Directiva NIS2 a adus provocări semnificative pentru companii, în special în ceea ce privește evaluarea controalelor, organizarea documentației și pregătirea dovezilor pentru audit. Volumul cerințelor și complexitatea procesului au accelerat dezvoltarea unor instrumente bazate pe inteligență artificială, capabile să reducă munca manuală din etapele de evaluare și pre-audit, a declarat Alex Ana, CEO Optimizor, la Forumul România Digitală, organizat de Financial Intelligence.
Potrivit acestuia, primele solicitări din partea clienților au apărut în urmă cu aproximativ un an. Pe măsură ce echipa pe care o coordonează a început să lucreze efectiv cu cerințele NIS2, impactul asupra proceselor interne s-a dovedit însă mai amplu decât anticipaseră inițial.
Alex Ana a explicat că primul pre-audit realizat pentru unul dintre clienții Optimizor a presupus un efort considerabil din partea mai multor specialiști.
„Când am avut primul pre-audit la unul dintre clienți, a trebuit să muncim câteva săptămâni cu destul de mulți oameni să răspundem la audit”, a declarat acesta.
Complexitatea nu provenea doar din verificările tehnice, ci și din volumul mare de întrebări, documente și dovezi care trebuiau identificate și corelate.
„A trebuit să răspundem la 1.000 și ceva de întrebări puse într-un Excel”, a explicat el.
Potrivit CEO-ului Optimizor, evaluarea era structurată în jurul a aproximativ 210 controale de securitate. Experiența a evidențiat una dintre dificultățile frecvente ale pregătirii pentru conformitatea NIS2: informațiile există, de regulă, în mai multe sisteme, politici și documente, însă trebuie identificate, clasificate și asociate cerințelor relevante.
De la un instrument intern la Security OptiApp
În urma primelor proiecte de pre-audit, Optimizor a început să dezvolte un instrument intern care să reducă activitățile repetitive și să structureze mai bine procesul de evaluare.
„Inițial am dezvoltat ceva pentru noi, apoi, din feedbackul venit de la clienții noștri, am decis că e o idee bună să dăm și către alte companii aplicația la care lucrăm”, a declarat CEO-ul Optimizor.
Astfel a apărut Security OptiApp, aplicația AI-assisted dezvoltată de Optimizor pentru evaluarea pregătirii în vederea conformității NIS2.
Soluția ajută companiile să își evalueze postura de securitate, să mapeze constatările la controale NIS2, să organizeze dovezi și documentație și să genereze rapoarte pentru IT, securitate, risc, conformitate și management.
„AI-ul analizează documentele și le clasifică conform controalelor corespunzătoare”, a explicat acesta.
Prin această funcționalitate, politicile, procedurile, rapoartele și alte dovezi existente pot fi organizate într-o formă mai ușor de utilizat în procesele de evaluare, remediere și pregătire pentru audit.
În situațiile în care anumite politici sau proceduri lipsesc, aplicația poate sprijini generarea, completarea și organizarea documentației necesare. Documentele rezultate trebuie ulterior analizate și aprobate de specialiștii organizației.
Security OptiApp nu garantează conformitatea NIS2 și nu înlocuiește auditul, consultanța juridică sau responsabilitatea internă a companiei. Rolul aplicației este de a susține evaluarea nivelului de pregătire, organizarea dovezilor, identificarea lacunelor și urmărirea acțiunilor de remediere.
Un „buton magic” pentru audit
Unul dintre elementele prezentate de Alex Ana în cadrul evenimentului a fost posibilitatea de a utiliza Security OptiApp pentru completarea chestionarelor primite în cadrul unui audit sau pre-audit.
„Dacă vine un audit, tot trebuie să completezi niște documente. Așa că am făcut un “buton magic”, prin care poți să îi dai aplicației ce ți-a dat auditorul și aplicația îți spune automat ce ai tu în environment”, a declarat CEO-ul Optimizor.
Funcționalitatea urmărește să identifice informațiile deja disponibile în mediul IT și în documentația companiei și să le coreleze cu întrebările primite de la auditor.
Astfel, echipele pot reduce timpul necesar pentru căutarea manuală a informațiilor și pot obține mai rapid o primă versiune structurată a răspunsurilor, care urmează să fie verificată și validată intern.
Configurare pentru medii cloud, hibride și on-prem
Alex Ana a precizat că produsul a fost gândit inițial ca un serviciu cloud. Discuțiile cu organizații din sectoare critice au evidențiat însă nevoia unei opțiuni de implementare în infrastructura proprie a clientului.
„După primele discuții cu câteva companii de utilități de la noi, am hotărât că ar fi bine să facem și hostare on premise”, a spus el.
Această variantă permite organizațiilor să păstreze procesarea și stocarea informațiilor în propria infrastructură, inclusiv în medii izolate de internet, în funcție de configurația și politicile de securitate ale clientului.
Security OptiApp poate fi configurată pentru medii cloud, hibride și on-prem și poate acoperi componente diferite ale infrastructurii IT, inclusiv Microsoft 365, Azure, furnizori importanți de servicii cloud publice, echipamente de rețea, platforme de email și website și alte sisteme relevante.
Pe lângă maparea la controale NIS2, platforma include și referințe la alte cadre și standarde de securitate cibernetică, precum NIST și CIS.
Costul soluției: sub 200 de euro pe lună
Alex Ana a precizat că unul dintre obiectivele Optimizor este menținerea unui nivel de cost accesibil pentru organizațiile care trebuie să își structureze mai bine procesele de evaluare și pregătire pentru audit.
„Abonamentele, mai ales pentru perioada aceasta de început, ar trebui să fie undeva până în 200 de euro pe lună”, a declarat acesta.
Prețul final poate depinde de configurația aleasă, mediile evaluate și modalitatea de implementare a soluției.
Mai multe detalii despre Security OptiApp
Companiile care doresc să afle mai multe despre Security OptiApp pot scrie la adresa de email izabela.matei@optimizor.com sau pot programa un demo pentru a vedea cum susține aplicația evaluarea posturii de securitate, maparea la controale NIS2, organizarea dovezilor și pregătirea rapoartelor pentru echipe tehnice și management.
| Știri BVB