Lil hinn mill-kwestjonarji: il-gwida definittiva għas-CISO għall-awditjar ta’ fornituri b’riskju għoli għal NIS2 u DORA

Ir-rapport wasal fuq l-iskrivanija tas-CISO Maria Valen b’ħoss baxx li nħass aktar bħal sirena. Kienet evalwazzjoni ta’ qabel l-awditu għar-rieżami li jmiss tal-konformità ma’ DORA, u linja waħda kienet immarkata b’linka ħamra qawwija: “Assigurazzjoni insuffiċjenti għall-fornitur kritiku ta’ parti terza, CloudSphere.”

CloudSphere ma kienx sempliċiment fornitur ieħor. Kien is-sinsla tal-pjattaforma ġdida tal-bank diġitali tal-kumpanija, li tipproċessa miljuni ta’ tranżazzjonijiet kuljum. Maria kellha ċ-ċertifikat ISO/IEC 27001:2022 tagħhom fil-fajl. Kellha wkoll il-kwestjonarju tas-sigurtà komplut tagħhom, dokument sostanzjali ta’ 200 mistoqsija. Iżda l-awdituri preliminari kienu qed jindikaw li, għal fornitur kritiku b’riskju għoli, il-konformità bbażata fuq checkboxes ma kinitx għadha biżżejjed. Ir-regoli tal-logħba kienu nbidlu.

Bid-Direttiva NIS2 u d-Digital Operational Resilience Act (DORA) issa fis-seħħ bis-sħiħ, ir-regolaturi qed iħarsu lil hinn mit-traċċa dokumentarja. Huma jirrikjedu prova tanġibbli ta’ diliġenza dovuta, monitoraġġ kontinwu u governanza robusta fuq il-katina kollha tal-provvista. L-isfida ta’ Maria hija l-istess waħda li qed jiffaċċjaw is-CISOs kullimkien: kif tmur lil hinn mill-kwestjonarju biex tassew twettaq awditu fuq l-aktar fornituri kritiċi tiegħek u tiżgurahom? Dan jirrikjedi bidla strateġika minn verifika passiva għal assigurazzjoni attiva bbażata fuq evidenza.

Id-dgħufija tal-kwestjonarju statiku f’dinja dinamika

Għal snin sħaħ, il-kwestjonarju tas-sigurtà kien il-pedament tal-ġestjoni tar-riskju ta’ partijiet terzi. Iżda huwa stampa statika f’pajsaġġ tat-theddid dinamiku. Il-profil tar-riskju ta’ fornitur mhuwiex fiss; jevolvi ma’ kull theddida ġdida, bidla fis-sistema jew sottokuntrattur li jiġi integrat. Li tiddependi biss fuq awtoattestazzjoni għal fornitur kritiku bħal CloudSphere huwa bħal li tinnaviga maltempata b’mappa tat-temp tas-sena l-oħra.

Id-Direttiva NIS2 titlob espliċitament approċċ ibbażat fuq ir-riskju, u tirrikjedi li l-miżuri tas-sigurtà jkunu proporzjonati għar-riskji attwali. Dan ifisser li kwestjonarju wieħed għal kulħadd huwa fundamentalment mhux allinjat mal-aspettattivi regolatorji moderni. Għaddew iż-żminijiet meta ċertifikat jew lista ta’ kontroll kompluta setgħu jissostitwixxu l-evidenza. Ir-riskju veru jinsab lil hinn mit-traċċa dokumentarja.

Hawnhekk isir essenzjali approċċ strutturat u bbażat fuq iċ-ċiklu tal-ħajja. Mhuwiex dwar li jiġu abbandunati l-kwestjonarji, iżda dwar li jiġu msaħħa b’verifika aktar profonda u aktar intrużiva għall-fornituri li tassew jgħoddu. Dan huwa l-prinċipju ċentrali inkorporat fil-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri ta’ Clarysec. Wieħed mill-objettivi fundamentali tagħha huwa li:

“Tirrikjedi diliġenza dovuta formali u valutazzjonijiet tar-riskju dokumentati qabel l-ingaġġ ta’ fornituri ġodda jew it-tiġdid ta’ ftehimiet ta’ servizz b’riskju għoli.”

• Mis-sezzjoni ‘Objettivi’, klawżola tal-politika 3.3

Din il-klawżola tbiddel il-mentalità minn kontroll sempliċi għal investigazzjoni formali, l-ewwel pass kruċjali fil-bini ta’ programm difensibbli li jiflaħ għall-iskrutinju regolatorju.

Ir-riskju tal-fornituri taħt NIS2 u DORA: l-aspettattivi l-ġodda

Kemm NIS2 kif ukoll DORA jirrikjedu li l-organizzazzjonijiet jidentifikaw, jevalwaw u jimmonitorjaw kontinwament ir-riskji b’mod sistematiku madwar il-pajsaġġ tal-fornituri tagħhom. Huma jittrasformaw il-ġestjoni tal-fornituri minn funzjoni ta’ akkwist għal pilastru ewlieni tar-reżiljenza operattiva u tas-sigurtà tal-informazzjoni.

Il-klima regolatorja l-ġdida tirrikjedi oqfsa ċari mmappjati mill-qrib ma’ standards stabbiliti bħal ISO/IEC 27001:2022. Hawn taħt hemm sommarju ta’ livell għoli ta’ dak li dawn l-oqfsa jistennew mill-programm tiegħek ta’ governanza tal-fornituri:

Programm robust ta’ awditjar tal-fornituri m’għandux għalfejn jinħoloq mill-bidu. Il-qafas ISO/IEC 27001:2022, b’mod partikolari l-kontrolli tal-Anness A tiegħu, jipprovdi mudell b’saħħtu. F’Clarysec, niggwidaw lill-klijenti biex jibnu l-programm tagħhom madwar tliet kontrolli interkonnessi li jiffurmaw ċiklu tal-ħajja sħiħ għall-governanza tal-fornituri.

Bini ta’ qafas ta’ awditjar difensibbli: iċ-ċiklu tal-ħajja ISO 27001:2022

Biex tibni programm li jissodisfa lir-regolaturi, għandek bżonn approċċ strutturat imsejjes fuq standard rikonoxxut globalment. Il-kontrolli tas-sigurtà tal-fornituri f’ISO/IEC 27001:2022 jipprovdu ċiklu tal-ħajja għall-ġestjoni tar-riskju ta’ partijiet terzi mill-bidu sat-terminazzjoni. Ejja naraw kif Maria tista’ tuża dan iċ-ċiklu tal-ħajja biex tibni pjan ta’ awditjar difensibbli għal CloudSphere.

Pass 1: Il-pedament — sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri (5.19)

Il-kontroll 5.19 huwa l-punt tat-tluq strateġiku. Jirrikjedi li jiġu stabbiliti proċessi formali għall-identifikazzjoni, l-evalwazzjoni u l-ġestjoni tar-riskji tas-sigurtà tal-informazzjoni assoċjati mal-ekosistema kollha tal-fornituri tiegħek. Hawnhekk tiddefinixxi xi jfisser “riskju għoli” għall-organizzazzjoni tiegħek u tistabbilixxi r-regoli tal-logħba.

Zenith Controls: The Cross-Compliance Guide ta’ Clarysec tipprovdi analiżi dettaljata ta’ 5.19, u turi r-rwol tiegħu bħala ċentru ewlieni għall-governanza tal-fornituri. Dan il-kontroll huwa marbut b’mod intrinsiku ma’ kontrolli relatati, bħal 5.21 (Sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT), li tkopri komponenti ta’ hardware u software, u 5.14 (Trasferiment ta’ informazzjoni), li jirregola skambju sigur tad-data. Ma tistax timmaniġġja relazzjoni ma’ fornitur b’mod effettiv mingħajr ma tikkontrolla wkoll it-teknoloġija li jipprovdi u d-data li taqsam miegħu.

Għal Maria, dan ifisser li l-awditu tagħha ta’ CloudSphere għandu jmur lil hinn mill-pożizzjoni tas-sigurtà korporattiva tagħhom u jinżel fis-sigurtà tal-pjattaforma attwali li jipprovdu. Il-gwida Zenith Controls tenfasizza li implimentazzjoni b’saħħitha ta’ 5.19 tappoġġa direttament il-konformità ma’ regolamenti ewlenin:

• NIS2 (Article 21(2)(d)): Jobbliga lill-organizzazzjonijiet jimmaniġġjaw ir-riskju tal-katina tal-provvista bħala parti ewlenija mill-qafas tas-sigurtà tagħhom.
• DORA (Articles 28–30): Jobbliga qafas robust ta’ ġestjoni tar-riskju tal-ICT minn partijiet terzi, inklużi l-klassifikazzjoni tal-kritikalità u d-diliġenza dovuta qabel il-kuntratt.
• GDPR (Article 28): Jirrikjedi li l-kontrolluri jinvolvu biss proċessuri li jipprovdu garanziji suffiċjenti għall-protezzjoni tad-data.

Dan il-kontroll jobbliga klassifikazzjoni f’livelli tar-riskju tal-fornituri, monitoraġġ kontinwu u revoka tal-aċċess f’waqtha. L-għan tiegħu huwa li jiżgura li s-sigurtà tkun integrata fiċ-ċiklu tal-ħajja tal-fornituri, mhux miżjuda bħala ħsieb ta’ wara.

Pass 2: L-infurzar — indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri (5.20)

Rekwiżit tas-sigurtà li ma jkunx fil-kuntratt huwa biss suġġeriment. Il-kontroll 5.20 huwa fejn il-governanza ssir legalment infurzabbli. Għal fornitur b’riskju għoli, il-kuntratt tiegħek huwa l-aktar għodda qawwija għall-awditjar.

Kif tenfasizza Zenith Controls, dawn il-ftehimiet għandhom ikunu espliċiti. Wegħdiet vagi ta’ “sigurtà skont l-aħjar prattiki tal-industrija” ma għandhom l-ebda valur. Għal fornitur bħal CloudSphere, Maria trid tivverifika li l-kuntratt jinkludi klawżoli speċifiċi u miżurabbli li jagħtu lill-organizzazzjoni tagħha sorveljanza tanġibbli:

• Id-dritt għall-awditjar: Klawżola li tagħti espliċitament lill-organizzazzjoni tagħha d-dritt li twettaq valutazzjonijiet tekniċi, tirrieżamina evidenza jew tqabbad parti terza biex twettaq awditu f’isimha.
• Skadenzi tan-notifika ta’ ksur: Skadenzi speċifiċi u stretti, pereżempju fi żmien 24 siegħa mill-iskoperta, biex il-kumpanija tagħha tiġi nnotifikata dwar inċident tas-sigurtà, mhux biss frażi vaga bħal “mingħajr dewmien mhux dovut”.
• Ġestjoni tas-sottokuntratturi (fourth-party): Klawżola li tirrikjedi li l-fornitur japplika l-istess standards tas-sigurtà fuq is-sottokuntratturi kritiċi tiegħu u jinnotifikaha dwar kwalunkwe bidla. Dan huwa kruċjali għall-ġestjoni tar-riskju downstream.
• Strateġija sigura ta’ ħruġ: Obbligi ċari għar-ritorn jew il-qerda ċċertifikata tad-data mat-terminazzjoni tal-kuntratt.

DORA huwa partikolarment preskrittiv hawnhekk. Article 30 jelenka dispożizzjonijiet kuntrattwali obbligatorji, inkluż aċċess mingħajr xkiel għall-awdituri u r-regolaturi, dettalji speċifiċi dwar il-postijiet tas-servizz u strateġiji komprensivi ta’ ħruġ. L-awdituri jieħdu kampjuni ta’ kuntratti ta’ fornituri b’riskju għoli u jiċċekkjaw direttament għal dawn il-klawżoli.

Pass 3: Iċ-ċiklu kontinwu — monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri (5.22)

L-aħħar parti taċ-ċiklu tal-ħajja hija l-kontroll 5.22, li jittrasforma s-sorveljanza tal-fornituri minn kontroll f’punt wieħed għal proċess kontinwu. Awditu m’għandux ikun avveniment sorprendenti, iżda punt ta’ konferma fi ħdan relazzjoni kontinwa ta’ trasparenza.

Hawnhekk jonqsu ħafna organizzazzjonijiet. Jiffirmaw il-kuntratt u jpoġġuh fil-fajl. Iżda għal fornituri b’riskju għoli, ix-xogħol veru jibda wara l-onboarding. Il-gwida Zenith Controls torbot 5.22 ma’ proċessi operattivi kritiċi bħal 8.8 (Ġestjoni tal-vulnerabbiltajiet tekniċi) u 5.29 (Sigurtà tal-informazzjoni waqt tfixkil). Dan ifisser li monitoraġġ effettiv jinvolvi ħafna aktar minn laqgħa annwali ta’ rieżami. Jinkludi:

• Rieżami tal-evidenza ta’ partijiet terzi: Il-kisba u l-analiżi attiva tar-rapporti SOC 2 Type II tagħhom, ir-riżultati ta’ awditi ta’ sorveljanza ISO 27001 jew sommarji ta’ testijiet ta’ penetrazzjoni. Il-punt ewlieni huwa li jiġu rieżaminati l-eċċezzjonijiet u li jiġi segwit ir-rimedju tagħhom.
• Monitoraġġ tal-inċidenti: It-traċċar ta’ ksur żvelat pubblikament jew inċidenti tas-sigurtà li jinvolvu lill-fornitur u valutazzjoni formali tal-impatt potenzjali fuq l-organizzazzjoni tiegħek.
• Ġestjoni tat-tibdil: L-implimentazzjoni ta’ proċess fejn kwalunkwe bidla sinifikanti fis-servizz tal-fornitur, bħal post ġdid ta’ ċentru tad-data jew sottokuntrattur kritiku ġdid, tiskatta awtomatikament rivalutazzjoni tar-riskju.

Zenith Blueprint: An Auditor’s 30-Step Roadmap ta’ Clarysec jipprovdi gwida azzjonabbli dwar dan, b’mod partikolari fil-Pass 24, li jkopri r-riskju tas-sottokuntratturi. Jagħti dan il-parir:

“Għal kull fornitur kritiku, identifika jekk jużax sottokuntratturi (subproċessuri) li jistgħu jaċċessaw id-data jew is-sistemi tiegħek. Iddokumenta kif ir-rekwiżiti tas-sigurtà tal-informazzjoni tiegħek jiġu mgħoddija lil dawn il-partijiet… Fejn ikun fattibbli, itlob lista tas-sottokuntratturi ewlenin u żgura li d-dritt tiegħek għall-awditjar jew biex tikseb assigurazzjoni japplika għalihom ukoll.”

Dan huwa punt kruċjali għal Maria. CloudSphere juża ditta ta’ analiżi tad-data ta’ parti terza? L-infrastruttura tiegħu hija ospitata fuq cloud pubbliku ewlieni? Dawn id-dipendenzi downstream jirrappreżentaw riskju sinifikanti, ħafna drabi inviżibbli, li l-awditu tagħha għandu joħroġ fid-dawl.

Mit-teorija għall-azzjoni: il-pjan prattiku ta’ awditjar ta’ Maria għal CloudSphere

B’dan iċ-ċiklu tal-ħajja ISO 27001:2022 f’idejhom, it-tim ta’ Maria jabbozza pjan ġdid ta’ awditjar għal CloudSphere li jmur ħafna lil hinn mill-kwestjonarju, u juri l-governanza matura u bbażata fuq ir-riskju li jitolbu r-regolaturi.

1. Rieżami kuntrattwali: Jibdew billi jimmappjaw il-kuntratt eżistenti ta’ CloudSphere ma’ DORA Article 30 u mal-aħjar prattiki għall-kontroll 5.20. Joħolqu rapport ta’ analiżi tal-lakuni biex jinforma ċ-ċiklu ta’ tiġdid li jmiss u biex jiġu prijoritizzati l-oqsma għall-awditu attwali.

2. Talba mmirata għall-evidenza: Minflok kwestjonarju ġeneriku, jibagħtu talba formali għal evidenza speċifika, inkluż:

   • L-aħħar rapport SOC 2 Type II u sommarju ta’ kif ġew rimedjati l-eċċezzjonijiet kollha nnutati.
   • Is-sommarju eżekuttiv tal-aktar test ta’ penetrazzjoni estern reċenti tagħhom.
   • Lista kompluta tas-sottokuntratturi kollha (fourth parties) li se jipproċessaw jew jaċċessaw id-data tagħhom.
   • Prova li r-rekwiżiti tas-sigurtà huma mgħoddija kuntrattwalment lil dawk is-sottokuntratturi.
   • Logs jew rapporti li juru applikazzjoni f’waqtha ta’ patches għal vulnerabbiltajiet kritiċi, pereżempju Log4j u MOVEit, matul l-aħħar sitt xhur.

3. Verifika teknika: Jinvokaw il-klawżola tad-“dritt għall-awditjar” tagħhom biex jippjanaw sessjoni teknika fil-fond mat-tim tas-sigurtà ta’ CloudSphere. L-aġenda tiffoka fuq il-playbooks tagħhom tar-rispons għall-inċidenti, l-għodod ta’ Cloud Security Posture Management (CSPM), u l-kontrolli għall-prevenzjoni tat-tnixxija tad-data.

4. Ġestjoni formali tal-eċċezzjonijiet: Jekk CloudSphere jirreżisti milli jipprovdi ċerta evidenza, Maria tkun ippreparata. Il-proċess ta’ governanza tal-organizzazzjoni tagħha, definit fil-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, huwa ċar:

“Eċċezzjonijiet b’riskju għoli (eż., fornituri li jimmaniġġjaw dejta rregolata jew jappoġġaw sistemi kritiċi) għandhom jiġu approvati mis-CISO, il-funzjoni Legali u t-Tmexxija tal-Akkwist, u għandhom jiddaħħlu fir-Reġistru tal-Eċċezzjonijiet tal-ISMS.”

• Mis-sezzjoni ‘Trattament tar-riskju u eċċezzjonijiet’, klawżola tal-politika 7.3

Dan jiżgura li kwalunkwe rifjut li tiġi pprovduta evidenza ma jiġix sempliċiment injorat, iżda jiġi aċċettat formalment bħala riskju fl-ogħla livelli tal-organizzazzjoni, proċess li l-awdituri jirrispettaw.

Il-perspettiva tal-awditur: x’se jitolbu awdituri differenti

Biex tibni programm tassew reżiljenti, trid taħseb bħal awditur. Oqfsa differenti ta’ awditjar jiġu b’lentijiet differenti, u l-antiċipazzjoni tal-mistoqsijiet tagħhom hija kruċjali għas-suċċess. Hawnhekk hemm ħarsa kkonsolidata ta’ dak li awdituri differenti jitolbu meta jirrieżaminaw il-programm tiegħek ta’ governanza tal-fornituri:

Din il-perspettiva b’diversi lentijiet turi li programm robust mhuwiex dwar li tissodisfa standard wieħed, iżda dwar li tibni qafas olistiku ta’ governanza li jiġġenera l-evidenza meħtieġa biex tissodisfahom kollha.

Nuqqasijiet kritiċi: fejn ifallu l-awditi tal-fornituri

Ħafna programmi ta’ sorveljanza tal-fornituri jonqsu minħabba żbalji komuni u evitabbli. Oqgħod attent għal dawn in-nuqqasijiet kritiċi:

• L-awditjar bħala avveniment: Dipendenza fuq awditi ta’ darba waqt l-onboarding jew it-tiġdid minflok l-implimentazzjoni ta’ monitoraġġ kontinwu.
• Kumdità żejda biċ-ċertifikazzjoni: Aċċettazzjoni ta’ ċertifikat ISO jew SOC 2 kif jidher, mingħajr rieżami tad-dettalji tar-rapport, il-kamp ta’ applikazzjoni u l-eċċezzjonijiet.
• Kuntratti vagi: Nuqqas li jiġu inklużi klawżoli espliċiti u infurzabbli għad-drittijiet ta’ awditjar, in-notifika ta’ ksur u l-immaniġġjar tad-data.
• Ġestjoni dgħajfa tal-inventarju: Nuqqas ta’ kapaċità li jiġi prodott inventarju komplut u kklassifikat skont ir-riskju tal-fornituri kollha u tad-data li jaċċessaw.
• Injorar tar-riskju downstream: Nuqqas li jiġu identifikati u ġestiti r-riskji kkawżati mis-sottokuntratturi kritiċi tal-fornitur stess, jiġifieri r-riskju ta’ fourth-party.
• Ġestjoni tal-vulnerabbiltajiet mhux ivverifikata: Fiduċja li fornitur qed japplika patches għal vulnerabbiltajiet kritiċi mingħajr ma tintalab evidenza.

Lista ta’ kontroll azzjonabbli għall-awditi ta’ fornituri b’riskju għoli

Uża din il-lista ta’ kontroll, adattata mill-Zenith Blueprint, biex tiżgura li l-proċess ta’ awditjar tiegħek għal kull fornitur b’riskju għoli jkun bir-reqqa u difensibbli.

Konklużjoni: bini ta’ katina tal-provvista reżiljenti u difensibbli

L-era tal-konformità bbażata fuq checkboxes għall-fornituri kritiċi ntemmet. L-iskrutinju intens minn regolamenti bħal NIS2 u DORA jirrikjedi bidla fundamentali lejn mudell ta’ assigurazzjoni kontinwa bbażata fuq evidenza. CISOs bħal Maria għandhom imexxu l-bidla biex l-organizzazzjonijiet tagħhom imorru lil hinn mill-kwestjonarju statiku.

Billi tibni programm fuq iċ-ċiklu tal-ħajja ppruvat tal-kontrolli ISO/IEC 27001:2022, toħloq qafas li mhuwiex biss konformi, iżda verament effettiv fit-tnaqqis tar-riskju. Dan jinvolvi li s-sigurtà tal-fornituri tiġi ttrattata bħala dixxiplina strateġika, li rekwiżiti infurzabbli jiġu inkorporati fil-kuntratti, u li tinżamm sorveljanza attenta tul ir-relazzjoni kollha.

Is-sigurtà tal-organizzazzjoni tiegħek hija b’saħħitha biss daqs l-aktar ħolqa dgħajfa tagħha, u fl-ekosistema interkonnessa tal-lum dik il-ħolqa ħafna drabi tinsab ma’ parti terza. Wasal iż-żmien li terġa’ tieħu l-kontroll.

Lest biex tmur lil hinn mill-kwestjonarju?

It-toolkits integrati ta’ Clarysec jipprovdu l-pedament li għandek bżonn biex tibni programm ta’ ġestjoni tar-riskju tal-fornituri ta’ klassi dinjija li jiflaħ għal kwalunkwe awditu.

• Niżżel il-mudelli tal-politiki tagħna: Implimenta qafas robust ta’ governanza bil-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri tagħna ta’ livell intrapriża u l-kontroparti tagħha għall-SMEs.
• Segwi ż-Zenith Blueprint: Uża Zenith Blueprint: An Auditor’s 30-Step Roadmap tagħna biex timplimenta u tawditja ISMS konformi, b’passi ddedikati għall-kontroll tar-riskju tal-fornituri.
• Uża Zenith Controls: Itlob demo ta’ Zenith Controls: The Cross-Compliance Guide tagħna biex timmappja l-kontrolli tal-fornituri ma’ NIS2, DORA, GDPR, NIST u aktar, u tiżgura li l-pjan ta’ awditjar tiegħek ikun komprensiv u difensibbli.