Open source pentru conformitate: de ce apreciază auditorii un ISMS deschis
Instrumentul de probă nu ar trebui să fie singura cutie neagră din auditul dumneavoastră.
Verificabilitatea învinge asigurarea
Conformitatea înseamnă probe și verificabilitate. Un auditor întreabă cum sunt prelucrate datele, unde se află și cine are acces. Cu software open-source puteți răspunde prin inspecție, nu prin încredere.
Pentru un instrument a cărui întreagă menire este să vă păstreze probele, faptul de a putea fi inspectat nu este un simplu avantaj opțional.
Codul deschis permite unui auditor sau echipei dumneavoastră să urmărească exact cum sunt înregistrate o semnătură de aprobare, un termen sau o intrare în pista de audit. Articolul 21(2)(f) NIS 2 impune politici și proceduri pentru evaluarea eficacității măsurilor dumneavoastră.
Evaluarea eficacității este mai ușoară atunci când mecanismul care produce proba poate fi inspectat, nu presupus.
Articolul 21(2)(d) NIS 2 vă obligă să gestionați riscul lanțului de aprovizionare, iar platforma dumneavoastră de conformitate este unul dintre furnizorii dumneavoastră. Open source reduce această sarcină de verificare: codul poate fi examinat și nu există o dependență închisă pe care să nu o puteți evalua.
Puteți externaliza operarea unui instrument, dar răspunderea pentru obligație rămâne la dumneavoastră (§ 30 BSIG). Un instrument inspectabil face această răspundere mai ușor de purtat.
Open source nu este în mod inerent mai puțin sigur. Codul public și urmărirea publică a problemelor înseamnă adesea că vulnerabilitățile sunt găsite și corectate mai repede. Articolul 21(2)(e) NIS 2 acoperă gestionarea și divulgarea vulnerabilităților.
Ceea ce decide de fapt securitatea este dacă software-ul este întreținut și actualizat, ceea ce este valabil deopotrivă pentru instrumentele deschise și pentru cele închise.
Întrebări frecvente
Poate un auditor să respingă un instrument open-source?
Un auditor evaluează măsurile și probele dumneavoastră, nu marca software-ului. NIS 2 nu numește niciun produs obligatoriu. Un instrument inspectabil tinde să ușureze munca auditorului, nu să o îngreuneze.
Este open source mai puțin sigur decât un produs comercial?
Nu în virtutea faptului că este deschis. Întreținerea și actualizările prompte decid securitatea; principiul multor ochi ajută adesea mai mult decât dăunează.
Mai trebuie să documentez dacă instrumentul este deschis?
Da. Instrumentul înregistrează proba; deciziile vă aparțin în continuare. Open source face înregistrarea transparentă, nu opțională.
Satisface open source automat cerința privind lanțul de aprovizionare?
Nu, dar reduce costul verificării. Evaluați și documentați în continuare instrumentul ca furnizor în temeiul articolului 21(2)(d) NIS 2.
Ce ar trebui să verific înainte de a avea încredere într-un ISMS deschis?
Întreținerea activă, o cale clară de actualizare, modelul de găzduire și dacă vă puteți exporta datele. Deschiderea este nivelul minim, întreținerea este testul.