aberto, pode responder a isso através da inspeção, não da confiança.
Para uma ferramenta cuja única função é guardar as suas provas, ser inspecionável não é um extra dispensável.
O código aberto permite a um auditor ou à sua própria equipa acompanhar exatamente como uma aprovação, um prazo ou uma entrada no registo de auditoria é registado. O artigo 21(2)(f) NIS 2 exige políticas e procedimentos para avaliar a eficácia das suas medidas.
Avaliar a eficácia é mais fácil quando o mecanismo que produz a prova pode ser inspecionado em vez de presumido.
O artigo 21(2)(d) NIS 2 obriga-o a gerir o risco da cadeia de fornecimento, e a sua plataforma de conformidade é um dos seus fornecedores. O código aberto reduz esse encargo de diligência: o código é revisível e não existe nenhuma dependência fechada que não consiga avaliar.
Pode subcontratar a operação de uma ferramenta, mas a responsabilidade pelo dever permanece consigo (§ 30 BSIG). Uma ferramenta inspecionável torna essa responsabilidade mais fácil de assumir.
O código aberto não é, por natureza, menos seguro. O código público e o registo público de problemas significam, muitas vezes, que as vulnerabilidades são encontradas e corrigidas mais depressa. O artigo 21(2)(e) NIS 2 abrange o tratamento e a divulgação de vulnerabilidades.
O que realmente determina a segurança é se o software é mantido e atualizado, o que é válido tanto para ferramentas abertas como fechadas.
Perguntas frequentes
Pode um auditor recusar uma ferramenta de código aberto?
Um auditor avalia as suas medidas e provas, não a marca do seu software. A NIS 2 não indica nenhum produto obrigatório. Uma ferramenta inspecionável tende a facilitar o trabalho do auditor, não a dificultá-lo.
O código aberto é menos seguro do que um produto comercial?
Não pelo facto de ser aberto. A manutenção e as atualizações atempadas determinam a segurança; o princípio dos muitos olhos ajuda muitas vezes em vez de prejudicar.
Continuo a precisar de documentar se a ferramenta é aberta?
Sim. A ferramenta regista a prova; as decisões continuam a ser suas. O código aberto torna o registo transparente, não opcional.
O código aberto cumpre automaticamente o requisito da cadeia de fornecimento?
Não, mas reduz o custo da diligência. Continua a avaliar e a documentar a ferramenta como fornecedor ao abrigo do artigo 21(2)(d) NIS 2.
O que devo verificar antes de confiar num ISMS aberto?
Manutenção ativa, um caminho de atualização claro, o modelo de alojamento e se pode exportar os seus dados. A abertura é o mínimo, a manutenção é o verdadeiro teste.