Monitoraġġ kontinwu tal-konformità għal NIS2 u DORA
Il-mistoqsija tal-Ġimgħa wara nofsinhar li kull CISO issa jrid iwieġeb
Fis-16:40 ta’ nhar ta’ Ġimgħa, is-CISO ta’ pjattaforma ta’ pagamenti bbażata fuq il-cloud jirċievi tliet messaġġi fi żmien għaxar minuti.
L-ewwel wieħed huwa mingħand is-CFO: “Is-sieħeb bankarju tagħna jrid evidenza aġġornata li aħna nissodisfaw l-aspettattivi ta’ DORA għar-riskju ta’ partijiet terzi tal-ICT u r-rappurtar tal-inċidenti.”
It-tieni wieħed huwa mingħand il-Konsulent Legali Ġenerali: “Is-servizz immaniġġjat tas-sigurtà tagħna jista’ jdaħħalna fil-kamp ta’ applikazzjoni taħt l-implimentazzjoni nazzjonali ta’ NIS2. Nistgħu nippruvaw is-sorveljanza tal-ġestjoni u l-effettività tal-kontrolli?”
It-tielet wieħed huwa mingħand il-Kap tal-Inġinerija: “Applikajna l-patch għall-vulnerabbiltà kritika, iżda l-backlog juri 38 sejba medja li qabżu l-iskadenza. Irridu neskalaw?”
Dan huwa l-mument meta l-konformità annwali tfalli.
PDF tal-politika, reġistru tar-riskji aġġornat l-aħħar qabel l-awditu preċedenti, u folder ta’ screenshots mhumiex biżżejjed għal NIS2 u DORA. Dawn ir-reġimi jistennew governanza ħajja, sorveljanza tal-ġestjoni, flussi tax-xogħol tal-inċidenti, viżibbiltà tal-fornituri, ittestjar tar-reżiljenza, azzjoni korrettiva, u effettività tal-kontrolli li tista’ tintwera.
Għal ħafna CISOs, il-pressjoni mhijiex teorika. It-traspożizzjoni ta’ NIS2 fl-Istati Membri tal-UE bidlet iċ-ċibersigurtà minn programm tekniku għal kwistjoni ta’ responsabbiltà tal-ġestjoni. DORA japplika mis-17 ta’ Jannar 2025 u jagħti lill-entitajiet finanzjarji qafas regolatorju settorjali għar-reżiljenza operattiva għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti, l-ittestjar, u r-riskju ta’ partijiet terzi. Fornituri ta’ servizzi cloud, SaaS, servizzi mmaniġġjati, sigurtà mmaniġġjata, ċentri tad-data, distribuzzjoni tal-kontenut, servizzi ta’ fiduċja, u komunikazzjonijiet elettroniċi pubbliċi jistgħu wkoll jiffaċċjaw obbligi diretti jew indiretti skont il-kamp ta’ applikazzjoni, id-daqs, is-settur, il-klassifikazzjoni nazzjonali, u l-kuntratti tal-klijenti.
Il-mistoqsija prattika m’għadhiex, “Għandna kontroll?”
Issa hija, “Min hu sid il-kontroll, liema metrika tipprova li qed jaħdem, kemm-il darba niġbru l-evidenza, u x’jiġri meta l-metrika tfalli?”
Dan huwa l-qalba tal-monitoraġġ kontinwu tal-konformità għal NIS2 u DORA. Fl-implimentazzjonijiet ta’ Clarysec, nużaw ISO/IEC 27001:2022 bħala s-sinsla tas-sistema ta’ ġestjoni, ISO/IEC 27002:2022 bħala l-lingwa tal-kontrolli, Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur bħala s-sekwenza tal-implimentazzjoni, u Zenith Controls: Il-gwida tal-konformità trasversali bħala l-kumpass tal-konformità trasversali li jgħaqqad l-evidenza ISO/IEC 27001:2022 ma’ NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, u l-aspettattivi tal-awditjar.
Għaliex NIS2 u DORA jagħmlu l-konformità perjodika insuffiċjenti
NIS2 u DORA jvarjaw fl-istruttura legali, fil-mudell ta’ sorveljanza, u fil-kamp ta’ applikazzjoni, iżda joħolqu l-istess pressjoni operattiva. Iċ-ċibersigurtà u r-reżiljenza tal-ICT għandhom jiġu gvernati kontinwament.
NIS2 jeħtieġ li entitajiet essenzjali u importanti japplikaw miżuri tekniċi, operattivi, u organizzattivi xierqa u proporzjonati bl-użu ta’ approċċ għall-perikli kollha. Dawn il-miżuri jinkludu analiżi tar-riskju, politiki tas-sigurtà tas-sistemi tal-informazzjoni, ġestjoni tal-inċidenti, kontinwità tan-negozju, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, ġestjoni tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, u awtentikazzjoni b’diversi fatturi fejn xieraq. Il-korpi ta’ tmexxija għandhom japprovaw il-miżuri tal-ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni, u jirċievu taħriġ.
DORA jagħmel dan saħansitra aktar espliċitu għall-entitajiet finanzjarji. Jeħtieġ arranġamenti interni ta’ governanza u kontroll għar-riskju tal-ICT, qafas dokumentat tal-ġestjoni tar-riskju tal-ICT, responsabbiltà tal-korp ta’ tmexxija, ġestjoni u rappurtar ta’ inċidenti relatati mal-ICT, ittestjar tar-reżiljenza operattiva diġitali, ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, segwitu tal-awditjar, taħriġ, u arranġamenti ta’ komunikazzjoni. DORA jagħmilha ċara wkoll li l-entitajiet finanzjarji jibqgħu responsabbli għall-konformità meta jużaw fornituri ta’ servizzi ta’ partijiet terzi tal-ICT.
Dan joħloq realtà ġdida tal-konformità. CISO ma jistax jistenna sax-xahar tal-awditjar biex jiskopri li:
- ir-rieżamijiet tal-aċċess privileġġjat inqabżu għal żewġ trimestri;
- il-pjanijiet ta’ ħruġ mill-fornituri ġew dokumentati iżda qatt ma ġew ittestjati;
- il-kriterji tas-severità tal-inċidenti mhumiex immappjati mal-limiti regolatorji tar-rappurtar;
- il-backups huma kkonfigurati iżda l-evidenza tar-restawr hija nieqsa;
- il-ġestjoni qatt ma rrieżaminat trattamenti tar-riskju li qabżu l-iskadenza;
- il-kuntratti cloud jonqoshom drittijiet ta’ awditjar, viżibbiltà tas-subkuntratturi, jew klawżoli ta’ notifika tal-inċidenti.
Il-mudell antik ibbażat fuq proġetti joħloq ċikli ta’ paniku. It-timijiet jiġru qabel awditu, jiġbru screenshots, jaġġornaw id-dati tal-politiki, u jittamaw li l-evidenza tirrakkonta storja koerenti. NIS2 u DORA huma mfassla biex jagħmlu dan l-approċċ ifalli. Jiffokaw fuq responsabbiltà, proporzjonalità, reżiljenza, u evidenza tal-operat.
ISO/IEC 27001:2022 jipprovdi s-sistema operattiva għal din il-problema. Il-klawżoli tiegħu jeħtieġu li l-organizzazzjonijiet jifhmu l-kuntest, il-partijiet interessati, ir-rekwiżiti legali u kuntrattwali, il-kamp ta’ applikazzjoni, it-tmexxija, ir-rwoli, il-valutazzjoni tar-riskju, it-trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, l-ippjanar operattiv, l-evalwazzjoni tal-prestazzjoni, l-awditjar intern, ir-rieżami tal-ġestjoni, il-ġestjoni tan-nuqqas ta’ konformità, u t-titjib kontinwu. Din l-istruttura hija ideali biex tgħaqqad NIS2, DORA, GDPR, assigurazzjoni għall-klijenti, u riskju intern f’mudell wieħed ta’ monitoraġġ kontinwu.
Il-konformità kontinwa mhijiex aktar dashboards. Hija ritmu tal-evidenza gvernat.
Ibni l-magna tal-konformità fuq ISO/IEC 27001:2022
Ħafna organizzazzjonijiet jifhmu ħażin ISO/IEC 27001:2022 bħala qafas ta’ ċertifikazzjoni biss. Fil-prattika, hija sistema ta’ ġestjoni tar-riskju biex il-governanza tas-sigurtà ssir ripetibbli, miżurabbli, u adattata għall-awditjar.
Dan huwa importanti għaliex NIS2 u DORA mhumiex listi ta’ kontroll iżolati. Jeħtieġu mudell operattiv li jista’ jassorbi rekwiżiti legali, jittraduċihom f’kontrolli, jassenja s-sjieda, jimmonitorja l-prestazzjoni, u jtejjeb meta jinstabu lakuni.
Il-klawżoli fundamentali ta’ ISO/IEC 27001:2022 jipprovdu dak il-mudell:
| Klawżola ISO/IEC 27001:2022 | Għan għall-konformità kontinwa | Valur għal NIS2 u DORA |
|---|---|---|
| 4.1 Fehim tal-organizzazzjoni u tal-kuntest tagħha | Tiddefinixxi fatturi interni u esterni li jaffettwaw iċ-ċibersigurtà u r-reżiljenza | Taqbad l-espożizzjoni regolatorja, id-dipendenzi tan-negozju, l-ambjent tat-theddid, u l-kuntest operattiv |
| 4.2 Fehim tal-ħtiġijiet u l-aspettattivi tal-partijiet interessati | Tidentifika regolaturi, klijenti, sħab, fornituri, u obbligi legali | Iddaħħal NIS2, DORA, GDPR, kuntratti, u aspettattivi superviżorji fl-ISMS |
| 4.3 Determinazzjoni tal-kamp ta’ applikazzjoni tal-ISMS | Tiddefinixxi servizzi, postijiet, teknoloġiji, fornituri, u limiti tan-negozju | Tipprevjeni li servizzi ICT regolati u dipendenzi kritiċi jaqgħu barra mill-monitoraġġ |
| 5.1 Tmexxija u impenn | Jeħtieġ responsabbiltà tal-maniġment superjuri u integrazzjoni fil-proċessi tan-negozju | Jappoġġa r-responsabbiltà tal-korp ta’ tmexxija taħt NIS2 u DORA |
| 5.3 Rwoli, responsabbiltajiet u awtoritajiet organizzattivi | Jassenja responsabbiltajiet u awtoritajiet tal-ISMS | Joħloq sjieda responsabbli tal-kontrolli u mogħdijiet ta’ eskalazzjoni |
| 6.1.3 Trattament tar-riskju tas-sigurtà tal-informazzjoni | Jagħżel il-kontrolli u jipproduċi d-Dikjarazzjoni ta’ Applikabbiltà | Jikkonverti l-obbligi f’qafas wieħed ta’ kontrolli |
| 9.1 Monitoraġġ, kejl, analiżi u evalwazzjoni | Jeħtieġ monitoraġġ tal-prestazzjoni u l-effettività tal-ISMS | Jappoġġa t-tfassil tar-ritmu tal-KPIs, KRIs, u evidenza |
| 9.2 Awditjar intern | Jittestja jekk l-ISMS huwiex konformi u implimentat b’mod effettiv | Jappoġġa assigurazzjoni indipendenti u difensibbiltà regolatorja |
| 9.3 Rieżami tal-ġestjoni | Iġib informazzjoni dwar prestazzjoni, riskju, awditjar, u titjib lit-tmexxija | Jappoġġa sorveljanza u deċiżjonijiet fil-livell tal-bord |
| 10.1 Titjib kontinwu | Jeħtieġ titjib kontinwu tal-adegwatezza, l-idoneità, u l-effettività | Jikkonverti s-sejbiet f’azzjoni korrettiva u titjib tar-reżiljenza |
Għal FinTech, fornitur SaaS, servizz immaniġġjat tas-sigurtà, jew fornitur tal-ICT lil entitajiet finanzjarji, din l-istruttura tipprevjeni proġetti ta’ konformità duplikati. ISMS wieħed jista’ jimmappja l-obbligi mal-kontrolli darba, imbagħad jerġa’ juża l-evidenza fost NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, ċertifikazzjoni ISO/IEC 27001:2022, u rieżamijiet ta’ assigurazzjoni għall-klijenti.
Ibda bis-sjieda tal-kontrolli, mhux bl-għodod
L-ewwel mudell ta’ falliment fil-konformità kontinwa huwa implimentazzjoni li tibda bl-għodod. Kumpanija tixtri pjattaforma GRC, timporta mijiet ta’ rekwiżiti, tassenja kollox lil “Sigurtà,” u ssejjaħlu monitoraġġ kontinwu. Sitt xhur wara, id-dashboard ikun aħmar, l-inġinerija tikkontesta l-evidenza tal-vulnerabbiltajiet, il-legali jgħid li d-dokumenti tal-fornituri mhumiex kompluti, u l-ġestjoni ma tistax tara b’mod ċar ir-riskju residwu.
ISO/IEC 27001:2022 jevita dan billi jeħtieġ li r-responsabbiltajiet u l-awtoritajiet jiġu assenjati u kkomunikati. NIS2 u DORA jsaħħu l-istess aspettattiva permezz tar-responsabbiltà tal-ġestjoni, rwoli definiti, u sorveljanza.
Il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza - SME ta’ Clarysec tgħid:
Kull rwol b’responsabbiltà għas-sigurtà għandu jiġi rreġistrat f’reġistru ċentrali u rikonoxxut bil-miktub.
Dik il-klawżola hija aktar importanti mill-biċċa l-kbira tad-dashboards. Jekk l-ittestjar tal-backup, ir-rimedjazzjoni tal-vulnerabbiltajiet, id-diliġenza dovuta tal-fornituri, il-klassifikazzjoni tal-inċidenti, u r-rieżami tal-aċċess privileġġjat ma jkollhomx sidien nominati, ma jkunx hemm ritmu affidabbli tal-evidenza.
Il-Politika tas-Sigurtà tal-Informazzjoni tagħmel dan operattiv għal ambjenti ta’ intrapriża:
Iġbor u żomm evidenza tal-awditjar għall-awditi u r-rieżamijiet tal-kontrolli.
Teħtieġ ukoll li s-sidien tal-kontrolli:
Jirrapportaw il-prestazzjoni tal-kontrolli u kwalunkwe lakuna jew kwistjoni lill-Maniġer tal-ISMS.
F’Zenith Controls, dan is-suġġett jimmappja direttament mal-kontroll ISO/IEC 27002:2022 5.2 Rwoli u Responsabbiltajiet tas-Sigurtà tal-Informazzjoni, 5.35 Rieżami Indipendenti tas-Sigurtà tal-Informazzjoni, u 5.36 Konformità ma’ Politiki, Regoli u Standards għas-Sigurtà tal-Informazzjoni.
| Kontroll ISO/IEC 27002:2022 imsemmi f’Zenith Controls | Rwol fil-konformità kontinwa | Għaliex huwa importanti għal NIS2 u DORA |
|---|---|---|
| 5.2 Rwoli u Responsabbiltajiet tas-Sigurtà tal-Informazzjoni | Jassenja sidien responsabbli għall-kontrolli, l-evidenza, il-KPIs, il-KRIs, u l-eskalazzjoni | Jappoġġa s-sorveljanza tal-ġestjoni, iċ-ċarezza tar-rwoli, u r-responsabbiltà operattiva |
| 5.35 Rieżami Indipendenti tas-Sigurtà tal-Informazzjoni | Jittestja jekk il-monitoraġġ huwiex oġġettiv, komplut, u effettiv | Jappoġġa l-evalwazzjoni tal-effettività taħt NIS2 u l-aspettattivi tal-awditjar taħt DORA |
| 5.36 Konformità ma’ Politiki, Regoli u Standards għas-Sigurtà tal-Informazzjoni | Jivverifika li l-politiki, l-istandards, u l-obbligi jiġu segwiti | Jikkonverti obbligi legali u kuntrattwali f’verifiki tal-konformità miżurabbli |
Il-Zenith Blueprint jagħti punt ta’ tluq prattiku fil-fażi tal-Fondazzjoni u t-Tmexxija tal-ISMS, Pass 4: Rwoli u Responsabbiltajiet fl-ISMS. Jirrakkomanda ħatra formali, aġġornamenti tad-deskrizzjonijiet tax-xogħol, allinjament mal-KPIs, komunikazzjoni mal-organizzazzjoni kollha, u responsabbiltà fil-livell tad-dipartiment.
Reġistru tipiku ta’ ħatra jista’ jgħid:
“B’effett immedjat, inti maħtur bħala Uffiċjal tas-Sigurtà tal-Informazzjoni bir-responsabbiltà li tissorvelja u tikkoordina l-ISMS, inklużi l-ġestjoni tar-riskju, l-implimentazzjoni tal-kontrolli, u l-monitoraġġ tal-konformità.”
Dik il-ħatra mhijiex burokrazija. Hija evidenza tal-awditjar għat-tmexxija u l-assenjazzjoni tar-rwoli taħt ISO/IEC 27001:2022. Tappoġġa wkoll is-sorveljanza tal-ġestjoni taħt NIS2 u l-governanza taħt DORA. Ir-regolaturi, l-awdituri taċ-ċertifikazzjoni, u l-klijenti bankarji jridu jaraw li r-responsabbiltà mhijiex implikata. Hija assenjata, rikonoxxuta, sostnuta b’riżorsi, u mmonitorjata.
Reġistru prattiku tas-sjieda tal-kontrolli għandu jinkludi dawn l-oqsma:
| Qasam | Eżempju | Valur għall-awditjar |
|---|---|---|
| Qasam tal-kontroll | Ġestjoni tal-inċidenti | Juri l-kopertura tal-kontrolli u l-kamp ta’ applikazzjoni |
| Muturi regolatorji | NIS2 Article 23, DORA Articles 17 to 19 | Jorbot l-evidenza mal-obbligi |
| Referenza ISO/IEC 27002:2022 | 5.24 to 5.30 | Tgħaqqad il-kontroll operattiv mal-ISMS |
| Sid | Kap tal-Operazzjonijiet tas-Sigurtà | Jistabbilixxi r-responsabbiltà |
| Sid sostitut | Maniġer tas-SOC | Inaqqas id-dipendenza fuq persuna waħda |
| KPI | 95 fil-mija tat-twissijiet ta’ severità għolja jiġu trijaġġjati fi ħdan l-SLA | Jipprova l-aspettattiva tal-prestazzjoni |
| KRI | Kwalunkwe twissija kritika mhux trijaġġjata li għandha aktar minn 4 sigħat | Jiddefinixxi l-eskalazzjoni tar-riskju |
| Ritmu tal-evidenza | Dashboard ta’ kull ġimgħa, rieżami ta’ kull xahar, test kull tliet xhur | Jagħmel il-konformità kontinwa |
| Post tal-evidenza | Librerija tal-evidenza GRC | Jippermetti l-irkupru għall-awditjar |
| Mogħdija ta’ eskalazzjoni | Maniġer tal-ISMS, Kumitat tar-Riskju, Korp ta’ Tmexxija | Tgħaqqad l-operazzjonijiet mal-governanza |
Dan ir-reġistru jsir il-pont bejn il-politika u l-prova.
Iddefinixxi KPIs u KRIs li jippruvaw l-effettività tal-kontrolli
Ladarba jkun hemm sidien, dawn iridu jkunu jafu x’jikkostitwixxi “tajjeb”. Il-monitoraġġ kontinwu tal-konformità jaħdem fuq indikaturi sinifikanti, mhux fuq intenzjonijiet ġenerali.
“Tejjeb il-patching” mhuwiex KPI. “Irrevedi l-fornituri regolarment” mhijiex evidenza. “Żomm ir-reżiljenza” mhuwiex kontroll miżurabbli.
Clarysec jiddistingwi b’mod ċar bejn iż-żewġ tipi ta’ indikaturi:
- KPI, Indikatur Ewlieni tal-Prestazzjoni, ikejjel jekk il-proċess hux jopera kif mistenni.
- KRI, Indikatur Ewlieni tar-Riskju, jindika riskju li qed jiżdied jew qbiż ta’ limitu li jeħtieġ eskalazzjoni.
Il-Politika tal-Ġestjoni tar-Riskju għall-intrapriżi tgħid:
Il-KRIs (Indikaturi Ewlenin tar-Riskju) u l-metriċi tas-sigurtà għandhom jiġu definiti għal riskji kritiċi u mmonitorjati kull xahar.
Teħtieġ ukoll loġika ta’ eskalazzjoni:
L-attivaturi tal-eskalazzjoni għandhom jiġu integrati fil-loġika tal-monitoraġġ (eż., fejn ir-riskju residwu jiżdied b’aktar minn livell wieħed jew l-iskadenzi tat-trattament jintilfu).
Għal organizzazzjonijiet iżgħar, il-Politika tal-Ġestjoni tar-Riskju - SME ta’ Clarysec tieħu approċċ proporzjonat:
Il-progress fil-mitigazzjoni tar-riskju għandu jiġi rrieżaminat kull tliet xhur.
Tippermetti wkoll metriċi ħfief:
Jistgħu jiġu segwiti metriċi informali (eż., numru ta’ riskji miftuħa, azzjonijiet li qabżu l-iskadenza, inċidenti ġodda).
Dik il-proporzjonalità hija importanti. Bank multinazzjonali u fornitur FinTech ta’ 60 persuna m’għandhomx bżonn telemetrija identika, iżda t-tnejn jeħtieġu sjieda assenjata, kejl ripetibbli, limiti ta’ eskalazzjoni, u evidenza ta’ azzjoni korrettiva.
Mudell prattiku ta’ KPIs u KRIs għal NIS2 u DORA jidher hekk:
| Qasam | Sid il-kontroll | KPI | KRI jew attivatur tal-eskalazzjoni | Ritmu tal-evidenza |
|---|---|---|---|---|
| Ġestjoni tal-vulnerabbiltajiet | Kap tal-Infrastruttura jew DevOps | Vulnerabbiltajiet kritiċi rimedjati fi ħdan SLA approvat | Kwalunkwe vulnerabbiltà kritika aċċessibbli mill-internet barra mill-SLA | Rieżami operattiv kull ġimgħa, rapport ISMS kull xahar |
| Ġestjoni tal-inċidenti | Maniġer tas-SOC | 100 fil-mija tal-inċidenti kklassifikati skont is-severità u l-impatt fuq is-servizz | Inċident sinifikanti potenzjali taħt NIS2 jew inċident maġġuri relatat mal-ICT taħt DORA mhux eskalat fil-fluss tax-xogħol | Kuljum waqt l-inċident, rieżami tax-xejriet kull xahar |
| Riskju tal-fornituri | Akkwist u Sigurtà | 100 fil-mija tal-fornituri kritiċi tal-ICT evalwati għar-riskju qabel l-onboarding | Fornitur kritiku mingħajr diliġenza dovuta attwali, dritt ta’ awditjar, klawżola tal-inċidenti, jew pjan ta’ ħruġ | Verifika tar-reġistru kull xahar, rieżami tal-fornituri kull tliet xhur |
| Backup u rkupru | Operazzjonijiet tal-IT | Testijiet tar-restawr imlestija għal servizzi kritiċi fi ħdan l-intervall definit | Test tar-restawr fallut għal funzjoni kritika jew importanti | Evidenza tal-backup kull xahar, test tar-restawr kull tliet xhur |
| Kontroll tal-aċċess | Sid tal-IAM | Aċċess privileġġjat rrieżaminat fiċ-ċiklu | Kont amministrattiv orfni jew rieżami tal-aċċess privileġġjat li nqata’ | Skannjar tal-eċċezzjonijiet kull ġimgħa, attestazzjoni kull xahar |
| Għarfien dwar is-sigurtà | HR jew Sid tal-Għarfien dwar is-Sigurtà | Taħriġ meħtieġ komplut fiż-żmien definit | Falliment ripetut f’simulazzjoni ta’ phishing ’il fuq mil-limitu approvat | Rapport tat-taħriġ kull xahar, rieżami tal-għarfien kull tliet xhur |
| Monitoraġġ tal-konformità | Maniġer tal-ISMS | Elementi ta’ evidenza ta’ riskju għoli miġbura sad-data ta’ skadenza | Evidenza li qabżet l-iskadenza b’aktar minn 10 ijiem tax-xogħol | Dashboard tal-konformità kull xahar, rieżami tal-ġestjoni kull tliet xhur |
Dawn il-metriċi jappoġġaw aktar minn ċertifikazzjoni ISO/IEC 27001:2022. Jappoġġaw ukoll il-miżuri tal-ġestjoni tar-riskju taċ-ċibersigurtà taħt NIS2, it-tħejjija għar-rappurtar tal-inċidenti taħt NIS2, il-ġestjoni tar-riskju tal-ICT taħt DORA, ir-riskju ta’ partijiet terzi taħt DORA, ir-responsabbiltà taħt GDPR, ir-riżultati tal-governanza ta’ NIST CSF 2.0, u l-ġestjoni tal-prestazzjoni skont COBIT.
Stabbilixxi r-ritmu tal-evidenza qabel ma jitlobha l-awditu
Ħafna organizzazzjonijiet jiġbru l-evidenza b’mod każwali. Screenshot tidher f’kanal ta’ Teams. Ticket ta’ Jira jintrabat f’email. Kwestjonarju tal-fornitur jinħażen fl-akkwist. Test tal-backup jiġi deskritt bil-fomm. Matul il-ġimgħa tal-awditu, il-Maniġer tal-ISMS isir investigatur forensiku.
Il-konformità kontinwa teħtieġ ritmu ppjanat u iġjene soda tal-evidenza.
Il-Politika tal-Awditu u l-Monitoraġġ tal-Konformità - SME ta’ Clarysec tgħid:
Kull awditu għandu jinkludi kamp ta’ applikazzjoni definit, objettivi, persunal responsabbli, u evidenza meħtieġa.
Tgħid ukoll:
L-evidenza għandha tinżamm għal mill-inqas sentejn, jew għal aktar żmien fejn meħtieġ minn ftehimiet ta’ ċertifikazzjoni jew tal-klijenti.
Għal organizzazzjonijiet ta’ intrapriża, il-Politika tal-Awditu u l-Monitoraġġ tal-Konformità iżżid aspettattivi ta’ awtomazzjoni:
Għodod awtomatizzati għandhom jiġu skjerati biex jimmonitorjaw il-konformità tal-konfigurazzjoni, il-ġestjoni tal-vulnerabbiltajiet, l-istatus tal-patches, u l-aċċess privileġġjat.
L-awtomazzjoni għandha tkun immirata. Kontrolli ta’ riskju għoli u frekwenza għolja m’għandhomx jiddependu fuq screenshots manwali. L-aħjar mudell ta’ evidenza jgħaqqad telemetrija awtomatizzata, attestazzjonijiet tas-sidien, reġistri tal-eċċezzjonijiet, reġistri tas-sistema ta’ ticketing, riżultati tat-testijiet, u minuti tar-rieżami tal-ġestjoni.
| Ritmu | Tip ta’ evidenza | Eżempji | Udjenza tar-rieżami |
|---|---|---|---|
| F’ħin reali jew immexxi minn avvenimenti | Evidenza tal-operazzjonijiet tas-sigurtà | Twissijiet SIEM, klassifikazzjoni tal-inċidenti, skoperta ta’ vulnerabbiltajiet, eskalazzjoni ta’ inċident maġġuri | SOC, Maniġer tal-Inċidenti, Sid il-Kontroll |
| Kull ġimgħa | Evidenza tal-kontroll operattiv | Status ta’ vulnerabbiltajiet kritiċi, eċċezzjonijiet tal-aċċess privileġġjat, fallimenti tal-backup jobs, devjazzjoni mill-konfigurazzjoni bażi | Sidien tal-kontrolli, Maniġer tal-ISMS |
| Kull xahar | Evidenza tal-KPIs u l-KRIs | Metriċi tar-riskju, azzjonijiet li qabżu l-iskadenza, prestazzjoni tal-SLA tal-patches, bidliet fir-reġistru tal-fornituri | Maniġer tal-ISMS, Sid tar-Riskju |
| Kull tliet xhur | Evidenza tal-governanza u l-assigurazzjoni | Progress fit-trattament tar-riskju, rieżamijiet tal-fornituri, riċertifikazzjoni tal-aċċess, riżultati tal-ittestjar tar-reżiljenza | Kumitat tar-Riskju, Korp ta’ Tmexxija |
| Kull sena jew skont ċiklu ppjanat | Evidenza ta’ rieżami indipendenti | Awditjar intern, pjan tal-ittestjar tal-kontrolli, rieżami tal-ġestjoni, rieżami tal-politiki | Tmexxija Għolja, awdituri |
Konvenzjoni għall-ismijiet hija importanti wkoll. L-evidenza għandha tkun faċli biex tinġabar mingħajr sforz erojku. Pereżempju:
- rapport tal-vulnerabbiltajiet ta’ kull ġimgħa:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - rieżami tal-aċċess privileġġjat ta’ kull xahar:
YYYY-MM_IAM-Privileged-Review_Attestation - rieżami tal-fornituri ta’ kull tliet xhur:
YYYY-QX_Critical-Supplier-Review - pakkett tal-inċident:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Hawnhekk il-politika ssir operattiva. Iż-żamma tal-evidenza mhijiex kompitu ta’ arkivjar. Hija parti mill-kontroll.
Immappja element wieħed ta’ evidenza ma’ ħafna obbligi
Il-konformità kontinwa ssir qawwija meta element wieħed ta’ evidenza jissodisfa diversi oqfsa. Għalhekk Zenith Controls huwa ċentrali għall-approċċ ta’ konformità trasversali ta’ Clarysec.
Ikkunsidra l-ġestjoni tal-inċidenti. Taħt NIS2, inċidenti sinifikanti jeħtieġu rappurtar f’fażijiet, inkluża twissija bikrija fi żmien 24 siegħa mill-għarfien, notifika fi żmien 72 siegħa, u rapport finali fi żmien xahar, soġġett għall-implimentazzjoni nazzjonali u għall-fatti tal-inċident. DORA jeħtieġ li l-entitajiet finanzjarji jimmaniġġjaw, jikklassifikaw, jeskalaw, u jirrapportaw inċidenti maġġuri relatati mal-ICT bl-użu ta’ proċessi u mudelli meħtieġa. GDPR jeħtieġ li l-kontrolluri jevalwaw u jimmaniġġjaw ksur tad-data personali fejn il-kunfidenzjalità, l-integrità, jew id-disponibbiltà tad-data personali tkun affettwata.
Pakkett wieħed ta’ evidenza tal-inċident jista’ jappoġġa t-tlieta jekk jinkludi:
- kronoloġija tal-inċident u ħin tal-għarfien;
- raġunament tal-klassifikazzjoni;
- servizzi u ġurisdizzjonijiet affettwati;
- impatt fuq klijenti, tranżazzjonijiet, jew utenti;
- evalwazzjoni tal-impatt fuq data personali;
- analiżi tal-kawża ewlenija;
- azzjonijiet ta’ mitigazzjoni u rkupru;
- komunikazzjonijiet u notifiki;
- reġistru tal-eskalazzjoni lill-ġestjoni;
- entrata ta’ azzjoni korrettiva.
L-istess loġika ta’ konformità trasversali tapplika għar-riskju tal-fornituri. NIS2 jeħtieġ sigurtà tal-katina tal-provvista u attenzjoni għar-relazzjonijiet diretti ma’ fornituri u fornituri tas-servizzi. DORA jeħtieġ strateġija tar-riskju ta’ partijiet terzi tal-ICT, reġistri, diliġenza dovuta qabel il-kuntratt, klawżoli kuntrattwali, drittijiet ta’ awditjar, livelli tas-servizz, strateġiji ta’ ħruġ, u monitoraġġ tar-riskju ta’ konċentrazzjoni. NIST CSF 2.0 jittratta r-riskju tal-katina tal-provvista bħala dixxiplina ta’ governanza taċ-ċiklu tal-ħajja. ISO/IEC 27001:2022 jorbot dawn ir-rekwiżiti mal-kamp ta’ applikazzjoni, ir-rekwiżiti tal-partijiet interessati, it-trattament tar-riskju, u l-kontroll operattiv tal-proċessi pprovduti esternament.
Matriċi prattika tal-evidenza tgħin lis-sidien tal-kontrolli jifhmu għaliex l-evidenza hija importanti:
| Element ta’ evidenza | Valur għal NIS2 | Valur għal DORA | Valur għal ISO/IEC 27001:2022 | Valur għal GDPR |
|---|---|---|---|---|
| Reġistru tal-klassifikazzjoni tal-inċident | Jappoġġa l-evalwazzjoni ta’ inċident sinifikanti | Jappoġġa l-klassifikazzjoni ta’ inċident maġġuri relatat mal-ICT | Jappoġġa l-operat u l-monitoraġġ tal-kontroll tal-inċidenti | Jappoġġa r-responsabbiltà tat-trijaġġ tal-ksur |
| Reġistru tal-fornituri | Jappoġġa s-sigurtà tal-katina tal-provvista | Jappoġġa r-reġistru ta’ partijiet terzi tal-ICT | Jappoġġa l-kontroll tal-proċessi pprovduti esternament | Jappoġġa s-sorveljanza tal-proċessuri u s-subprocessors |
| Rapport SLA tal-vulnerabbiltajiet | Jappoġġa l-miżuri tal-ġestjoni tar-riskju taċ-ċibersigurtà | Jappoġġa l-protezzjoni u s-sejba tal-ICT | Jappoġġa t-trattament tar-riskju u l-ġestjoni tal-vulnerabbiltajiet | Jappoġġa miżuri ta’ sigurtà xierqa |
| Rapport tat-test tar-restawr | Jappoġġa l-kontinwità tan-negozju u t-tħejjija għall-kriżijiet | Jappoġġa r-reżiljenza operattiva u l-irkupru | Jappoġġa t-tħejjija tal-backup u l-kontinwità | Jappoġġa d-disponibbiltà u r-reżiljenza tal-ipproċessar |
| Minuti tar-rieżami tal-ġestjoni | Jappoġġaw is-sorveljanza tal-ġestjoni | Jappoġġaw ir-responsabbiltà tal-korp ta’ tmexxija | Jappoġġaw it-tmexxija, ir-rieżami tal-prestazzjoni, u t-titjib | Jappoġġaw evidenza tar-responsabbiltà |
Dan l-approċċ jipprevjeni xogħol ta’ konformità duplikat. L-organizzazzjoni tiġbor sett wieħed b’saħħtu ta’ evidenza, imbagħad timmappjah ma’ obbligi multipli.
Il-mudell ta’ monitoraġġ ta’ Clarysec, mill-obbligu għas-sid u għall-prova
Mudell robust ta’ monitoraġġ isegwi sekwenza sempliċi.
L-ewwel, iddefinixxi l-obbligu. Pereżempju, DORA jeħtieġ li r-riskju ta’ partijiet terzi tal-ICT jiġi ġestit bħala parti mill-ġestjoni tar-riskju tal-ICT, b’reġistri, diliġenza dovuta, rekwiżiti kuntrattwali, drittijiet ta’ awditjar, u strateġiji ta’ ħruġ għal funzjonijiet kritiċi jew importanti. NIS2 jeħtieġ sigurtà tal-katina tal-provvista u azzjoni korrettiva xierqa.
It-tieni, ittraduċi l-obbligu f’rekwiżiti tal-ISMS ta’ ISO/IEC 27001:2022. Dan jinkludi rekwiżiti tal-partijiet interessati, kamp ta’ applikazzjoni, valutazzjoni tar-riskju, trattament tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, kontroll operattiv, monitoraġġ, awditjar intern, rieżami tal-ġestjoni, u titjib.
It-tielet, agħżel kontrolli operattivi. F’Zenith Controls, il-kontrolli ewlenin tal-governanza għall-konformità kontinwa jinkludu l-kontrolli ISO/IEC 27002:2022 5.2, 5.35, u 5.36. Kontrolli ta’ appoġġ spiss jinkludu 5.19 Sigurtà tal-Informazzjoni fir-Relazzjonijiet mal-Fornituri, 5.21 Ġestjoni tas-Sigurtà tal-Informazzjoni fil-Katina tal-Provvista tal-ICT, 5.22 Monitoraġġ, Rieżami u Ġestjoni tat-Tibdil tas-Servizzi tal-Fornituri, 5.23 Sigurtà tal-Informazzjoni għall-Użu ta’ Servizzi Cloud, 5.24 Ippjanar u Tħejjija għall-Ġestjoni tal-Inċidenti tas-Sigurtà tal-Informazzjoni, 5.26 Rispons għal Inċidenti tas-Sigurtà tal-Informazzjoni, 5.30 Tħejjija tal-ICT għall-Kontinwità tan-Negozju, 5.31 Rekwiżiti Legali, Statutorji, Regolatorji u Kuntrattwali, 8.8 Ġestjoni tal-Vulnerabbiltajiet Tekniċi, 8.13 Backup tal-Informazzjoni, 8.15 Logging, 8.16 Attivitajiet ta’ Monitoraġġ, u 8.9 Ġestjoni tal-Konfigurazzjoni.
Ir-raba’, assenja s-sid u r-ritmu. Ir-riskju tal-fornituri jista’ jinvolvi Akkwist, Legali, Sigurtà, u s-Sid tas-Servizz tan-Negozju, iżda sid wieħed responsabbli għandu jżomm ir-reġistru u jirrapporta l-eċċezzjonijiet.
Il-ħames, iddefinixxi KPIs, KRIs, u evidenza. KPIs tal-fornituri jistgħu jinkludu l-perċentwal ta’ fornituri kritiċi tal-ICT b’diliġenza dovuta kompluta, il-perċentwal bi klawżoli kuntrattwali approvati, in-numru mingħajr pjanijiet ta’ ħruġ ittestjati, u n-numru ta’ rieżamijiet tal-fornituri li qabżu l-iskadenza. KRIs jistgħu jinkludu sejbiet mhux solvuti ta’ fornituri b’riskju għoli, riskju ta’ konċentrazzjoni ’l fuq mit-tolleranza, jew drittijiet ta’ awditjar nieqsa għal servizz li jappoġġa funzjoni kritika jew importanti.
Is-sitt, irrapporta u eskala. Dashboards ISMS ta’ kull xahar m’għandhomx juru biss status aħdar. Għandhom jidentifikaw evidenza li qabżet l-iskadenza, moviment tar-riskju, skadenzi mitlufa tat-trattament, u deċiżjonijiet tal-ġestjoni meħtieġa.
Is-seba’, awditja u tejjeb. Lakuni fl-evidenza jsiru azzjonijiet korrettivi, mhux skużi.
Dan jallinja mal-fażi Awditjar, Rieżami u Titjib tal-Zenith Blueprint. Pass 25, Programm tal-Awditjar Intern, jirrakkomanda li jiġu koperti proċessi u kontrolli rilevanti tal-ISMS matul iċ-ċiklu tal-awditjar, b’awditu annwali b’kamp sħiħ ta’ applikazzjoni u kontrolli spot trimestrali iżgħar għal oqsma ta’ riskju għoli fejn xieraq. Pass 28, Rieżami tal-Ġestjoni, jitlob inputs bħal bidliet fir-rekwiżiti, riżultati tal-monitoraġġ u l-kejl, riżultati tal-awditjar, inċidenti, nuqqasijiet ta’ konformità, opportunitajiet għat-titjib, u ħtiġijiet ta’ riżorsi. Pass 29, Titjib Kontinwu, juża r-Reġistru CAPA biex jaqbad id-deskrizzjoni tal-kwistjoni, il-kawża ewlenija, l-azzjoni korrettiva, is-sid responsabbli, id-data fil-mira, u l-istatus.
Dik hija l-konformità kontinwa fil-prattika.
Xenarju prattiku, vulnerabbiltà kritika fuq API pubblika
Fis-02:15, tinħareġ twissija SIEM. Skannjar tal-vulnerabbiltajiet identifika vulnerabbiltà kritika ta’ remote code execution fuq gateway API aċċessibbli pubblikament li tappoġġa servizz ta’ pagamenti regolat.
Il-mudell ta’ monitoraġġ kontinwu għandu jirrispondi mingħajr ma jistenna laqgħa.
L-ewwel, l-inventarju tal-assi jikklassifika l-gateway bħala kritiku. Jibda l-arloġġ tal-KPI għall-ġestjoni tal-vulnerabbiltajiet. Il-KRI għal vulnerabbiltajiet kritiċi mingħajr patch jiżdied. Jekk l-assi huwa aċċessibbli mill-internet u l-exploit huwa attiv, il-limitu tal-eskalazzjoni jiġi attivat immedjatament.
It-tieni, it-ticket jintbagħat lit-tim DevOps on-call. Il-Kap tad-DevOps, bħala sid il-kontroll tal-ġestjoni tal-vulnerabbiltajiet, jirċievi notifika awtomatizzata. Il-Maniġer tas-SOC isegwi jekk jeżistux indikaturi ta’ sfruttament. Il-Maniġer tal-ISMS jimmonitorja jekk il-kriterji tal-inċident humiex issodisfati.
It-tielet, l-evidenza tinġabar bħala prodott sekondarju tal-fluss tax-xogħol. It-twissija SIEM, l-iskannjar tal-vulnerabbiltajiet, il-klassifikazzjoni tal-assi, it-timestamps tat-ticket, iċ-chat tar-rispons, ir-reġistru tal-patch, l-iskannjar ta’ verifika, u l-approvazzjoni tal-għeluq jiġu mehmuża mal-pakkett tal-evidenza.
Ir-raba’, it-tim jevalwa jekk l-avveniment huwiex biss vulnerabbiltà, avveniment tas-sigurtà, jew inċident. Jekk ikun hemm impatt fuq is-servizz, indikaturi ta’ kompromess, impatt fuq il-klijenti, jew espożizzjoni ta’ data personali, il-fluss tax-xogħol tal-inċident jattiva evalwazzjonijiet tar-rappurtar għal NIS2, DORA, GDPR, u obbligi kuntrattwali.
Il-ħames, il-ġestjoni tirċievi rapport konċiż. Jekk il-vulnerabbiltà ġiet rimedjata fi żmien erba’ sigħat, l-evidenza tappoġġa l-effettività tal-kontrolli. Jekk l-SLA nqata’, ir-reġistru CAPA jirreġistra l-kawża ewlenija, l-azzjoni korrettiva, is-sid, id-data fil-mira, u l-istatus.
Dan l-avveniment wieħed jiġġenera evidenza utli għall-ġestjoni tal-vulnerabbiltajiet, it-tħejjija għall-inċidenti, il-monitoraġġ, l-aċċess għal assi kritiċi, ir-rieżami tal-ġestjoni, u t-titjib kontinwu.
Kif l-awdituri u r-regolaturi se jittestjaw l-istess mudell ta’ monitoraġġ
Programm matur ta’ konformità kontinwa għandu jiflaħ lenti differenti ta’ awditjar. L-evidenza ma tinbidilx, iżda l-mistoqsijiet jinbidlu.
| Lenti tal-awditur | Mistoqsija probabbli tal-awditjar | Evidenza mistennija |
|---|---|---|
| Awditur ISO/IEC 27001:2022 | Ir-rwoli huma assenjati, ir-riskji ttrattati, il-kontrolli operattivi, u l-evidenza miżmuma? | Kamp ta’ applikazzjoni, rekwiżiti tal-partijiet interessati, reġistru tar-riskji, Dikjarazzjoni ta’ Applikabbiltà, reġistru tas-sidien, riżultati tal-monitoraġġ, awditjar intern, rieżami tal-ġestjoni, reġistru CAPA |
| Regolatur jew valutatur NIS2 | Il-ġestjoni approvat u ssorveljat miżuri xierqa tal-ġestjoni tar-riskju taċ-ċibersigurtà? | Minuti tal-ġestjoni, approvazzjonijiet tar-riskju, fluss tax-xogħol tal-inċidenti, kontrolli tal-fornituri, evidenza tal-kontinwità, reġistri tat-taħriġ, azzjonijiet korrettivi |
| Awtorità kompetenti DORA jew awditjar intern | Il-qafas tar-riskju tal-ICT jgħaqqad il-governanza, ir-reżiljenza, l-ittestjar, ir-rappurtar tal-inċidenti, ir-riskju ta’ partijiet terzi, u s-segwitu tal-awditjar? | Qafas tar-riskju tal-ICT, strateġija tar-reżiljenza, reġistri tal-klassifikazzjoni tal-inċidenti, riżultati tal-ittestjar, reġistru tal-fornituri, evidenza kuntrattwali, rapporti tal-awditjar |
| Valutatur NIST CSF 2.0 | L-organizzazzjoni għandha riżultati ta’ governanza, lakuni prijoritizzati, prestazzjoni miżurabbli, u ċikli ta’ rieżami? | Profili attwali u fil-mira, pjan ta’ azzjoni tar-riskju, metriċi tal-governanza, sorveljanza tal-katina tal-provvista, rapporti operattivi tal-KPIs |
| Awditur COBIT 2019 jew ISACA | L-objettivi tal-governanza, il-prattiki tal-ġestjoni, is-sjieda tal-proċessi, il-metriċi, u l-attivitajiet ta’ assigurazzjoni huma definiti u effettivi? | RACI, deskrizzjonijiet tal-proċessi, metriċi tal-prestazzjoni, rapporti tal-eċċezzjonijiet, ittestjar tal-kontrolli, reġistri tas-sorveljanza tal-ġestjoni |
Għall-kontroll ISO/IEC 27002:2022 5.35 Rieżami Indipendenti tas-Sigurtà tal-Informazzjoni, awditur ISO/IEC 27001:2022 jiffoka fuq il-pjan tal-awditjar intern, il-kamp ta’ applikazzjoni, il-kompetenza, is-sejbiet, u l-azzjonijiet korrettivi. Regolatur NIS2 jew DORA jiffoka fuq jekk il-ġestjoni fehmitx is-sejbiet, iffinanzjatx ir-rimedjazzjoni, u naqqsitx ir-riskju sistemiku. Valutatur NIST CSF 2.0 jista’ jimmappja r-rieżami mal-funzjoni GOVERN, inklużi s-sorveljanza u l-aġġustament tal-prestazzjoni.
L-istess sett ta’ evidenza jservihom kollha jekk ikun komplut, attwali, u marbut mas-sjieda.
Żbalji komuni li jdgħajfu l-konformità kontinwa
L-ewwel żball huwa li NIS2 u DORA jiġu ttrattati bħala proġetti separati. Dan joħloq reġistri duplikati, metriċi kontradittorji, u sidien tal-kontrolli eżawriti. Uża ISO/IEC 27001:2022 bħala s-sinsla tal-ISMS u immappja l-obbligi permezz ta’ librerija waħda tal-kontrolli.
It-tieni żball huwa li l-kontrolli jiġu assenjati lit-timijiet minflok lin-nies. “L-IT hija sid il-backups” mhuwiex biżżejjed. Sid imsemmi għandu jattesta, jirrapporta l-eċċezzjonijiet, u jeskala r-riskju.
It-tielet żball huwa l-ġbir tal-evidenza mingħajr evalwazzjoni tal-effettività. Screenshot ta’ backup li rnexxa ma jippruvax l-irkuprabbiltà. Test tar-restawr jagħmel dan. Kwestjonarju tal-fornitur ma jippruvax ir-reżiljenza ta’ partijiet terzi. Klawżoli kuntrattwali, drittijiet ta’ awditjar, termini ta’ notifika tal-inċidenti, rapporti tal-prestazzjoni, u ppjanar tal-ħruġ joħolqu evidenza aktar b’saħħitha.
Ir-raba’ żball huwa li titkejjel l-attività minflok ir-riskju. Li jingħaddu l-vulnerabbiltajiet huwa utli. Li jiġu segwiti vulnerabbiltajiet kritiċi li qabżu l-iskadenza fuq sistemi aċċessibbli mill-internet huwa aħjar. Li jingħaddu l-fornituri huwa utli. Li jiġu segwiti fornituri kritiċi mingħajr pjanijiet ta’ ħruġ huwa aħjar.
Il-ħames żball huwa dixxiplina dgħajfa fl-azzjoni korrettiva. Il-Pass 29 tal-Zenith Blueprint huwa ċar li s-sejbiet jeħtieġu deskrizzjoni tal-kwistjoni, kawża ewlenija, azzjoni korrettiva, sid responsabbli, data fil-mira, u status. Jekk ir-reġistru CAPA ma jiġix irrieżaminat, il-konformità kontinwa ssir akkumulazzjoni kontinwa ta’ dgħufijiet magħrufa.
X’għandha tara l-ġestjoni kull xahar
Il-korpi ta’ tmexxija taħt NIS2 u DORA m’għandhomx bżonn esportazzjonijiet mhux ipproċessati minn scanners. Jeħtieġu stampa ta’ kwalità għat-teħid tad-deċiżjonijiet dwar ir-riskju ċibernetiku u tal-ICT.
Dashboard ta’ kull xahar għall-bord jew għall-ġestjoni għandu jinkludi:
- l-ogħla riskji ċibernetiċi u tal-ICT b’moviment tar-riskju residwu;
- trattamenti tar-riskju li qabżu l-iskadenza u skadenzi mitlufa;
- inċidenti sinifikanti, kandidati għal inċidenti maġġuri relatati mal-ICT, u lessons learned;
- eċċezzjonijiet tar-riskju ta’ fornituri kritiċi;
- prestazzjoni tal-SLA tal-vulnerabbiltajiet għal assi kritiċi;
- status tal-ittestjar tal-backup u l-irkupru;
- eċċezzjonijiet tar-rieżami tal-aċċess privileġġjat;
- rata tat-tlestija tal-evidenza tal-konformità;
- sejbiet tal-awditjar u status CAPA;
- deċiżjonijiet meħtieġa dwar ir-riżorsi.
Dan jappoġġa direttament ir-rieżami tal-ġestjoni taħt ISO/IEC 27001:2022 u l-aspettattivi ta’ governanza ta’ NIS2 u DORA. Jallinja wkoll ma’ NIST CSF 2.0, fejn l-eżekuttivi jistabbilixxu prijoritajiet, responsabbiltà, riżorsi, u aptit għar-riskju filwaqt li l-maniġers jittraduċu dawk il-prijoritajiet fi profili fil-mira u pjanijiet ta’ azzjoni.
Ibni r-ritmu tal-evidenza tiegħek għal NIS2 u DORA din il-ġimgħa
M’għandekx għalfejn “tgħalli l-oċean” biex tibda. L-ewwel ġimgħa utli tista’ tkun sempliċi.
Jum 1, oħloq reġistru tas-sidien tal-kontrolli għal ħames oqsma: governanza u ġestjoni tar-riskju, ġestjoni u rappurtar tal-inċidenti, ġestjoni tal-vulnerabbiltajiet u tal-patches, riskju tal-fornituri u tal-cloud, u kontinwità tan-negozju u rkupru.
Jum 2, iddefinixxi KPI wieħed u KRI wieħed għal kull qasam. Żommhom speċifiċi, miżurabbli, u marbuta mal-aptit għar-riskju.
Jum 3, immappja kull element ta’ evidenza ma’ NIS2, DORA, ISO/IEC 27001:2022, GDPR, u valur ta’ assigurazzjoni għall-klijenti.
Jum 4, stabbilixxi ritmu tal-evidenza, post tal-ħażna, konvenzjoni tal-ismijiet, regola ta’ żamma, u rieżaminatur.
Jum 5, wettaq eżerċizzju tabletop ta’ eskalazzjoni. Uża xenarju ta’ qtugħ ta’ servizz cloud jew vulnerabbiltà kritika. Ikkonferma l-klassifikazzjoni, l-evalwazzjoni tar-rappurtar regolatorju, il-komunikazzjoni mal-klijenti, il-ħażna tal-evidenza, u l-ħolqien ta’ CAPA.
Jekk l-organizzazzjoni tiegħek għadha qed timmaniġġja NIS2 u DORA permezz ta’ spreadsheets, workshops annwali, u folders ta’ evidenza mxerrda, issa huwa l-ħin li taqleb għal ritmu operattiv immonitorjat.
Ibda bi tliet azzjonijiet:
- Ibni reġistru tas-sidien tal-kontrolli għall-oqsma bl-ogħla riskju tiegħek.
- Iddefinixxi KPI wieħed, KRI wieħed, element wieħed ta’ evidenza, u ritmu wieħed għal kull kontroll.
- Wettaq rieżami tal-evidenza ta’ 30 minuta u iftaħ elementi CAPA għal kwalunkwe ħaġa nieqsa.
Clarysec jista’ jgħinek taċċellera l-bidla bil-Zenith Blueprint għas-sekwenzar tal-implimentazzjoni, Zenith Controls għall-immappjar tal-konformità trasversali, u l-librerija tal-politiki ta’ Clarysec, inklużi l-Politika tas-Sigurtà tal-Informazzjoni, Politika tal-Ġestjoni tar-Riskju, Politika tal-Awditu u l-Monitoraġġ tal-Konformità, Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza - SME, Politika tal-Ġestjoni tar-Riskju - SME, u Politika tal-Awditu u l-Monitoraġġ tal-Konformità - SME.
L-għan mhuwiex aktar dokumentazzjoni tal-konformità. L-għan huwa li twieġeb il-mistoqsija tal-Ġimgħa wara nofsinhar b’kunfidenza:
“Iva, nafu min hu sid il-kontroll, nafu l-KPI, għandna l-evidenza, nafu l-eċċezzjonijiet, u l-ġestjoni rrieżaminat ir-riskju.”
Ikkuntattja lil Clarysec biex tibni mudell ta’ monitoraġġ kontinwu tal-konformità li huwa lest għall-awditjar, lest għall-bord, u reżiljenti biżżejjed għal NIS2, DORA, u r-regolament li jmiss.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
