„A NIS2– és DORA-felkészülés során sok szervezet keres meg minket azzal, hogy adjunk „sabloncsomagot”, ami alapján egyedül elkészítik a saját szabályozókat, felméréseket. Tény, hogy vannak szolgáltatók, amelyeknél elérhetők ilyen jellegű dokumentumok, mi nem hiszünk a dobozos megoldások használatában. Bár gyorsnak és egyszerűnek tűnik ezek feltöltése, nemegyszer láttuk már, hogy a támogatás nélkül kitöltött sablonok nem állták meg a helyüket – többen ekkor kérték a segítségünket a projekt újragombolásához, ami persze többletköltséget eredményezett” – osztotta meg tapasztalatait Oroszi Eszter, a Silent Signal információbiztonsági tanácsadás üzletágának vezetője.
A megfelelés nem sprint, hanem maraton!
A gyorsan összeállított Excel-táblákkal csak letudjuk a feladatot, de nem oldjuk meg a problémát, és ennek később nagy ára lehet. Az olyan célszoftverek, mint a GRC-rendszerek, hosszú távon megkönnyítik a munkánkat és vezetik a kezünket, követik a jogszabályokat, valamint a legjobb gyakorlatokat alkalmazzák – nem lőhetünk mellé a felkészülés során, ha ezekkel dolgozunk, sőt az auditok során is hasznos segítséget nyújtanak. Ráadásul napjaink információbiztonsági feladatai sokszor szofisztikáltabb adatbázisokat igényeknek, mint egy adatszolgáltató Excel-űrlap kitöltése.
Ne legyenek illúzióink: a GRC-rendszer sem végzi el helyettünk a feladatokat. Az ügyfélnek a bevezetést követően is dolgoznia kell vele. De vajon belegondolunk abba, hogy ha külső szakértő végzi a feladatot, attól még a szervezet – a vezetők és a kollégák – nélkül nem jutnak előrébb? És egyébként: gondolta volna, hogy a teljes körű felkészülést támogató SIREN rendszer éves licencdíja kedvezőbb, mint egy teljes NIS2-felkészítés tanácsadói költsége?
Miért kell nekünk és önnek egy ilyen rendszer?
„A SIREN kapcsán sokan teszik fel a kérdést, hogy: Miért fejlesztettetek egy új GRC-rendszert? Hiszen több másik is van a piacon.” Erre egyszerű a válasz: mert maximalisták vagyunk nemcsak a funkcionalitás, de a használhatóság terén is! Éveken keresztül hallgattuk, hogy az elérhető rendszerek bonyolultak, „pilótavizsga” vagy külső tanácsadó kell a kezelésükhöz, valamint jól hangzó, de valójában felesleges funkciókat tartalmaznak. Hiszünk abban, hogy van létjogosultsága egy egyszerűen használható, minden információbiztonsági feladatot támogató, felhasználóbarát rendszernek”
– mondta Oroszi Eszter.
A SIREN segítségével a szervezet önállóan is meg tudja valósítani a felkészülést, a rendszer több segédletet is tartalmaz akár egy OVI-táblatöltés, akár kockázatelemzés során. A különböző nyilvántartások naprakészen tartásához nem kell többet táblázatokat küldözgetni, és a kollégák a rendszeren keresztül is tudnak adatot szolgáltatni. Hogy biztosan ne maradjon el semmilyen feladat, a dashboardjaink figyelmeztetnek a határidőkre, ahol követhető a készültségi állapot is – különösen hasznos ez a NIS2-megfelelés során. Újonnan megjelenő incidens- és sérülékenységmenedzsment-moduljainknak köszönhetően pedig tényleg nincs olyan feladat, ami ne tudna megvalósítani a rendszerben.
(Nyitókép: pixabay)
