Analiżi tal-Impatt fuq in-Negozju għal ISO 27001, NIS2 u DORA
Il-mistoqsija tal-awditjar li tikxef il-lakuna reali fil-kontinwità
Huwa t-Tnejn filgħodu, u Maria, CISO ta’ FinTech li qed tikber malajr, qed tipprepara għal laqgħa tal-kumitat tar-riskju tal-bord. Is-suġġett huwa qasir: “Tħejjija għal DORA u NIS2: Rieżami tal-BIA.”
It-tim tagħha bena dak li ħafna eżekuttivi jistennew li jaraw. Hemm ISMS iċċertifikat skont ISO/IEC 27001:2022, playbooks għar-rispons għall-inċidenti, screenshots tal-backup, rapporti dwar vulnerabbiltajiet, kwestjonarji tal-fornituri, dijagrammi tal-arkitettura cloud, u Reġistru tar-Riskju aġġornat. Klijenti korporattivi qed jibagħtu kwestjonarji NIS2. Klijenti fis-settur finanzjarju qed idaħħlu klawżoli DORA fil-kuntratti. L-awditu ta’ sorveljanza ISO/IEC 27001:2022 jinsab xahar biss ’il bogħod.
Imbagħad l-awditur estern jistaqsi l-mistoqsija li tbiddel il-kamra:
“Jekk il-pjattaforma tal-onboarding tal-klijenti ma tkunx disponibbli għal 18-il siegħa, liema servizzi regolati jiġu affettwati, liema fornituri huma involuti, x’inhi l-prijorità approvata għall-irkupru, u fejn hi l-evidenza li n-negozju aċċetta l-RTO u l-RPO?”
Il-kamra tiskot.
L-iskeda tal-backup tgħid ħaġa. Il-pjan ta’ rkupru minn diżastru jgħid oħra. Il-kuntratt tal-fornitur jinkludi SLA dwar id-disponibbiltà, iżda m’hemmx evidenza ta’ test tal-irkupru. Ir-Reġistru tar-Riskju jsemmi d-disponibbiltà, iżda ma jispjegax għaliex servizz wieħed għandu jirkupra aktar malajr minn ieħor. Il-maniġment approva l-politika tas-sigurtà, iżda mhux l-impatt fuq in-negozju tal-ħin ta’ waqfien.
Din hija l-problema tal-Analiżi tal-Impatt fuq in-Negozju fl-2026.
L-Analiżi tal-Impatt fuq in-Negozju, jew BIA, m’għadhiex spreadsheet mehmuża ma’ pjan tal-kontinwità. Hija l-pont tal-evidenza bejn is-servizzi tan-negozju, l-assi tal-ICT, il-fornituri, il-prijoritajiet ta’ rkupru, RTO/RPO, il-limiti tal-inċidenti, l-ittestjar tar-reżiljenza u r-responsabbiltà tal-bord. Għal organizzazzjonijiet li qed jallinjaw ISO/IEC 27001:2022 mal-kontinwità taħt NIS2 u mar-reżiljenza tal-ICT taħt DORA, il-BIA hija l-punt fejn il-konformità ssir operattiva.
L-aktar organizzazzjonijiet b’saħħithom diġà għandhom ħafna mill-kontrolli t-tajbin. Id-dgħufija tagħhom hija t-traċċabbiltà. Il-BIA tibdel evidenza mifruxa fi storja lesta għall-awditjar: x’inhu importanti, għaliex huwa importanti, kemm għandu jirkupra malajr, liema dipendenzi jappoġġjawh, x’ġie ttestjat, x’falla, x’tjieb, u min approva r-riskju residwu.
Għaliex spreadsheets BIA qodma issa saru piż ta’ responsabbiltà
NIS2 u DORA biddlu t-ton tal-konformità tal-kontinwità. Ma jittrattawx il-kontinwità tan-negozju, l-irkupru minn diżastru, ir-rispons għall-inċidenti, ir-reżiljenza tal-fornituri u l-governanza bħala dokumenti separati. Jistennewhom jaħdmu bħala sistema waħda.
Għall-entitajiet NIS2, Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi biex jiġu ġestiti r-riskji għan-networks u s-sistemi tal-informazzjoni u biex jiġi prevenut jew minimizzat l-impatt tal-inċidenti fuq ir-riċevituri tas-servizzi u fuq servizzi oħra. Il-miżuri minimi tiegħu jinkludu analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju inkluża ġestjoni tal-backup, irkupru minn diżastru u ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, ġestjoni tal-vulnerabbiltajiet, evalwazzjoni tal-effettività tal-kontrolli, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, awtentikazzjoni b’ħafna fatturi (MFA) u komunikazzjonijiet siguri.
NIS2 Article 20 idaħħal il-kwistjoni fil-livell tal-bord. Il-korpi maniġerjali għandhom japprovaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni, u jistgħu jinżammu responsabbli għal ksur. Dan ifisser li RTO ta’ erba’ sigħat mingħajr evidenza ta’ sostenn mhuwiex biss inkonsistenza teknika. Huwa dgħufija fil-governanza.
DORA japplika mis-17 ta’ Jannar 2025 u joħloq qafas uniformi tal-UE għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti, l-ittestjar tar-reżiljenza operattiva diġitali, il-ġestjoni tar-riskju tal-ICT ta’ partijiet terzi, ir-rekwiżiti kuntrattwali u s-sorveljanza fuq fornituri kritiċi terzi tal-ICT. Għall-entitajiet finanzjarji, u għall-fornituri tat-teknoloġija li jappoġġjawhom permezz ta’ kuntratti, DORA jibdel ir-reżiljenza operattiva f’rekwiżit strutturat ta’ evidenza.
DORA Articles 5 u 6 jeħtieġu governanza u qafas dokumentat għall-ġestjoni tar-riskju tal-ICT. Articles 7 sa 14 ikopru sistemi ICT affidabbli u reżiljenti, identifikazzjoni tal-assi u tad-dipendenzi, protezzjoni, detezzjoni, kontinwità tan-negozju tal-ICT, backup, restawr, irkupru, tagħlim wara l-inċidenti, sensibilizzazzjoni, taħriġ u komunikazzjoni waqt kriżi. Articles 24 sa 26 jeħtieġu ittestjar tar-reżiljenza operattiva diġitali għall-entitajiet finanzjarji li mhumiex mikrointrapriżi. Articles 28 sa 30 jifformalizzaw ir-riskju tal-ICT ta’ partijiet terzi, reġistri ta’ kuntratti ta’ servizzi tal-ICT, strateġiji ta’ ħruġ, livelli ta’ servizz, drittijiet ta’ awditjar u rekwiżiti ta’ kontinġenza.
ISO/IEC 27001:2022 jipprovdi s-sinsla tas-sistema ta’ ġestjoni. Il-klawżoli tiegħu jeħtieġu li l-organizzazzjoni tiddefinixxi l-kuntest, il-partijiet interessati, l-obbligi legali u kuntrattwali, il-kamp ta’ applikazzjoni, it-tmexxija, il-politika, ir-rwoli, il-valutazzjoni tar-riskju, it-trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, l-ippjanar operattiv, l-evalwazzjoni tal-prestazzjoni u t-titjib kontinwu.
Ir-rabta nieqsa ħafna drabi tkun il-BIA. Mingħajrha, il-pjanijiet tal-kontinwità ma jkunux bbażati b’mod ċar fuq ir-riskju, il-miri tal-backup ma jkunux approvati min-negozju, il-fornituri ma jkunux immappjati mas-servizzi kritiċi, u l-maniġment ma jistax juri b’mod affidabbli li d-deċiżjonijiet dwar ir-reżiljenza kienu infurmati mill-impatt fuq in-negozju.
Il-BIA bħala l-pjan ta’ kontroll għall-evidenza tar-reżiljenza
BIA difensibbli twieġeb seba’ mistoqsijiet li l-awdituri, ir-regolaturi, il-klijenti u l-bordijiet qed jistaqsu dejjem aktar:
- Liema servizzi tan-negozju huma kritiċi?
- Liema assi tal-ICT, repożitorji tad-data, persuni, fornituri u utilitajiet jappoġġjaw kull servizz?
- X’inhu l-impatt operattiv, finanzjarju, legali, kuntrattwali, fuq il-klijent, fuq is-sikurezza u reputazzjonali tat-tfixkil maż-żmien?
- X’inhu l-Maximum Tolerable Downtime, jew MTD?
- X’inhuma l-objettiv approvat ta’ ħin għall-irkupru, jew RTO, u l-objettiv tal-punt ta’ rkupru, jew RPO?
- L-arranġamenti tal-backup, tar-redundancy, tal-cloud, tal-fornituri, tal-persunal u tal-komunikazzjoni jagħmlu dawk il-miri realizzabbli?
- L-organizzazzjoni ttestjat il-mogħdija tal-irkupru u rieżaminat ir-riżultati?
Il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru għall-intrapriżi ta’ Clarysec P32 Business Continuity Policy and Disaster Recovery Policy tistabbilixxi r-rekwiżit b’mod ċar:
Analiżi tal-Impatt fuq in-Negozju (BIA) għandha titwettaq mill-inqas kull sena għall-unitajiet kollha tan-negozju kritiċi u għandha tiġi rieżaminata meta jkun hemm bidliet sinifikanti fis-sistemi, fil-proċessi jew fid-dipendenzi. L-output tal-BIA għandu jiddefinixxi: 5.2.1. Maximum Tolerable Downtime (MTD) 5.2.2. Recovery Time Objectives (RTOs) 5.2.3. Recovery Point Objectives (RPOs) 5.2.4. Dipendenzi kritiċi (sistemi, fornituri, persunal)
Dik il-klawżola tagħti lill-awdituri punt ta’ tluq prattiku. Tipprevjeni wkoll il-falliment komuni fejn il-pjan tal-kontinwità tan-negozju, il-pjan ta’ rkupru minn diżastru, l-iskeda tal-backup, ir-reġistru tal-fornituri u l-proċess ta’ rispons għall-inċidenti jużaw kull wieħed definizzjoni differenti ta’ “kritiku.”
L-istess politika teħtieġ approċċ integrat ta’ ġestjoni:
L-organizzazzjoni għandha żżomm Sistema ta’ Ġestjoni tal-Kontinwità tan-Negozju (BCMS) integrata u allinjata ma’ ISO 22301 u ISO/IEC 27001, filwaqt li tiżgura l-integrazzjoni ta’: 5.1.1. Analiżi tal-Impatt fuq in-Negozju (BIA) 5.1.2. valutazzjoni tar-riskju tas-sigurtà għal theddid għall-kontinwità 5.1.3. Pjanijiet tal-Kontinwità tan-Negozju (BCPs) 5.1.4. Pjanijiet tal-Irkupru minn Diżastru tal-ICT (DRPs) 5.1.5. programmi ta’ ttestjar u eżerċizzji 5.1.6. dokumentazzjoni u titjib kontinwu
Din hija d-differenza bejn konformità bbażata fuq lista ta’ kontroll u reżiljenza lesta għall-awditjar. Il-BIA mhijiex dokument ta’ darba. Issir parti mill-katina tal-evidenza tal-ISMS u tal-BCMS.
Kif ISO/IEC 27001:2022 jibdel il-BIA f’evidenza awditabbli
ISO/IEC 27001:2022 ma jeħtieġx li kull organizzazzjoni tuża l-frażi “Analiżi tal-Impatt fuq in-Negozju” f’kull klawżola, iżda r-rekwiżiti tiegħu jagħmlu l-evidenza BIA estremament siewja.
Il-Klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem kwistjonijiet interni u esterni, partijiet interessati, obbligi legali u regolatorji, rekwiżiti kuntrattwali, interfaċċi, dipendenzi u l-kamp ta’ applikazzjoni tal-ISMS. Il-BIA ħafna drabi tkun l-aktar evidenza prattika għal dawk l-interfaċċi u d-dipendenzi. Turi liema servizz cloud, proċessur tal-pagamenti, fornitur tal-identità, fornitur tat-telekomunikazzjoni, servizz immaniġġjat tas-sigurtà, ċentru tad-data jew tim esternalizzat ta’ appoġġ jippermetti servizz kritiku.
Il-Klawżoli 5.1 sa 5.3 jeħtieġu tmexxija mill-maniġment għoli, riżorsi, komunikazzjoni, assenjazzjoni tar-rwoli u rappurtar. Il-BIA tagħti lit-tmexxija bażi tan-negozju għall-investimenti fil-kontinwità. Mingħajrha, il-miri RTO u RPO huma xewqat tekniċi, mhux rekwiżiti tan-negozju approvati.
Il-Klawżoli 6.1.1 sa 6.1.3 jeħtieġu valutazzjoni u trattament ripetibbli tar-riskju tas-sigurtà tal-informazzjoni. L-organizzazzjoni trid tidentifika r-riskji għall-kunfidenzjalità, l-integrità u d-disponibbiltà, tanalizza l-konsegwenzi u l-probabbiltà, tiddetermina l-livelli tar-riskju, tipprijoritizza t-trattament, tagħżel kontrolli, tqabbel il-kontrolli magħżula ma’ Annex A, tipproduċi Dikjarazzjoni ta’ Applikabbiltà, toħloq pjan ta’ trattament tar-riskju u tikseb l-approvazzjoni tas-sid tar-riskju. Il-BIA ssaħħaħ in-naħa tal-“konsegwenza” tal-valutazzjoni tar-riskju. Tispjega għaliex qtugħ ta’ sagħtejn f’sistema waħda huwa tollerabbli, filwaqt li qtugħ ta’ sagħtejn f’oħra joħloq ħsara lill-klijenti, espożizzjoni regolatorja, ksur kuntrattwali jew impatt serju fuq id-dħul.
Annex A jipprovdi l-katalgu tal-kontrolli. Għall-BIA u l-kontinwità, l-aktar kontrolli rilevanti ta’ ISO/IEC 27001:2022 Annex A jinkludu:
| Kontroll ta’ ISO/IEC 27001:2022 Annex A | Isem korrett tal-kontroll | Rilevanza għall-BIA |
|---|---|---|
| A.5.29 | Sigurtà tal-informazzjoni waqt tfixkil | Jiżgura li l-kontrolli tal-kunfidenzjalità, l-integrità u d-disponibbiltà jibqgħu effettivi waqt operazzjonijiet degradati |
| A.5.30 | Tħejjija tal-ICT għall-kontinwità tan-negozju | Tiżgura li l-kapaċitajiet tal-ICT jappoġġjaw objettivi approvati tal-kontinwità tan-negozju |
| A.8.13 | Backup tal-informazzjoni | Jappoġġja l-irkupru u l-kisba tal-RPO permezz ta’ proċessi tal-backup protetti |
| A.8.14 | Redundancy tal-faċilitajiet tal-ipproċessar tal-informazzjoni | Tappoġġja objettivi ta’ rkupru li ma jistgħux jintlaħqu bir-restawr waħdu |
| A.8.15 | Logging | Iżomm il-viżibbiltà, il-kapaċità ta’ investigazzjoni u l-evidenza waqt tfixkil |
| A.8.16 | Attivitajiet ta’ monitoraġġ | Jidentifika degradazzjoni, inċidenti u l-istatus tal-irkupru |
| A.5.19 | Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri | Jorbot ir-riskju tal-fornituri mad-dipendenzi tas-servizzi kritiċi |
| A.5.20 | Indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri | Jiżgura li l-kuntratti jinkludu aspettattivi dwar is-sigurtà u l-kontinwità |
| A.5.21 | Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT | Tindirizza r-riskju tal-katina tal-provvista tal-ICT għal servizzi kritiċi |
| A.5.22 | Monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri | Iżomm id-dipendenzi fuq il-fornituri aġġornati hekk kif is-servizzi jinbidlu |
| A.5.23 | Sigurtà tal-informazzjoni għall-użu tas-servizzi cloud | Jiżgura li d-dipendenza fuq il-cloud, il-ħruġ u r-rekwiżiti tar-reżiljenza jiġu ġestiti |
| A.5.24 | Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni | Jorbot xenarji ta’ tfixkil mal-kapaċità ppjanata ta’ rispons |
| A.5.25 | Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni | Jappoġġja l-evalwazzjoni tas-severità tal-inċidenti bl-użu tal-impatt fuq is-servizz |
| A.5.26 | Rispons għal inċidenti tas-sigurtà tal-informazzjoni | Jiggwida l-azzjonijiet ta’ rispons skont il-kritikalità tan-negozju |
| A.5.27 | Tagħlim minn inċidenti tas-sigurtà tal-informazzjoni | Idaħħal il-lessons learned fil-BIA, BCP, DRP u fit-trattament tar-riskju |
| A.5.28 | Ġbir tal-evidenza | Iżomm l-evidenza waqt inċidenti u operazzjonijiet ta’ rkupru |
| A.5.31 | Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Jorbot il-miri tar-reżiljenza ma’ obbligi bħal NIS2, DORA, GDPR u kuntratti tal-klijenti |
F’Zenith Controls: The Cross-Compliance Guide Zenith Controls, Clarysec tipprofila l-kontroll 5.30 ta’ ISO/IEC 27002:2022, it-tħejjija tal-ICT għall-kontinwità tan-negozju, bħala kontroll korrettiv iffokat fuq id-disponibbiltà, immappjat mal-kunċett taċ-ċibersigurtà Respond, il-kapaċità operattiva tal-kontinwità u d-dominju tas-sigurtà tar-reżiljenza. Il-kontroll 5.29, is-sigurtà tal-informazzjoni waqt tfixkil, huwa profilat bħala preventiv u korrettiv, u jipproteġi l-kunfidenzjalità, l-integrità u d-disponibbiltà. Il-kontroll 8.13, backup tal-informazzjoni, huwa profilat bħala korrettiv, u jappoġġja l-integrità u d-disponibbiltà permezz tal-irkupru.
Din id-distinzjoni hija importanti. Il-BIA m’għandhiex tistaqsi biss, “Nistgħu nirrestawraw?” Għandha tistaqsi wkoll, “Nistgħu nibqgħu siguri waqt it-tfixkil?” Waqt avveniment ta’ ransomware, qtugħ fil-cloud, falliment ta’ fornitur jew inċident f’ċentru tad-data, l-organizzazzjoni xorta teħtieġ kontroll tal-aċċess, logging, monitoraġġ, preservazzjoni tal-evidenza, komunikazzjonijiet siguri u salvagwardji tal-privatezza.
Il-mudell prattiku tal-evidenza BIA
BIA b’saħħitha torbot il-lingwa tan-negozju mal-prova teknika. Clarysec normalment tistruttura l-mudell tal-evidenza f’ħames saffi.
| Saff tal-evidenza | X’jipprova | Artifacts tipiċi |
|---|---|---|
| Kritikalità tas-servizzi tan-negozju | L-organizzazzjoni tifhem liema servizzi huma l-aktar importanti u għaliex | Katalgu tas-servizzi, noti tal-workshop BIA, punteġġjar tal-impatt, approvazzjoni mill-maniġment |
| Immappjar tad-dipendenzi | Is-servizzi kritiċi huma marbuta ma’ assi tal-ICT, data, fornituri, persuni u utilitajiet | CMDB, reġistru tal-assi, mappa tal-applikazzjonijiet, reġistru tal-fornituri, mappa tal-fluss tad-data |
| Objettivi ta’ rkupru | MTD, RTO u RPO huma approvati u realistiċi | Reġistru BIA, BCP, DRP, skeda tal-backup, immappjar tal-SLA tal-fornituri |
| Implimentazzjoni tal-kontrolli | Kontrolli tekniċi u organizzattivi jappoġġjaw l-objettivi ta’ rkupru | Konfigurazzjoni tal-backup, disinn tar-redundancy, monitoraġġ, kontroll tal-aċċess, playbooks tal-inċidenti |
| Verifika u titjib | Il-kapaċità ta’ rkupru ġiet ittestjata u l-lakuni jiġu segwiti | Test ta’ restawr, rapport ta’ failover, eżerċizzju tabletop, log tal-azzjonijiet korrettivi, pjan tal-awditjar |
Dan il-mudell tal-evidenza jaħdem għax isegwi l-mod kif jaħsbu l-awdituri. L-ewwel jistaqsu x’inhu kritiku. Imbagħad jistaqsu x’jappoġġjah. Imbagħad jistaqsu min approva l-mira tal-irkupru. Imbagħad jistaqsu jekk l-arranġamenti tekniċi u tal-fornituri jistgħux jilħqu l-mira. Fl-aħħar, jistaqsu jekk l-organizzazzjoni ttestjatx u tejbitx il-kapaċità.
NIST CSF 2.0 huwa utli bħala saff ta’ komunikazzjoni. Il-metodu tal-Profili CSF tiegħu jħeġġeġ lill-organizzazzjonijiet jiddefinixxu l-kamp ta’ applikazzjoni, jiġbru inputs bħal politiki, prijoritajiet tar-riskju tal-intrapriża, reġistri BIA, rekwiżiti taċ-ċibersigurtà, standards, proċeduri, salvagwardji u rwoli tax-xogħol, joħolqu profili attwali u fil-mira, janalizzaw il-lakuni, jipproduċu pjan ta’ azzjoni prijoritizzat, jimplimentaw dak il-pjan u jaġġornaw il-profil. Dan huwa kważi eżattament kif il-BIA għandha tidħol f’pjan direzzjonali ta’ konformità trasversali.
Eżerċizzju BIA ta’ ġimgħa li joħloq evidenza reali
Assumi li fornitur SaaS jappoġġja klijenti tas-servizzi finanzjarji. Il-pjattaforma tiegħu tappoġġja l-onboarding tal-klijenti, il-verifika tad-dokumenti u n-notifiki lill-klijenti. Mhijiex bank, iżda l-klijenti tagħha qed jibagħtu talbiet kuntrattwali mmexxija minn DORA u kwestjonarji tal-fornituri NIS2.
Eżerċizzju ffokat ta’ ġimgħa jista’ joħloq evidenza utli malajr.
Jum 1: Identifika s-servizzi kritiċi u t-twieqi tal-impatt
Ibda mis-servizzi, mhux mis-servers. Involvi lis-sidien tan-negozju, l-IT, is-sigurtà, il-legali, l-appoġġ, il-privatezza u l-ġestjoni tal-fornituri.
| Servizz tan-negozju | Impatt wara 4 sigħat | Impatt wara 24 siegħa | Attivatur regolatorju jew kuntrattwali potenzjali |
|---|---|---|---|
| Portal tal-onboarding tal-klijenti | Ftuħ ta’ kontijiet ġodda mdewwem, żieda fit-tickets tal-appoġġ | Impatt fuq id-dħul, ksur tal-SLA, eskalazzjoni tal-klijent | Talba tal-klijent taħt DORA dwar il-kontinwità, notifika possibbli ta’ inċident tal-klijent |
| Fluss tax-xogħol tal-verifika tal-identità | Meħtieġa soluzzjonijiet temporanji manwali | Backlog, dewmien fir-rieżami tal-frodi, impatt reputazzjonali | Tħassib taħt GDPR dwar id-disponibbiltà u l-integrità tad-data personali |
| Servizz ta’ notifiki lill-klijenti | Komunikazzjonijiet degradati | Nuqqas li l-utenti jiġu nnotifikati waqt inċident | Aspettattiva NIS2 dwar komunikazzjoni mar-riċevituri tas-servizz |
| Admin API għal klijenti korporattivi | Tfixkil operattiv għall-klijenti | Ksur kuntrattwali, tagħbija żejda fuq is-service desk | Rieżami tal-fornitur mill-klijent taħt NIS2 jew DORA |
Dan il-qafas huwa importanti. Ir-regolaturi u l-klijenti jirrikonoxxu servizzi u funzjonijiet. L-applikazzjonijiet huma importanti għax jappoġġjaw dawk is-servizzi.
Jum 2: Immappja d-dipendenzi
Għal kull servizz, immappja l-applikazzjonijiet, databases, infrastruttura, servizzi cloud, fornituri tal-identità, monitoraġġ, għodod tal-backup, persuni, fornituri u utilitajiet ta’ appoġġ.
| Servizz | Assi tal-ICT | Data | Fornitur | Sid intern | Kwistjoni ta’ kontinwità |
|---|---|---|---|---|---|
| Fluss tax-xogħol tal-verifika tal-identità | Verification API u document store | Dokumenti tal-identità, logs tal-awditjar | Fornitur IDV SaaS, ħażna ta’ oġġetti fil-cloud | Kap tal-Pjattaforma | L-SLA tal-fornitur għandu mira ta’ disponibbiltà iżda l-ebda evidenza ta’ test tal-irkupru |
| Servizz ta’ notifiki lill-klijenti | Pjattaforma Email/SMS | Dettalji ta’ kuntatt, mudelli tal-messaġġi | Fornitur tal-messaġġi | Operazzjonijiet tal-Klijenti | L-ebda fornitur alternattiv konfigurat |
| Admin API | Kubernetes cluster, database, API gateway | Konfigurazzjoni tal-klijent, logs | Fornitur cloud, fornitur DNS | Maniġer tal-Inġinerija | It-test ta’ restawr ikopri d-database iżda mhux il-konfigurazzjoni tal-API gateway |
Hawnhekk il-BIA tibda tipproduċi valur. Tikxef il-mogħdija inviżibbli tal-irkupru, inklużi d-dipendenzi li ħafna drabi jintilfu fi pjan DR tekniku.
Jum 3: Approva MTD, RTO u RPO
Is-sid tan-negozju jipproponi l-MTD. L-IT u s-sigurtà jivverifikaw jekk l-RTO u l-RPO proposti jistgħux jintlaħqu teknikament. Il-maniġment japprova l-miri finali.
Għal organizzazzjonijiet iżgħar, il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru - SME ta’ Clarysec P32S Business Continuity Policy and Disaster Recovery Policy - SME tagħti l-istess dixxiplina b’lingwa aktar sempliċi. Teħtieġ pjanijiet BCP/DR li jistabbilixxu l-approċċ għar-restawr tal-funzjonijiet essenzjali:
Il-Maniġer Ġenerali (GM) għandu japprova u jżomm Business Continuity and Disaster Recovery Plans (BCP/DRP) li jistabbilixxu b’mod ċar l-approċċ tal-organizzazzjoni għar-restawr tal-funzjonijiet essenzjali.
Teħtieġ ukoll li l-pjan jinkludi:
servizzi u sistemi prijoritizzati (funzjonijiet kritiċi tan-negozju)
U:
Recovery Time Objectives (RTOs) u Recovery Point Objectives (RPOs) għal kull sistema
Il-punt ewlieni mhuwiex dokumentazzjoni eċċessiva. Il-punt ewlieni huwa t-traċċabbiltà, l-approvazzjoni u evidenza li l-objettivi ta’ rkupru huma bbażati fuq impatt reali fuq in-negozju.
Jum 4: Allinja l-backup mal-impatt fuq in-negozju
Ħafna organizzazzjonijiet ifallu hawnhekk. Il-BIA tista’ tistabbilixxi RPO ta’ erba’ sigħat, waqt li l-backups isiru kull 24 siegħa. Jew l-għodda tal-backup tipproteġi databases tal-produzzjoni, iżda mhux il-konfigurazzjoni, is-sigrieti, ir-repożitorji infrastructure-as-code, il-ħażna ta’ oġġetti, ir-reġistri DNS, is-settings tal-identità jew il-konfigurazzjoni tal-API gateway.
Il-Politika dwar il-Backup u r-Restawr ta’ Clarysec P15 Backup and Restore Policy teħtieġ Skeda Ewlenija tal-Backup marbuta mar-riżultati tal-BIA:
Skeda Ewlenija tal-Backup għandha tinżamm u tiġi rieżaminata kull sena. Għandha tispeċifika: 5.1.1 Frekwenza tal-backup (pereżempju, backups inkrementali ta’ kuljum u backups sħaħ ta’ kull ġimgħa) 5.1.2 Perjodi ta’ żamma skont is-sistema jew it-tip ta’ data 5.1.3 Rekwiżiti tal-iċċifrar u dettalji tal-post tal-ħażna 5.1.4 Miri RTO/RPO marbuta mar-riżultati tal-evalwazzjoni tal-impatt fuq in-negozju
Din il-klawżola hija prezzjuża għall-awditjar. Tġiegħel id-disinn tal-backup jirrifletti l-impatt fuq in-negozju, mhux il-konvenjenza tal-ħażna.
Jum 5: Ittestja mogħdija waħda ta’ rkupru u iftaħ azzjonijiet korrettivi
Tittestjax kollox f’daqqa. Agħżel servizz kritiku wieħed u wettaq test ta’ rkupru ffokat. Irrestawra d-database. Ibni mill-ġdid il-konfigurazzjoni tal-applikazzjoni. Ivverifika l-awtentikazzjoni. Ikkonferma li l-logs huma disponibbli. Iċċekkja l-kapaċità ta’ notifika lill-klijenti. Irreġistra l-ħin meħud, it-telf tad-data, id-difetti, id-deċiżjonijiet u l-azzjonijiet korrettivi.
F’Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, il-fażi Controls in Action, Step 23, tindirizza l-kontrolli organizzattivi inkluża t-tħejjija tal-ICT għall-kontinwità tan-negozju. Tistaqsi l-mistoqsija li kull tim tal-awditjar għandu jistaqsi:
Is-sistemi tagħkom jistgħu jappoġġjaw l-objettivi tal-kontinwità tan-negozju meta d-dwal jibdew iteptpu, meta n-networks jieqfu, meta jolqot diżastru?
L-istess pass jagħti struzzjoni prattika:
Ivverifika li l-objettivi ta’ ħin għall-irkupru (RTO) u l-objettivi tal-punt ta’ rkupru (RPO) għal sistemi kritiċi jkunu allinjati mal-aspettattivi tal-kontinwità tan-negozju (5.30). Wettaq mill-inqas test tekniku wieħed ta’ rkupru jew simulazzjoni ta’ failover u ddokumenta r-riżultati.
Din hija d-differenza bejn li jkollok BIA u li jkollok evidenza BIA difensibbli. Il-mira mhijiex dokumentata biss. Hija ttestjata.
Immappjar tal-evidenza BIA ma’ NIS2, DORA, GDPR, NIST u COBIT 2019
BIA mibnija sew issir assi ta’ konformità trasversali. Sett wieħed ta’ evidenza jista’ jwieġeb ħafna mistoqsijiet.
| Lenti tal-konformità | X’tappoġġja l-BIA | Evidenza li għandha tintwera |
|---|---|---|
| ISO/IEC 27001:2022 | Kuntest, kamp ta’ applikazzjoni, valutazzjoni tar-riskju, trattament, kontrolli tal-kontinwità u tal-fornituri f’Annex A | Reġistru BIA, valutazzjoni tar-riskju, SoA, BCP/DRP, rapporti tat-testijiet, approvazzjonijiet tal-maniġment |
| NIS2 | Kontinwità tan-negozju, ġestjoni tal-backup, irkupru minn diżastru, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, ġestjoni tal-assi, impatt tal-inċidenti | Mappa tas-servizzi kritiċi, dipendenzi fuq il-fornituri, RTO/RPO, testijiet tal-kontinwità, limiti tal-inċidenti |
| DORA | Qafas tar-riskju tal-ICT, strateġija ta’ reżiljenza operattiva diġitali, funzjonijiet kritiċi jew importanti, ittestjar tar-reżiljenza, riskju tal-ICT ta’ partijiet terzi | Mappa tal-assi u d-dipendenzi tal-ICT, programm ta’ ttestjar, reġistru tal-kuntratti tal-ICT, strateġija ta’ ħruġ |
| GDPR | Disponibbiltà, integrità, responsabbiltà, evalwazzjoni tal-ksur, protezzjoni tad-data personali | Klassifikazzjoni tal-impatt fuq id-data, evidenza tal-irkupru, kriterji ta’ eskalazzjoni tal-privatezza, validazzjoni tar-restawr tad-data |
| NIST CSF 2.0 | Riżultati Govern, Identify, Protect, Detect, Respond, Recover u Profili CSF | Profil attwali u fil-mira, analiżi tal-lakuni, POA&M, kritikalità tal-fornituri, eżekuzzjoni tal-irkupru |
| COBIT 2019 | Governanza fuq benefiċċji, riskju, riżorsi, kontinwità, prestazzjoni tal-fornituri, assigurazzjoni | Rappurtar lill-bord, aċċettazzjoni tar-riskju, sjieda tas-servizz, monitoraġġ tal-kontrolli, sejbiet tal-awditjar |
GDPR ħafna drabi jiġi injorat fid-diskussjonijiet dwar BIA. Madankollu GDPR Article 5 jeħtieġ li d-data personali tiġi pproċessata b’integrità u kunfidenzjalità, inkluża protezzjoni kontra telf, qerda jew ħsara aċċidentali permezz ta’ miżuri tekniċi jew organizzattivi xierqa. Ir-responsabbiltà teħtieġ li l-kontrollur ikun jista’ juri l-konformità. Jekk pjattaforma tad-data personali ma tistax tiġi restawrata fi żmien approvat u ttestjat, ir-riskju għall-privatezza jaffettwa d-disponibbiltà, l-integrità, l-evalwazzjoni tal-ksur u l-fiduċja tal-klijent.
Ir-rappurtar tal-inċidenti taħt NIS2 iżid dimensjoni oħra. Article 23 jeħtieġ li inċidenti sinifikanti jiġu nnotifikati mingħajr dewmien mhux dovut, inkluż twissija bikrija fi żmien 24 siegħa, notifika tal-inċident fi żmien 72 siegħa, u rapport finali fi żmien xahar. Il-BIA tgħin tikklassifika s-severità għax tiddefinixxi s-servizzi affettwati, ir-riċevituri tas-servizz, it-tfixkil operattiv u l-impatt transkonfinali potenzjali.
Il-klassifikazzjoni tal-inċidenti taħt DORA tqis ukoll il-klijenti jew it-tranżazzjonijiet affettwati, it-tul, il-firxa ġeografika, it-telf tad-data, il-kritikalità tas-servizzi affettwati u l-impatt ekonomiku. Dawn huma oqsma BIA. Jekk il-BIA tkun dgħajfa, il-klassifikazzjoni tal-inċidenti ssir suġġettiva fl-agħar mument possibbli.
Il-kontinwità tal-fornituri hija fejn il-BIA tiltaqa’ mar-realtà kuntrattwali
Għal NIS2 u DORA, il-kontinwità tal-fornituri m’għadhiex fakultattiva. NIS2 Article 21 jinkludi sigurtà tal-katina tal-provvista u jeħtieġ attenzjoni għall-vulnerabbiltajiet tal-fornituri, il-kwalità u r-reżiljenza tal-prodotti, il-prattiki taċ-ċibersigurtà tal-fornituri, u proċeduri ta’ żvilupp sigur. DORA jeħtieġ li r-riskju tal-ICT ta’ partijiet terzi jiġi ġestit fi ħdan il-qafas tal-ġestjoni tar-riskju tal-ICT, inklużi reġistri ta’ kuntratti ta’ servizzi tal-ICT, diliġenza dovuta, riskju ta’ konċentrazzjoni, strateġiji ta’ ħruġ, drittijiet ta’ awditjar u aċċess, assistenza waqt inċidenti, livelli ta’ servizz u rekwiżiti ta’ kontinġenza.
Il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru għall-intrapriżi teħtieġ:
Dipendenzi fuq Partijiet Terzi u l-Katina tal-Provvista 6.5.1. Il-kuntratti ma’ fornituri kritiċi għandhom jinkludu obbligi ta’ kontinwità u impenji dwar il-ħin ta’ rkupru. 6.5.2. Fornituri ewlenin tas-servizzi għandhom, fuq talba, juru ttestjar perjodiku tal-kontinwità u parteċipazzjoni f’eżerċizzji tal-inċidenti.
Il-verżjoni SME teħtieġ ukoll:
punti ta’ kuntatt għall-kontinwità tal-fornituri
Dak il-qasam żgħir jista’ jkun deċiżiv f’inċident reali. Jekk il-pjan ta’ rkupru tiegħek jgħid “ikkuntattja l-appoġġ tal-fornitur cloud,” iżda ħadd ma jaf ir-rotta ta’ eskalazzjoni, ir-referenza tal-kuntratt, il-proċess tas-severità jew il-kuntatt barra l-ħinijiet tax-xogħol, l-RTO huwa fittizju.
| Fornitur | Servizz appoġġjat | Kritikalità | Impenn kuntrattwali għall-irkupru | Evidenza disponibbli | Lakuna |
|---|---|---|---|---|---|
| Fornitur cloud | Hosting tal-pjattaforma ewlenija | Kritiku | Disponibbiltà f’diversi żoni, SLA tal-appoġġ | Dijagramma tal-arkitettura, dashboard tas-servizz | L-ebda test dokumentat ta’ failover reġjonali |
| Fornitur tal-identità | Awtentikazzjoni għall-amministraturi u għall-klijenti | Kritiku | SLA tad-disponibbiltà | Rapport SOC tal-fornitur, paġna tal-istatus | L-ebda proċedura alternattiva ta’ awtentikazzjoni |
| Fornitur tal-messaġġi | Notifiki lill-klijenti | Għoli | SLA tad-disponibbiltà | Kuntratt u kuntatti għall-inċidenti | L-ebda fornitur fallback ittestjat |
| Fornitur immaniġġjat tas-sigurtà | Detezzjoni u rispons | Għoli | SLA ta’ monitoraġġ u eskalazzjoni | Rapport ta’ kull xahar, playbook | Mhux inkluż fl-eżerċizzju tal-kontinwità |
Din it-tabella ma tissostitwixxix il-ġestjoni tar-riskju tal-fornituri. Tagħmel ir-riskju tal-fornituri operattiv.
Kif l-awdituri se jittestjaw il-BIA tiegħek
Awditur ISO/IEC 27001:2022 normalment jibda bil-kamp ta’ applikazzjoni, il-kuntest, il-valutazzjoni tar-riskju, it-trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, il-kontrolli ta’ Annex A, informazzjoni dokumentata, ippjanar operattiv, evalwazzjoni tal-prestazzjoni u titjib. Iqabbel il-BIA mal-valutazzjoni tar-riskju u mas-SoA. Jekk A.5.30, A.5.29 jew A.8.13 huma inklużi, jitlob evidenza tal-implimentazzjoni u tal-ittestjar.
Rieżaminatur DORA jiffoka fuq funzjonijiet kritiċi jew importanti, assi tal-ICT, dipendenzi tal-ICT fuq partijiet terzi, ittestjar tar-reżiljenza, klassifikazzjoni tal-inċidenti, rekwiżiti kuntrattwali, strateġiji ta’ ħruġ u sorveljanza mill-korp maniġerjali. Jistenna li l-BIA tkun allinjata mal-qafas tal-ġestjoni tar-riskju tal-ICT, mal-istrateġija tar-reżiljenza operattiva diġitali, mal-pjanijiet tal-kontinwità tan-negozju tal-ICT, mal-pjanijiet ta’ rispons u rkupru, u mal-programm ta’ ttestjar.
Superviżur NIS2 jistaqsi għal miżuri tal-kontinwità tan-negozju, ġestjoni tal-backup, irkupru minn diżastru, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, approvazzjoni tal-governanza u kapaċità ta’ rappurtar ta’ inċidenti sinifikanti. Il-BIA għandha tipprova li dawn il-miżuri huma bbażati fuq l-impatt fuq is-servizz u fuq prijoritajiet approvati.
Valutatur NIST CSF 2.0 jistaqsi kif il-BIA tinforma l-Current Profile, it-Target Profile, l-analiżi tal-lakuni u l-pjan ta’ azzjoni. Iħares lejn ir-riżultati Govern għal deċiżjonijiet legali, regolatorji, kuntrattwali, dwar riskju, rwoli, politika, sorveljanza u riskju tal-fornituri. Jeżamina wkoll ir-riżultati Identify, Protect, Detect, Respond u Recover.
Awditur ta’ stil COBIT 2019 jew ISACA normalment jiffoka fuq il-governanza. Min għandu s-servizz? Min aċċetta r-riskju? L-objettivi huma allinjati mal-għanijiet tal-intrapriża? Il-fornituri huma mmonitorjati? Il-benefiċċji, ir-riskju u r-riżorsi huma bbilanċjati? L-azzjonijiet korrettivi jiġu segwiti sal-għeluq?
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità ta’ Clarysec Audit and Compliance Monitoring Policy tagħmel il-BIA parti miċ-ċiklu tal-ippjanar tal-awditjar:
Pjan tal-Awditjar ibbażat fuq ir-riskju għandu jiġi żviluppat u approvat kull sena, filwaqt li jittieħdu inkunsiderazzjoni: 5.2.1 Ir-riżultati tal-aktar valutazzjonijiet tar-riskju u Analiżi tal-Impatt fuq in-Negozju (BIA) reċenti 5.2.2 Sejbiet preċedenti tal-awditjar u l-istatus tal-azzjonijiet korrettivi 5.2.3 Bidliet fil-proċessi, fl-infrastruttura tal-IT, fis-sistemi jew fil-fornituri 5.2.4 Obbligi esterni bħal DORA Article 25 jew kuntratti tal-klijenti
Dan huwa pass ta’ maturità li ħafna organizzazzjonijiet jitilfu. Il-BIA m’għandhiex tibqa’ barra mill-assigurazzjoni. Għandha tmexxi l-pjan tal-awditjar.
Fallimenti komuni tal-BIA misjuba f’evalwazzjonijiet reali
L-istess dgħufijiet jidhru ripetutament.
L-ewwel, il-BIA telenka applikazzjonijiet, mhux servizzi. Il-klijenti u r-regolaturi jimpurtahom mit-tfixkil tas-servizz. L-applikazzjonijiet huma importanti għax jappoġġjaw dawk is-servizzi.
It-tieni, il-miri RTO u RPO jiġu kkupjati minn mudelli. RTO ta’ erba’ sigħat jista’ jinstema’ raġonevoli sakemm test ta’ restawr juri li hemm bżonn disa’ sigħat biex tinbena mill-ġdid l-integrazzjoni tal-identità, tiġi rkuprata l-konfigurazzjoni, tiġi restawrata d-data, tiġi vvalidata l-integrità u jerġa’ jiġi attivat il-monitoraġġ.
It-tielet, il-backups mhumiex marbuta mal-impatt fuq in-negozju. Il-frekwenza, iż-żamma, l-iċċifrar, il-post tal-ħażna, il-prijorità tar-restawr u l-ittestjar għandhom jirriflettu objettivi approvati ta’ rkupru.
Ir-raba’, il-fornituri jiġu ttrattati bħala punti ta’ kwestjonarju, mhux bħala dipendenzi tal-irkupru. L-impenji tal-kontinwità tal-fornituri, il-kuntatti ta’ eskalazzjoni, l-evidenza tal-irkupru u l-parteċipazzjoni f’eżerċizzji tal-inċidenti għandhom jintrabtu mas-servizzi kritiċi.
Il-ħames, l-approvazzjoni tal-maniġment tkun nieqsa. Taħt NIS2 u DORA, ir-responsabbiltà tal-maniġment hija espliċita. Taħt ISO/IEC 27001:2022, it-tmexxija, ir-rwoli, l-approvazzjoni tas-sid tar-riskju u r-rappurtar tal-prestazzjoni huma rekwiżiti ewlenin.
Is-sitt, l-ittestjar huwa dejjaq wisq. Ir-restawr ta’ fajl wieħed huwa utli, iżda ma jippruvax irkupru tas-servizz. Mogħdija ta’ rkupru ta’ servizz kritiku tista’ tinkludi DNS, identità, sigrieti, infrastructure-as-code, API gateways, monitoraġġ, logging, eskalazzjoni tal-fornituri, komunikazzjoni mal-klijenti u rieżami tal-privatezza.
Il-Zenith Blueprint, fil-fażi Controls in Action, Step 19, jiġbor l-aspettattiva tal-awditjar għall-backups:
Tittestjaw il-backups tagħkom?
It-tweġiba trid tkun “iva, b’evidenza,” u dik l-evidenza trid tintrabat lura mal-BIA.
Il-pakkett tal-evidenza BIA lest għall-awditjar
Programm BIA prattiku għandu jipproduċi pakkett ta’ evidenza konċiż li jista’ jintuża għall-awditi, għad-diliġenza dovuta tal-klijenti, għar-rappurtar lill-bord u għat-titjib tar-reżiljenza.
| Oġġett tal-evidenza | Għan | Sid |
|---|---|---|
| Metodoloġija BIA u kriterji ta’ punteġġjar | Jipprova li l-proċess huwa ripetibbli u oġġettiv | Responsabbli tar-riskju jew tar-reżiljenza |
| Reġistru tas-servizzi kritiċi | Jidentifika x’għandha tipproteġi u tirkupra l-organizzazzjoni l-ewwel | Sidien tan-negozju |
| Mappa tad-dipendenzi | Torbot is-servizzi ma’ assi tal-ICT, data, fornituri, persunal u utilitajiet | IT, sigurtà, operazzjonijiet |
| Reġistri ta’ approvazzjoni tal-MTD, RTO u RPO | Jippruvaw li l-miri tal-irkupru huma approvati min-negozju | Sidien tan-negozju u maniġment |
| Immappjar BIA mar-Reġistru tar-Riskju | Jorbot l-analiżi tal-impatt mal-valutazzjoni tar-riskju tas-sigurtà | Sid tar-riskju |
| Immappjar BIA mad-Dikjarazzjoni ta’ Applikabbiltà | Jorbot il-ħtiġijiet tal-kontinwità mal-kontrolli ISO/IEC 27001:2022 Annex A | Maniġer tal-ISMS |
| Immappjar BIA mal-iskeda tal-backup | Juri li l-konfigurazzjoni tal-backup tappoġġja l-aspettattivi RPO u RTO | Operazzjonijiet tal-IT |
| Rieżami tal-kontinwità tal-fornituri | Jikkonferma li fornituri kritiċi għandhom impenji u kuntatti għall-irkupru | Ġestjoni tal-fornituri |
| Reġistri ta’ aġġornament tal-BCP/DRP | Juru li l-pjanijiet jirriflettu s-servizzi u d-dipendenzi attwali | Sid tal-kontinwità |
| Rapport tat-test ta’ restawr jew failover | Jipprova li l-kapaċità ta’ rkupru ġiet ivverifikata | IT, sigurtà, sid tan-negozju |
| Pjan ta’ azzjoni korrettiva | Isegwi l-lakuni sal-għeluq | Sidien tal-kontrolli |
| Evidenza tar-Rieżami mill-Maniġment | Turi sorveljanza u approvazzjoni mill-bord jew mit-tmexxija | Sponsor eżekuttiv |
Dan il-pakkett jirrakkonta storja koerenti. Jagħmel ukoll ir-reżiljenza miżurabbli.
Il-pass li jmiss: ibdel il-BIA tiegħek f’evidenza ta’ konformità
Maria m’għandhiex bżonn spreadsheet akbar. Teħtieġ katina ta’ evidenza ħajja.
Ibda b’servizz kritiku wieħed. Immappja l-assi tal-ICT tiegħu, id-data, il-persuni, il-fornituri u l-utilitajiet. Approva MTD, RTO u RPO. Allinja l-iskeda tal-backup. Iċċekkja l-impenji tal-fornituri għall-irkupru. Wettaq test wieħed ta’ rkupru. Irreġistra l-lakuni. Aġġorna l-pjan ta’ trattament tar-riskju. Ippreżenta r-riżultat lill-maniġment.
Imbagħad irrepeti.
Clarysec tista’ tgħin tħaffef dak il-proċess billi tuża l-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru, il-Politika dwar il-Kontinwità tan-Negozju u l-Irkupru minn Diżastru - SME, il-Politika dwar il-Backup u r-Restawr, il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità, Zenith Blueprint, u Zenith Controls.
Il-BIA tiegħek m’għandhiex tkun shelfware maħluq għal awditu. Għandha tkun il-prova operattiva li l-aktar servizzi importanti tiegħek jistgħu jissaportu tfixkil, jilħqu l-aspettattivi tal-klijenti u dawk regolatorji, u jirkupraw fi ħdan limiti li t-tmexxija tiegħek fil-fatt approvat.
Jekk l-organizzazzjoni tiegħek qed tipprepara għal sorveljanza ISO/IEC 27001:2022, assigurazzjoni tal-klijenti taħt NIS2, rieżamijiet ta’ partijiet terzi tal-ICT taħt DORA, jew rappurtar tar-reżiljenza fil-livell tal-bord, ibda billi tagħmel il-BIA difensibbli. Niżżel il-politiki ta’ kontinwità u awditjar ta’ Clarysec, irrevedi l-pjan direzzjonali ta’ implimentazzjoni Zenith, jew itlob evalwazzjoni tal-evidenza tar-reżiljenza biex tibdel kontrolli mifruxa fi storja waħda lesta għall-awditjar.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
