Evidenza tal-awditu tal-cloud għal ISO 27001, NIS2 u DORA

Maria, is-CISO f’kumpanija tal-analitika finanzjarja li kienet qed tikber b’rata mgħaġġla, kellha sitt ġimgħat qabel ma jikkonverġu tliet skadenzi. L-awditu ta’ sorveljanza tagħha għal ISO 27001:2022 kien diġà skedat. NIS2 kienet poġġiet lill-kumpanija f’livell ġdid ta’ responsabbiltà tal-maniġment bħala entità importanti. DORA kienet se tivverifika jekk l-operazzjonijiet fintech tagħha setgħux jippruvaw reżiljenza operattiva diġitali. Fl-istess ħin, klijent korporattiv kbir kien qed iżomm kuntratt sakemm it-tim tagħha jgħaddi minn rieżami dettaljat tal-assigurazzjoni tas-sigurtà.

Il-kumpanija ma kinitx insigura. Kienet tħaddem workloads ta’ produzzjoni f’AWS u Azure, tuża Microsoft 365 u diversi pjattaformi SaaS kritiċi, timponi MFA, tagħmel backup tad-data, tiskannja vulnerabbiltajiet u tiġbor logs tal-cloud. Il-problema kienet l-evidenza.

L-evidenza kienet mifruxa bejn screenshots ta’ Slack, paġni wiki tal-iżviluppaturi, esportazzjonijiet mill-console tal-cloud, folders tal-akkwist, kuntratti legali u assigurazzjonijiet verbali mingħand is-sidien tal-pjattaformi. Meta awditur staqsa, “Urini kif tikkontrollaw l-ambjent cloud tagħkom,” link għal paġna ta’ konformità ta’ fornitur tal-cloud ma kinitx biżżejjed. Iċ-ċertifikati tal-fornitur jippruvaw il-kontrolli tal-fornitur. Ma jippruvawx in-naħa ta’ Maria fil-mudell ta’ responsabbiltà kondiviża.

Hawnhekk ifallu ħafna programmi ta’ evidenza tal-awditu tas-sigurtà tal-cloud. Mhux għax il-kontrolli huma nieqsa, iżda għax l-organizzazzjoni ma tistax tipprova, b’mod strutturat u traċċabbli, liema responsabbiltajiet huma tal-fornitur, liema huma tal-klijent, kif huma kkonfigurati l-kontrolli tas-SaaS u tal-IaaS, kif jiġu infurzati l-impenji tal-fornituri, u kif tinżamm l-evidenza għall-awdituri, ir-regolaturi u l-klijenti.

Il-konformità tal-cloud m’għadhiex appendiċi teknika. Għal fornitur SaaS taħt NIS2, entità finanzjarja taħt DORA, jew kwalunkwe organizzazzjoni ISO 27001:2022 li tuża IaaS, PaaS u SaaS, il-governanza tal-cloud hija parti mill-kamp ta’ applikazzjoni tal-ISMS, mill-Pjan ta’ Trattament tar-Riskju, miċ-ċiklu tal-ħajja tal-fornituri, mill-proċess tal-inċidenti, mir-responsabbiltà għall-privatezza u mir-Rieżami tal-Ġestjoni.

L-għan prattiku huwa sempliċi: tinbena arkitettura waħda ta’ evidenza tal-cloud lesta għar-regolaturi li twieġeb mistoqsijiet ta’ ISO 27001:2022, NIS2, DORA, GDPR, assigurazzjoni tal-klijenti u Awditjar Intern, mingħajr ma tinbena evidenza mill-ġdid għal kull qafas.

Il-cloud dejjem jinsab fil-kamp ta’ applikazzjoni, anki meta l-infrastruttura tkun esternalizzata

L-ewwel nassa tal-awditu hija li wieħed jassumi li infrastruttura esternalizzata tinsab barra mill-ISMS. Mhix. L-esternalizzazzjoni tbiddel il-konfini tal-kontroll; ma tneħħix ir-responsabbiltà.

ISO/IEC 27001:2022 jeħtieġ li l-organizzazzjoni tiddefinixxi l-kuntest tagħha, il-partijiet interessati, il-kamp ta’ applikazzjoni tal-ISMS, l-interfaċċi, id-dipendenzi u l-proċessi. F’negozju orjentat lejn il-cloud, il-fornitur tal-identità, il-kont tal-hosting cloud, is-CRM, il-pjattaforma tal-email, id-data warehouse, il-pipeline CI/CD, l-għodda tat-ticketing u s-servizz tal-backup spiss ikunu infrastruttura tan-negozju kritika.

Zenith Blueprint: An Auditor’s 30-Step Roadmap ta’ Clarysec Zenith Blueprint jagħmel dan il-punt fil-fażi ISMS Foundation & Leadership, Pass 2, Stakeholder Needs and ISMS Scope:

“Jekk testernalizza l-infrastruttura tal-IT tiegħek lil fornitur tal-cloud, dan ma jeskludihiex mill-kamp ta’ applikazzjoni; pjuttost, jinkludi l-ġestjoni ta’ dik ir-relazzjoni u l-assi tal-cloud bħala parti mill-kamp ta’ applikazzjoni, għaliex is-sigurtà tad-data tiegħek fil-cloud tibqa’ r-responsabbiltà tiegħek.”

Dik id-dikjarazzjoni hija punt ta’ ankraġġ għall-awditu. Il-kamp ta’ applikazzjoni tiegħek m’għandux jgħid, “AWS huwa eskluż għax Amazon timmaniġġjah.” Għandu jgħid li l-assi tal-informazzjoni u l-proċessi relatati ma’ servizzi ospitati fuq AWS huma fil-kamp ta’ applikazzjoni, inkluża l-ġestjoni tal-kontrolli tas-sigurtà tal-cloud, l-identità, il-logging, l-iċċifrar, il-backup, l-assigurazzjoni tal-fornituri u r-rispons għall-inċidenti.

Għal ISO 27001:2022, dan jappoġġa klawżoli 4.1 sa 4.4 dwar il-kuntest, il-partijiet interessati, il-kamp ta’ applikazzjoni u l-proċessi tal-ISMS. Għal NIS2, jappoġġa l-aspettattivi ta’ Article 21 dwar l-analiżi tar-riskju, l-immaniġġjar tal-inċidenti, il-kontinwità tan-negozju, is-sigurtà tal-katina tal-provvista, l-akkwist u l-manutenzjoni siguri, il-kontroll tal-aċċess, il-politika tal-ġestjoni tal-assi, il-kontrolli kriptografiċi, l-effettività tal-kontrolli u l-MFA fejn xieraq. Għal DORA, jappoġġa l-prinċipju li entitajiet finanzjarji jibqgħu responsabbli għar-riskju tal-ICT anki meta s-servizzi tal-ICT ikunu esternalizzati.

Il-mistoqsija mhijiex jekk il-fornitur tal-cloud tiegħek huwiex sigur. Il-mistoqsija hija jekk tiggvernax l-użu tiegħek tal-fornitur, tikkonfigurax in-naħa tiegħek b’mod korrett, timmonitorjax is-servizz, timmaniġġjax l-impenji tal-fornituri u żżommx l-evidenza.

Ir-responsabbiltà kondiviża għandha ssir evidenza kondiviża

Il-fornituri tal-cloud jispjegaw ir-responsabbiltà kondiviża. L-awdituri jittestjaw jekk intomx implimentajtuha operattivament.

F’IaaS, il-fornitur normalment jiżgura l-faċilitajiet fiżiċi, l-infrastruttura ewlenija u l-hypervisor. Il-klijent jikkontrolla l-identità, il-konfigurazzjoni tal-workloads, il-hardening tas-sistema operattiva, is-sigurtà fil-livell tal-applikazzjoni, il-klassifikazzjoni tad-data, is-settings tal-iċċifrar, ir-regoli tan-network, il-logging, il-backups, l-applikazzjoni ta’ patches u r-rispons għall-inċidenti.

F’SaaS, il-fornitur jikkontrolla l-biċċa l-kbira tal-operazzjonijiet tal-pjattaforma, iżda l-klijent xorta jikkontrolla l-konfigurazzjoni tat-tenant, l-utenti, ir-rwoli amministrattivi, l-integrazzjonijiet, il-qsim tad-data, iż-żamma, l-għażliet tal-logging u l-proċeduri ta’ eskalazzjoni.

Zenith Controls: The Cross-Compliance Guide ta’ Clarysec Zenith Controls jittratta l-kontroll 5.23 ta’ ISO/IEC 27002:2022, is-sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud, bħala kontroll ċentrali ta’ governanza tal-cloud b’intenzjoni preventiva madwar il-kunfidenzjalità, l-integrità u d-disponibbiltà. Jorbot is-servizzi cloud mar-relazzjonijiet tal-fornituri, it-trasferiment sigur tal-informazzjoni, l-inventarju tal-assi, il-prevenzjoni tat-telf tad-data, is-sigurtà tal-endpoints u tan-network, u l-prattiki ta’ żvilupp sigur.

Interpretazzjoni ewlenija ta’ Zenith Controls tgħid:

“Il-fornituri ta’ servizzi cloud (CSPs) jaġixxu bħala fornituri kritiċi, u għalhekk il-kontrolli kollha dwar l-għażla tal-fornituri, il-kuntrattar u l-ġestjoni tar-riskju taħt 5.19 japplikaw. Madankollu, 5.23 imur lil hinn billi jindirizza riskji speċifiċi għall-cloud, bħall-multi-tenancy, it-trasparenza tal-post tad-data u l-mudelli ta’ responsabbiltà kondiviża.”

Din id-distinzjoni hija kritika. Iċ-ċertifikati tal-fornituri waħedhom ma jissodisfawx Anness A.5.23. Għandek bżonn evidenza min-naħa tal-klijent li turi li s-servizz cloud huwa governat, ikkonfigurat, immonitorjat u rieżaminat.

Din hija d-differenza bejn li jkollok kontrolli tal-cloud u li jkollok kontrolli tal-cloud lesti għall-awditu.

Ibda b’Reġistru tas-Servizzi Cloud li l-awdituri jistgħu jużaw

L-aktar mod mgħaġġel biex ittejjeb il-kapaċità li tintwera l-konformità tal-cloud huwa li toħloq Reġistru tas-Servizzi Cloud sħiħ. M’għandux ikun lista tal-akkwist jew esportazzjoni tal-finanzi. Għandu jgħaqqad is-servizzi cloud mad-data, is-sidien, ir-reġjuni, l-aċċess, il-kuntratti, il-kritikalità, ir-rilevanza regolatorja u l-evidenza.

Il-Politika dwar l-Użu tal-Cloud għall-SMEs ta’ Clarysec Politika dwar l-Użu tal-Cloud għall-SMEs tagħti linja bażi kumpatta u adattata għall-awditu fi klawżola 5.3:

“Għandu jinżamm Reġistru tas-Servizzi Cloud mill-fornitur tal-IT jew mill-GM. Għandu jirreġistra: 5.3.1 L-isem u l-għan ta’ kull servizz cloud approvat 5.3.2 Il-persuna jew it-tim responsabbli (Sid tal-Applikazzjoni) 5.3.3 It-tipi ta’ data maħżuna jew ipproċessata 5.3.4 Il-pajjiż jew ir-reġjun fejn tinħażen id-data 5.3.5 Il-permessi ta’ aċċess tal-utenti u l-kontijiet amministrattivi 5.3.6 Id-dettalji tal-kuntratt, id-dati tat-tiġdid u l-kuntatti tal-appoġġ”

Għal ambjenti korporattivi, il-Politika dwar l-Użu tal-Cloud ta’ Clarysec Politika dwar l-Użu tal-Cloud tistabbilixxi mandat usa’:

“Din il-politika tistabbilixxi r-rekwiżiti obbligatorji tal-organizzazzjoni għall-użu sigur, konformi u responsabbli ta’ servizzi tal-cloud computing madwar mudelli ta’ twassil Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), u Software-as-a-Service (SaaS).”

Il-Politika dwar l-Użu tal-Cloud teħtieġ reġistru ċentralizzat taħt ir-responsabbiltà tas-CISO u konfigurazzjonijiet bażi approvati għall-ambjenti cloud. Dak ir-reġistru jsir il-pedament tal-evidenza għal diversi obbligi f’daqqa.

Għal ISO 27001:2022, jappoġġa l-inventarju tal-assi, il-governanza tal-użu tal-cloud, ir-relazzjonijiet tal-fornituri, il-kontroll tal-aċċess, ir-rekwiżiti legali u kuntrattwali, it-trattament tar-riskju u l-informazzjoni dokumentata. Għal NIS2, jappoġġa s-sigurtà tal-katina tal-provvista, il-politika tal-ġestjoni tal-assi, l-analiżi tar-riskju, l-immaniġġjar tal-inċidenti u l-kontinwità. Għal DORA, jappoġġa l-immappjar tal-assi u d-dipendenzi tal-ICT, ir-reġistri tal-partijiet terzi tal-ICT, l-immappjar ta’ funzjonijiet kritiċi jew importanti u l-analiżi tar-riskju ta’ konċentrazzjoni. Għal GDPR, jidentifika jekk data personali hijiex ipproċessata, fejn tinsab, liema fornitur jaġixxi bħala proċessur, u liema termini ta’ trasferiment jew ta’ pproċessar tad-data japplikaw.

Jekk ir-reġistru ma jidentifikax kategoriji tad-data u reġjuni, l-evidenza tal-privatezza u tar-reżiljenza tkun inkompleta. Jekk ma jidentifikax is-sidien tal-applikazzjonijiet, ir-rieżami tal-aċċess jispiċċa mingħajr sid. Jekk ma jidentifikax il-kuntratti u d-dati tat-tiġdid, il-klawżoli tas-sigurtà tal-fornituri ma jistgħux jiġu ttestjati.

Ibdel ISO 27001:2022 f’sinsla għall-evidenza tal-cloud

ISO 27001:2022 huwa l-aħjar sinsla għall-evidenza tal-cloud għaliex jgħaqqad il-kuntest tan-negozju, ir-riskju, il-kontrolli, l-evidenza operattiva, il-monitoraġġ u t-titjib.

Rekwiżiti ewlenin ta’ ISO 27001:2022 rilevanti għall-cloud jinkludu:

• Klawżoli 4.1 sa 4.4 għall-kuntest, il-partijiet interessati, il-kamp ta’ applikazzjoni tal-ISMS, l-interfaċċi, id-dipendenzi u l-proċessi.
• Klawżoli 5.1 sa 5.3 għat-tmexxija, il-politika, ir-rwoli, ir-responsabbiltajiet u l-obbligu ta’ rendikont.
• Klawżoli 6.1.1 sa 6.1.3 għall-valutazzjoni tar-riskju, it-trattament tar-riskju, il-paragun ma’ Anness A, id-Dikjarazzjoni ta’ Applikabbiltà u l-aċċettazzjoni tar-riskju residwu.
• Klawżola 7.5 għal informazzjoni dokumentata kkontrollata.
• Klawżoli 8.1 sa 8.3 għall-ippjanar u l-kontroll operattiv, l-eżekuzzjoni tal-valutazzjoni tar-riskju u l-eżekuzzjoni tat-trattament tar-riskju.
• Klawżoli 9.1 sa 9.3 għall-monitoraġġ, il-kejl, l-Awditjar Intern u r-Rieżami tal-Ġestjoni.
• Klawżola 10 għal nuqqas ta’ konformità, azzjoni korrettiva u titjib kontinwu.

Il-kontrolli ta’ Anness A li jġorru l-akbar piż għall-evidenza tal-cloud jinkludu A.5.19 sigurtà tal-informazzjoni fir-relazzjonijiet tal-fornituri, A.5.20 indirizzar tas-sigurtà tal-informazzjoni fi ftehimiet mal-fornituri, A.5.21 ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT, A.5.22 monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri, A.5.23 sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud, A.5.24 sa A.5.27 ġestjoni tal-inċidenti, A.5.29 sigurtà tal-informazzjoni waqt tfixkil, A.5.30 tħejjija tal-ICT għall-kontinwità tan-negozju, A.5.31 rekwiżiti legali, statutorji, regolatorji u kuntrattwali, A.5.34 privatezza u protezzjoni tal-PII, A.5.36 konformità ma’ politiki, regoli u standards għas-sigurtà tal-informazzjoni, A.8.8 ġestjoni tal-vulnerabbiltajiet tekniċi, A.8.9 ġestjoni tal-konfigurazzjoni, A.8.13 backup tal-informazzjoni, A.8.15 logging, A.8.16 attivitajiet ta’ monitoraġġ, A.8.24 użu ta’ kontrolli kriptografiċi, A.8.25 ċiklu tal-ħajja tal-iżvilupp tas-software (SDLC), A.8.29 ittestjar tas-sigurtà fl-iżvilupp u l-aċċettazzjoni, u A.8.32 ġestjoni tat-tibdil.

F’Zenith Blueprint, il-fażi Controls in Action, Pass 23, tispjega s-servizzi cloud b’lingwaġġ li jolqot lill-awdituri:

“It-tranżizzjoni lejn servizzi cloud tintroduċi bidliet profondi fil-mudell ta’ fiduċja. M’għadekx tikkontrolla s-server, il-perimetru tan-network, jew il-hypervisor. Spiss lanqas tkun taf fejn tinsab fiżikament id-data. Dak li tikkontrolla, u dak li dan il-kontroll japplika għalih, huwa l-governanza ta’ dik ir-relazzjoni, il-viżibbiltà f’dak li qed tuża, u l-aspettattivi tas-sigurtà li tqiegħed fuq il-fornituri tiegħek.”

Entrata b’saħħitha fid-Dikjarazzjoni ta’ Applikabbiltà għal A.5.23 m’għandhiex tgħid biss “Applikabbli, fornitur tal-cloud iċċertifikat.” Għandha tispjega għaliex il-kontroll japplika, liema riskji jittratta, kif huwa implimentat u fejn tinħażen l-evidenza.

Żid kolonna tal-post tal-evidenza fis-SoA jew fit-tracker tal-kontrolli. L-awdituri m’għandhomx ikollhom ifittxu fl-email, fis-sistemi ta’ ticketing u fid-drives kondiviżi biex isibu l-evidenza.

Uża mudell wieħed ta’ evidenza għal ISO 27001:2022, NIS2 u DORA

NIS2 u DORA t-tnejn jeħtieġu ċibersigurtà dokumentata, ibbażata fuq ir-riskju u mmexxija mill-maniġment. Is-sovrapożizzjoni hija sostanzjali, iżda l-pressjoni superviżorja hija differenti.

NIS2 tapplika għal ħafna entitajiet essenzjali u importanti fl-UE, inklużi fornituri ta’ infrastruttura diġitali, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, banek, infrastrutturi tas-swieq finanzjarji u fornituri diġitali. Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati, inklużi l-analiżi tar-riskju, l-immaniġġjar tal-inċidenti, il-kontinwità tan-negozju, is-sigurtà tal-katina tal-provvista, l-akkwist u l-manutenzjoni siguri, l-immaniġġjar tal-vulnerabbiltajiet, l-evalwazzjoni tal-effettività tal-kontrolli, l-iġjene ċibernetika, it-taħriġ, il-kontrolli kriptografiċi, il-kontroll tal-aċċess, il-politika tal-ġestjoni tal-assi u l-MFA jew komunikazzjonijiet siguri fejn xieraq.

Għall-evidenza tal-awditu tas-sigurtà tal-cloud, NIS2 tistaqsi jekk ir-riskji tal-cloud u tal-fornituri humiex immaniġġjati bħala parti mir-riskju tat-twassil tas-servizz. Iġġib ukoll rappurtar strutturat ta’ inċidenti sinifikanti, inkluż twissija bikrija fi żmien 24 siegħa, notifika ta’ inċident fi żmien 72 siegħa u rapport finali fi żmien xahar.

DORA tapplika mis-17 ta’ Jannar 2025 għal ħafna entitajiet finanzjarji tal-UE u toħloq rekwiżiti uniformi għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti maġġuri tal-ICT, l-ittestjar tar-reżiljenza operattiva diġitali, il-qsim tal-informazzjoni u r-riskju tal-ICT minn partijiet terzi. Għal entitajiet finanzjarji identifikati wkoll taħt NIS2, DORA titqies bħala l-att legali tal-Unjoni speċifiku għas-settur għall-obbligi operattivi sovraposti.

Għall-cloud, DORA hija diretta. Entitajiet finanzjarji jibqgħu responsabbli għar-riskju tal-ICT meta s-servizzi jkunu esternalizzati. Jeħtieġu strateġiji għal partijiet terzi tal-ICT, reġistri tal-kuntratti, evalwazzjonijiet tas-sigurtà ta’ qabel il-kuntratt, diliġenza dovuta, drittijiet ta’ awditu u ta’ aċċess, skattaturi tat-terminazzjoni, analiżi tar-riskju ta’ konċentrazzjoni, kontrolli tas-subkuntrattar u strateġiji ta’ ħruġ ittestjati.

Zenith Controls jimmappa l-kontroll 5.23 ta’ ISO/IEC 27002:2022 ma’ NIS2 tal-UE Article 21 u DORA Articles 28 sa 31. Jindika wkoll standards ta’ appoġġ bħal ISO/IEC 27017 għar-rwoli u l-monitoraġġ tas-sigurtà tal-cloud, ISO/IEC 27018 għall-protezzjoni tal-PII fil-cloud pubbliku, ISO/IEC 27701 għall-ġestjoni tal-privatezza f’relazzjonijiet cloud bejn proċessur u kontrollur, ISO/IEC 27036-4 għall-monitoraġġ tas-servizzi cloud u ftehimiet mal-fornituri, u ISO/IEC 27005 għall-valutazzjoni tar-riskju tal-cloud.

L-implikazzjoni prattika hija sempliċi. Tibnix pakketti separati ta’ evidenza għal ISO 27001:2022, NIS2, DORA u GDPR. Ibni arkitettura waħda ta’ evidenza tal-cloud b’immappjar speċifiku għal kull qafas.

Il-kuntratti tal-fornituri huma evidenza tal-kontroll, mhux arkivji legali

L-evidenza tal-awditu tal-cloud spiss tinkiser fis-saff tal-kuntratti. Is-sigurtà għandha kwestjonarju tal-fornitur. Il-funzjoni legali għandha l-MSA. L-akkwist għandu d-data tat-tiġdid. Id-DPO għandu d-DPA. Ħadd m’għandu stampa waħda dwar jekk il-ftehim jinkludix il-klawżoli tas-sigurtà meħtieġa minn ISO 27001:2022, NIS2, DORA u GDPR.

Il-Politika dwar is-Sigurtà ta’ Partijiet Terzi u Fornituri għall-SMEs ta’ Clarysec Politika dwar is-Sigurtà ta’ Partijiet Terzi u Fornituri għall-SMEs tgħid fi klawżola 5.3:

“Il-kuntratti għandhom jinkludu klawżoli obbligatorji li jkopru: 5.3.1 Kunfidenzjalità u nuqqas ta’ żvelar 5.3.2 Obbligi tas-sigurtà tal-informazzjoni 5.3.3 Skadenzi tan-notifika ta’ ksur ta’ data (eż., fi żmien 24–72 siegħa) 5.3.4 Drittijiet ta’ awditu jew id-disponibbiltà ta’ evidenza tal-konformità 5.3.5 Restrizzjonijiet fuq aktar subkuntrattar mingħajr approvazzjoni 5.3.6 Termini tat-terminazzjoni, inkluż ritorn jew qerda sigura tad-data”

Għal konsistenza fl-awditu, ittraduċi dawk il-klawżoli f’matriċi ta’ rieżami tal-kuntratti. ISO 27001:2022 Anness A.5.20 jistenna li r-rekwiżiti tas-sigurtà jiġu miftiehma mal-fornituri. GDPR Article 28 jeħtieġ termini tal-proċessur li jkopru l-kunfidenzjalità, il-miżuri tas-sigurtà, l-assistenza, is-subprocessors, it-tħassir jew ir-ritorn tad-data u l-appoġġ għall-awditu. DORA Article 30 jeħtieġ dispożizzjonijiet kuntrattwali dettaljati għal fornituri terzi tal-ICT, inklużi deskrizzjonijiet tas-servizzi, post tad-data, sigurtà, assistenza fl-inċidenti, kooperazzjoni mal-awtoritajiet, drittijiet ta’ awditu, drittijiet ta’ aċċess, terminazzjoni u arranġamenti ta’ tranżizzjoni. Is-sigurtà tal-katina tal-provvista taħt NIS2 teħtieġ ukoll kooperazzjoni tal-fornituri li tista’ tiġi infurzata.

Zenith Controls jimmappa l-kontroll 5.20 ta’ ISO/IEC 27002:2022 mal-ftehimiet mal-fornituri u jinnota rabtiet ma’ 5.19 relazzjonijiet tal-fornituri, 5.14 trasferiment tal-informazzjoni, 5.22 monitoraġġ tal-fornituri, 5.11 ritorn tal-assi u 5.36 konformità.

Il-punt ewlieni huwa l-operazzjonalizzazzjoni. Jekk kuntratt cloud jagħti aċċess għal rapporti SOC 2, l-awdituri jistgħu jistaqsu jekk ksibtx ir-rapport, rieżaminajtx l-eċċezzjonijiet, segwejtx ir-rimedjazzjoni u rivalutajtx ir-riskju. Jekk il-kuntratt iwiegħed notifika ta’ ksur, jistgħu jistaqsu jekk il-playbook tal-inċidenti tiegħek jinkludix il-mogħdija ta’ kuntatt mal-fornitur u l-punti ta’ deċiżjoni regolatorji. Jekk bidliet fis-subkuntratturi jeħtieġu approvazzjoni jew avviż, jistgħu jistaqsu jekk in-notifiki tas-subprocessors jiġux rieżaminati qabel l-aċċettazzjoni.

Kuntratt mingħajr evidenza ta’ rieżami huwa arkivju. Kuntratt marbut mar-riskju tal-fornituri, reġistri ta’ monitoraġġ u flussi tax-xogħol tal-inċidenti huwa kontroll.

Il-logging u l-konfigurazzjoni tas-SaaS huma lakuni komuni fl-awditu

Is-sejbiet tal-cloud spiss jiġu minn SaaS, mhux minn IaaS. It-timijiet tal-infrastruttura normalment ikollhom sidien tal-inġinerija, pipelines tal-logging, kontrolli bażi u reġistri tat-tibdil. Il-pjattaformi SaaS huma mifruxa bejn bejgħ, riżorsi umani, finanzi, suċċess tal-klijenti, marketing u operazzjonijiet. Kull waħda tista’ tipproċessa data sensittiva jew regolata.

Il-Politika dwar il-Logging u l-Monitoraġġ għall-SMEs ta’ Clarysec Politika dwar il-Logging u l-Monitoraġġ għall-SMEs tindirizza dan direttament fi klawżola 5.5:

“5.5 Servizzi cloud u logging minn partijiet terzi 5.5.1 Għal pjattaformi fejn il-logging mhuwiex taħt kontroll dirett tal-IT (eż., email SaaS), japplikaw ir-rekwiżiti li ġejjin: 5.5.1.1 Il-logging għandu jkun attivat u kkonfigurat fejn disponibbli 5.5.1.2 It-twissijiet għandhom jintbagħtu lill-Fornitur ta’ Appoġġ tal-IT 5.5.1.3 Il-kuntratti għandhom jeħtieġu li l-fornituri jżommu l-logs għal mill-inqas 12-il xahar u jipprovdu aċċess fuq talba”

Għall-intrapriżi, il-Politika dwar l-Użu tal-Cloud iżżid:

“Is-servizzi cloud għandhom jiġu integrati fis-SIEM tal-organizzazzjoni għal monitoraġġ kontinwu.”

Dan ir-rekwiżit ibiddel SaaS minn “għodda tan-negozju” għal “sistema tal-informazzjoni mmonitorjata.” L-evidenza għandha tinkludi esportazzjonijiet tas-settings tal-logging, prova tal-konnettur SIEM, regoli tat-twissijiet, tickets tat-trijaġġ, settings taż-żamma u rieżamijiet tal-aċċess amministrattiv.

Għal SaaS kritiku, ipprepara evidenza għall-ħolqien ta’ kontijiet amministrattivi, logins suspettużi, downloads massivi, qsim pubbliku, diżattivazzjoni tal-MFA, ħolqien ta’ tokens API, attività ta’ mistiedna esterni u eskalazzjoni tal-privileġġi. Għal IaaS, ipprepara CloudTrail jew logging ekwivalenti tal-control plane, logs tal-aċċess għall-ħażna, bidliet fl-IAM, flow logs fejn xieraq, sejbiet CSPM, skannjar ta’ vulnerabbiltajiet, evidenza tal-applikazzjoni ta’ patches, settings tal-iċċifrar, status tal-backup, rieżamijiet tal-gruppi tas-sigurtà tan-network u tickets tat-tibdil.

Il-metodoloġija tal-awditu ta’ Zenith Controls għall-kontroll 5.23 tinnota li awditu stil ISO/IEC 27007 jista’ jispezzjona permessi ta’ buckets AWS S3, iċċifrar, politiki IAM u logging ta’ CloudTrail. Awditur b’orjentazzjoni COBIT jista’ jirrieżamina konfigurazzjonijiet tat-twissijiet, kontrolli DLP, l-użu ta’ Microsoft 365 Secure Score u logs tal-ġestjoni tat-tibdil. Perspettiva NIST SP 800-53A tista’ tittestja l-ġestjoni tal-kontijiet u l-monitoraġġ, inkluż jekk workloads cloud humiex patched, skannjati u mmonitorjati bl-istess rigorożità bħal sistemi interni.

Awdituri differenti jitkellmu djaletti differenti. L-evidenza tiegħek għandha tkun l-istess.

Ibni pakkett ta’ evidenza lest għar-regolaturi għal servizz SaaS wieħed u servizz IaaS wieħed

Fluss tax-xogħol prattiku jibda bi pjattaforma SaaS kritika waħda u ambjent IaaS kritiku wieħed. Pereżempju, Microsoft 365 għall-kollaborazzjoni u AWS għall-hosting tal-produzzjoni.

Pass 1: Aġġorna r-Reġistru tas-Servizzi Cloud

Għal Microsoft 365, irreġistra l-għan, is-sid, it-tipi ta’ data, ir-reġjun, il-kontijiet amministrattivi, il-kuntratt, id-DPA, il-kuntatt tal-appoġġ, id-data tat-tiġdid u l-kritikalità. Għal AWS, irreġistra l-kont tal-produzzjoni, ir-reġjuni, il-kategoriji tad-data, il-workloads, is-sid tal-kont, l-istatus tal-kont root, il-pjan ta’ appoġġ, it-termini tal-kuntratt u s-servizzi tan-negozju marbuta.

Uża l-oqsma tal-Politika dwar l-Użu tal-Cloud għall-SMEs bħala s-sett minimu tad-data. Żid il-kritikalità, ir-rilevanza regolatorja u l-post tal-evidenza.

Pass 2: Iddokumenta r-responsabbiltà kondiviża

Għal Microsoft 365, ir-responsabbiltajiet tal-klijent jinkludu ċ-ċiklu tal-ħajja tal-utent, MFA, aċċess kondizzjonali, qsim mal-mistednin, tikketti taż-żamma, DLP fejn jintuża, logging u eskalazzjoni tal-inċidenti. Għal AWS, ir-responsabbiltajiet tal-klijent jinkludu IAM, regoli tan-network, hardening tal-workloads, konfigurazzjoni tal-iċċifrar, backup, logging, applikazzjoni ta’ patches u sigurtà fil-livell tal-applikazzjoni.

Ehmeż id-dokumentazzjoni tar-responsabbiltà kondiviża tal-fornitur, imbagħad immappa kull responsabbiltà tal-klijent għal Sid tal-kontroll u sors ta’ evidenza.

Pass 3: Aqbad evidenza tal-konfigurazzjoni

Għal Microsoft 365, esporta jew ħu screenshot tal-politiki MFA u ta’ aċċess kondizzjonali, ir-rwoli amministrattivi, is-settings tal-qsim estern, ir-reġistrazzjoni tal-awditjar, il-konfigurazzjoni taż-żamma u l-azzjonijiet tas-security score. Għal AWS, esporta l-politika tal-passwords IAM, l-istatus MFA privileġġjat, il-konfigurazzjoni ta’ CloudTrail, il-blokk tal-aċċess pubbliku ta’ S3, l-istatus tal-iċċifrar, ir-rieżami tal-gruppi tas-sigurtà, ix-xogħlijiet ta’ backup u l-istatus tal-iskannjar tal-vulnerabbiltajiet.

Il-Politika dwar l-Użu tal-Cloud teħtieġ li l-ambjenti cloud ikunu konformi ma’ konfigurazzjoni bażi dokumentata approvata mill-Perit tas-Sigurtà tal-Cloud. Il-pakkett tal-evidenza tiegħek għandu jinkludi kemm il-linja bażi kif ukoll prova tal-allinjament.

Pass 4: Rabat l-evidenza tal-fornituri u tal-privatezza

Ehmeż il-kuntratt, id-DPA, il-lista tas-subprocessors, it-termini tan-notifika ta’ ksur, ir-rapporti tal-assigurazzjoni tal-awditu u l-evidenza tal-post tad-data. Jekk tiġi pproċessata data personali, irreġistra jekk il-fornitur jaġixxix bħala proċessur, kif jiġi mmaniġġjat it-tħassir, kif jaħdem l-appoġġ għat-talbiet tas-suġġetti tad-data, u liema salvagwardji tat-trasferiment japplikaw.

Għal DORA, identifika jekk is-servizz cloud jappoġġax funzjoni kritika jew importanti. Jekk iva, rabat l-evidenza mar-reġistru tal-partijiet terzi tal-ICT, il-fajl tad-diliġenza dovuta, id-drittijiet ta’ awditu, il-pjan ta’ ħruġ u r-rieżami tar-riskju ta’ konċentrazzjoni.

Pass 5: Qabbad il-logging mar-rispons għall-inċidenti

Uri li l-logs huma attivati, mibgħuta, rieżaminati u użati. Ehmeż dashboards SIEM, regoli tat-twissijiet u mill-inqas ticket wieħed magħluq ta’ twissija. Imbagħad immappa l-fluss tax-xogħol mal-punti ta’ deċiżjoni tar-rappurtar ta’ NIS2 u DORA.

Għal NIS2, il-proċess tal-inċidenti għandu jappoġġa twissija bikrija fi żmien 24 siegħa, notifika ta’ inċident fi żmien 72 siegħa u rapport finali fi żmien xahar għal inċidenti sinifikanti. Għal DORA, il-proċess tal-inċidenti tal-ICT għandu jikklassifika l-inċidenti skont il-klijenti affettwati, it-tranżazzjonijiet, it-tul, il-ħin ta’ waqfien, il-firxa ġeografika, l-impatt fuq id-data, il-kritikalità tas-servizz u l-impatt ekonomiku.

Pass 6: Aħżen l-evidenza b’dixxiplina

Il-Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità għall-SMEs ta’ Clarysec Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità għall-SMEs, klawżola 6.2, tiddefinixxi dixxiplina prattika tal-evidenza:

“6.2 Ġbir tal-evidenza u dokumentazzjoni 6.2.1 L-evidenza kollha għandha tinħażen f’folder ċentralizzat tal-awditjar. 6.2.2 L-ismijiet tal-fajls għandhom jirreferu b’mod ċar għas-suġġett tal-awditjar u d-data. 6.2.3 Il-metadata (eż., min ġabarha, meta, u minn liema sistema) għandha tiġi dokumentata. 6.2.4 L-evidenza għandha tinżamm għal mill-inqas sentejn, jew għal aktar żmien fejn meħtieġ minn ċertifikazzjoni jew ftehimiet tal-klijenti.”

Il-Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità għall-intrapriżi Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità tiddikjara l-għan:

“Li tiġi ġġenerata evidenza difensibbli u traċċa ta’ awditjar b’appoġġ għal mistoqsijiet regolatorji, proċedimenti legali jew talbiet ta’ assigurazzjoni tal-klijenti.”

Screenshot imsejjaħ “screenshot1.png” huwa evidenza dgħajfa. Fajl imsejjaħ “AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png” huwa aktar b’saħħtu għax jiddeskrivi s-sistema, il-kontroll, id-data u l-persuna li ġabret l-evidenza. Il-metadata hija importanti għaliex l-awdituri jridu jafdaw meta nġabret l-evidenza, min ġabarha u minn liema sistema.

Kif l-awdituri jittestjaw l-istess kontroll tal-cloud

L-aktar pakketti b’saħħithom ta’ evidenza tal-cloud huma mfassla għal diversi perspettivi ta’ awditu. Awdituri ta’ ISO 27001:2022 jittestjaw jekk il-kontroll jinsabx fl-ISMS, fil-valutazzjoni tar-riskju, fit-trattament tar-riskju u fis-SoA. Valutaturi b’orjentazzjoni NIST jittestjaw l-implimentazzjoni teknika. Awdituri ta’ COBIT 2019 jittestjaw il-governanza, il-prestazzjoni tal-fornituri u l-integrazzjoni tal-proċessi. Awdituri tal-privatezza jiffokaw fuq obbligi tal-proċessuri, residenza tad-data, tħejjija għal ksur u drittijiet tas-suġġetti tad-data. Rieżamijiet superviżorji ta’ DORA jiffokaw fuq riskju tal-ICT minn partijiet terzi u reżiljenza.

Zenith Controls jinkludi dawn id-differenzi fil-metodoloġija tal-awditu għas-servizzi cloud, il-ftehimiet mal-fornituri u l-monitoraġġ tal-fornituri. Għal 5.22, monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri, jenfasizza li l-awdituri jistgħu jispezzjonaw minuti ta’ rieżami tal-fornituri kull tliet xhur, rapporti KPI, evalwazzjonijiet ta’ rapporti SOC, change logs, evalwazzjonijiet tar-riskju, inċidenti tal-fornituri u issue tracking. Għal 5.20, indirizzar tas-sigurtà tal-informazzjoni fi ftehimiet mal-fornituri, jenfasizza kampjunar ta’ kuntratti għall-kunfidenzjalità, obbligi tas-sigurtà, notifika ta’ ksur, drittijiet ta’ awditu, approvazzjoni tas-subkuntratturi u termini tat-terminazzjoni.

Kontrolli ta’ konformità trasversali li jġorru t-tagħbija tal-awditu tal-cloud

Mudell ta’ evidenza tal-cloud lest għar-regolaturi jinbena madwar numru żgħir ta’ kontrolli b’effett qawwi. Dawn il-kontrolli jġorru parti kbira mit-tagħbija tal-konformità madwar ISO 27001:2022, NIS2, DORA, GDPR, NIST u COBIT 2019.

NIST SP 800-53 Rev.5 iżid fond tekniku permezz tal-ġestjoni tal-kontijiet, servizzi ta’ sistemi esterni, monitoraġġ kontinwu, monitoraġġ tas-sistemi u protezzjoni tal-konfini. COBIT 2019 iżid fond ta’ governanza permezz tal-ġestjoni tar-relazzjoni mal-fornituri, riskju tal-fornituri, skambji tad-data, sigurtà tan-network u tħejjija għat-tibdil.

Standards ISO ta’ appoġġ isaħħu l-mudell tal-evidenza. ISO/IEC 27017 jipprovdi gwida speċifika għall-cloud dwar rwoli kondiviżi, konfigurazzjoni ta’ magni virtwali u monitoraġġ tal-attività tal-klijent. ISO/IEC 27018 jiffoka fuq il-protezzjoni tal-PII fil-cloud pubbliku. ISO/IEC 27701 jestendi l-obbligi tal-privatezza fl-operazzjonijiet tal-proċessuri u l-kontrolluri. ISO/IEC 27036-4 jappoġġa ftehimiet u monitoraġġ ta’ fornituri cloud. ISO/IEC 27005 jappoġġa l-valutazzjoni tar-riskju tal-cloud.

Ir-Rieżami tal-Ġestjoni għandu jara r-riskju tal-cloud, mhux biss l-uptime tal-cloud

Wieħed mill-aktar artifacts tal-awditu injorati huwa r-Rieżami tal-Ġestjoni. ISO 27001:2022 jistenna li r-Rieżami tal-Ġestjoni jikkunsidra bidliet, ħtiġijiet tal-partijiet interessati, xejriet tal-prestazzjoni, riżultati tal-awditu, status tat-trattament tar-riskju u opportunitajiet ta’ titjib. NIS2 teħtieġ li l-korpi ta’ maniġment japprovaw miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u jissorveljaw l-implimentazzjoni. DORA teħtieġ li l-korp ta’ maniġment jiddefinixxi, japprova, jissorvelja u jibqa’ responsabbli għall-ġestjoni tar-riskju tal-ICT.

Dashboard ta’ kull tliet xhur għas-sigurtà tal-cloud u l-fornituri għandu juri:

• Numru ta’ servizzi cloud approvati.
• Servizzi cloud kritiċi u s-sidien tagħhom.
• Servizzi li jipproċessaw data personali.
• Servizzi li jappoġġaw funzjonijiet kritiċi jew importanti.
• Konfigurazzjonijiet ħżiena tal-cloud b’riskju għoli li għadhom miftuħa.
• Status tar-rieżami tal-MFA u tal-aċċess privileġġjat.
• Kopertura tal-logging għal pjattaformi SaaS u IaaS kritiċi.
• Rapporti tal-assigurazzjoni tal-fornituri riċevuti u rieżaminati.
• Eċċezzjonijiet kuntrattwali u riskji aċċettati.
• Inċidenti cloud, near misses u lessons learned.
• Riżultati tat-testijiet tal-backup u tal-irkupru.
• Status tar-riskju ta’ konċentrazzjoni u tal-pjan ta’ ħruġ.

Dan id-dashboard isir evidenza għat-tmexxija u l-evalwazzjoni tal-prestazzjoni ta’ ISO 27001:2022, il-governanza ta’ NIS2, u r-responsabbiltà tal-maniġment taħt DORA.

Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskju, Pass 14, jirrakkomanda li jiġu krossreferenzjati r-rekwiżiti regolatorji meta jiġu implimentati trattamenti tar-riskju u politiki. Jgħid li l-immappjar tar-rekwiżiti ewlenin tar-regolamenti mal-kontrolli tal-ISMS huwa eżerċizzju intern utli u “jimpressjona wkoll lill-awdituri/valutaturi li m’intix timmaniġġja s-sigurtà f’vakwu, iżda int konxju tal-kuntest legali.”

Din hija l-maturità li r-regolaturi u l-klijenti korporattivi jistennew.

Sejbiet komuni fl-awditu tal-cloud u kif tevitahom

Fix-xogħol biex il-cloud ikun lest għall-awditu, is-sejbiet rikorrenti huma prevedibbli:

1. Ir-Reġistru tas-Servizzi Cloud jeżisti, iżda għodod SaaS huma nieqsa.
2. Il-post tad-data mhuwiex irreġistrat jew huwa kkupjat minn paġni tal-marketing minflok minn evidenza kuntrattwali.
3. MFA hija imposta għall-impjegati iżda mhux għall-kontijiet amministrattivi jew break-glass kollha.
4. Logs cloud huma attivati iżda mhux rieżaminati, miżmuma jew marbuta mar-rispons għall-inċidenti.
5. Rapporti SOC tal-fornituri jiġu arkivjati iżda mhux evalwati.
6. Klawżoli kuntrattwali jeżistu għal fornituri ġodda iżda mhux għal servizzi kritiċi legati.
7. Notifiki tas-subprocessors jaslu bl-email iżda ma jiġux evalwati għar-riskju.
8. Xogħlijiet ta’ backup jirnexxu, iżda t-testijiet ta’ rkupru mhumiex appoġġati b’evidenza.
9. Ir-responsabbiltà kondiviża hija mifhuma mill-inġiniera iżda mhux dokumentata għall-awdituri.
10. Is-SoA timmarka l-kontrolli cloud bħala applikabbli iżda ma torbothomx ma’ entrati tar-riskju, evidenza jew sidien.

Dawn huma problemi ta’ traċċabbiltà. Is-soluzzjoni hija li tgħaqqad il-politika, ir-riskju, il-kontroll, is-sid, l-evidenza u r-rieżami.

Meta Maria waslet għal jum l-awditu, ma baqgħetx tiddependi fuq screenshots mifruxa. Fetħet dashboard ċentrali li juri r-Reġistru tas-Servizzi Cloud, evalwazzjonijiet tar-riskju, entrati tas-SoA, evidenza tal-konfigurazzjoni bażi, fajls tar-rieżami tal-fornituri, prova tal-logging u r-rieżami tar-riskju ta’ konċentrazzjoni taħt DORA. Meta l-awditur staqsa kif kienu governati r-riskji tal-cloud, uriet l-ISMS. Meta l-awditur staqsa kif is-servizzi kienu kkonfigurati b’mod sigur, uriet il-linja bażi u l-evidenza CSPM. Meta l-awditur staqsa dwar riskju tal-ICT minn partijiet terzi, uriet ir-rieżami tal-kuntratti, il-monitoraġġ tal-fornituri u l-ippjanar tal-ħruġ.

Ir-riżultat ma kienx ambjent perfett. L-ebda ambjent cloud mhu perfett. Id-differenza kienet li d-deċiżjonijiet dwar ir-riskju kienu dokumentati, l-evidenza kienet difensibbli u r-responsabbiltà kienet viżibbli.

Ibni l-pakkett tal-evidenza tal-cloud tiegħek qabel ma jistaqsi l-awditur

Jekk l-organizzazzjoni tiegħek tiddependi fuq SaaS, IaaS jew PaaS, l-awditu li jmiss tiegħek mhux se jaċċetta “il-fornitur jieħu ħsiebha” bħala tweġiba biżżejjed. Trid tipprova responsabbiltà kondiviża, konfigurazzjoni min-naħa tal-klijent, klawżoli tal-fornituri, logging, tħejjija għall-inċidenti, reżiljenza u sorveljanza tal-maniġment.

Ibda bi tliet azzjonijiet prattiċi din il-ġimgħa:

1. Oħloq jew aġġorna r-Reġistru tas-Servizzi Cloud tiegħek billi tuża l-Politika dwar l-Użu tal-Cloud ta’ Clarysec Politika dwar l-Użu tal-Cloud jew il-Politika dwar l-Użu tal-Cloud għall-SMEs Politika dwar l-Użu tal-Cloud għall-SMEs.
2. Immappa l-aqwa 5 servizzi cloud tiegħek mal-kontrolli ta’ ISO 27001:2022 Anness A, NIS2 Article 21, l-obbligi ta’ DORA dwar partijiet terzi tal-ICT fejn japplikaw, u r-rekwiżiti tal-proċessuri taħt GDPR.
3. Ibni folder ċentralizzat tal-evidenza billi tuża d-dixxiplina taż-żamma u tal-metadata mill-Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità jew mill-Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità għall-SMEs Politika dwar l-Awditu u l-Monitoraġġ tal-Konformità għall-SMEs.

Imbagħad uża Zenith Blueprint Zenith Blueprint biex tqiegħed ix-xogħol fil-pjan direzzjonali tal-awditu ISMS ta’ 30 pass, u Zenith Controls Zenith Controls biex tivvalida l-immappjar trasversali tal-konformità, l-istandards ISO ta’ appoġġ u l-aspettattivi tal-metodoloġija tal-awditu.

Clarysec tista’ tgħinek tibdel screenshots cloud mifruxa, fajls tal-fornituri u settings SaaS f’pakkett ta’ evidenza lest għar-regolaturi li jiflaħ awditi ta’ ċertifikazzjoni ISO 27001:2022, mistoqsijiet superviżorji NIS2, rieżamijiet ta’ partijiet terzi tal-ICT taħt DORA u talbiet ta’ assigurazzjoni minn klijenti korporattivi.