Gestione delle Prove di Conformità: Raccolta, Organizzazione e Manutenzione per gli Audit

Il problema delle evidenze

La maggior parte delle organizzazioni considera la produzione di evidenze di conformità come un semplice esercizio di raccolta, assemblando artefatti da diverse fonti in una struttura di cartelle prima di ogni audit. Questo approccio è fragile, dispendioso in termini di tempo e soggetto a errori. Le evidenze diventano obsolete, le fonti cambiano, la formattazione varia e la frenetica preparazione pre-audit richiede settimane.

Raccolta continua delle evidenze

L'alternativa: integrare la raccolta delle evidenze nei flussi di lavoro operativi, in modo che gli artefatti vengano creati e organizzati come sottoprodotto dello svolgimento delle proprie attività. I test di sicurezza producono automaticamente report mappati sulla conformità. Le revisioni degli accessi generano evidenze nel sistema di gestione delle identità. La gestione delle modifiche acquisisce i record di approvazione nel sistema di ticketing. Le evidenze sono sempre aggiornate perché vengono generate continuamente.

Evidenze specifiche per i Penetration Testing

Per le evidenze di un "Penetration Testing", è necessario: documentazione della metodologia, allineamento dello scope con il perimetro di conformità, risultati classificati per gravità con evidenza di riproduzione, azioni di correzione con tempistiche, evidenza di retest che confermi le correzioni e il report completo datato entro il periodo di audit. I report di Penetrify includono tutti e sei gli elementi come deliverable standard, senza necessità di post-elaborazione.

Conservazione e organizzazione

Conservare le evidenze di conformità per il periodo richiesto dal framework di riferimento (in genere da 1 a 7 anni a seconda del framework). Organizzare per controllo del framework, non per sistema di origine. Tagga le evidenze con il periodo di audit a cui si riferiscono. Mantenere un indice di evidenze "vivo" che mappi ogni controllo agli artefatti di supporto.