CVD għal NIS2 u DORA: mappa tal-evidenza għal ISO 27001
Fit-08:17 ta’ nhar ta’ Tlieta, il-mailbox tas-sigurtà tirċievi messaġġ mingħand riċerkatur indipendenti. Is-suġġett huwa kalm, kważi edukat: “Teħid potenzjali ta’ kont fil-portal tal-klijenti tagħkom.” Il-kontenut tal-messaġġ huwa inqas komdu. Ir-riċerkatur jallega li vulnerabbiltà f’katina fl-applikazzjoni SaaS tagħkom tippermetti lil tenant wieħed jaċċessa r-reġistri tal-fatturi ta’ tenant ieħor. Proof of concept huwa mehmuż, iċċifrat biċ-ċavetta PGP pubblika ppubblikata tagħkom.
Għal Maria, il-CISO l-ġdida f’FinanTechSaaS, il-ħin ma setax ikun agħar. Il-kumpanija tagħha għadha kif iffirmat kuntratt ewlieni ma’ bank tal-UE tal-ogħla livell. It-tim tad-diliġenza dovuta tal-klijent diġà talab “Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet” u evidenza tal-implimentazzjoni, b’referenza espliċita għal NIS2 u DORA. Il-kumpanija għandha indirizz tal-email security@, iżda dan jiġi mmonitorjat minn żviluppatur wieħed. Ma hemm l-ebda reġistru formali tar-rapporti riċevuti, l-ebda SLA definit għall-verifika, l-ebda mogħdija ta’ eskalazzjoni lill-maniġment, u l-ebda traċċa tal-awditjar.
Jibdew jgħoddu tliet arloġġi fl-istess ħin.
L-ewwel arloġġ huwa operattiv. Il-vulnerabbiltà hija reali? Tista’ tiġi sfruttata fl-ambjent ta’ produzzjoni? Xi ħadd qed jabbuża minnha b’mod attiv?
It-tieni arloġġ huwa regolatorju. Jekk id-data tal-klijenti tkun esposta, tibda l-valutazzjoni tal-ksur taħt GDPR. Jekk it-twassil tas-servizz ikun affettwat għal entità essenzjali jew importanti taħt NIS2, jistgħu jiġu attivati l-limiti tar-rappurtar tal-inċidenti. Jekk il-kumpanija tkun entità finanzjarja jew fornitur tal-ICT li jappoġġja servizzi finanzjarji, ir-regoli ta’ DORA dwar il-ġestjoni tal-inċidenti, il-klassifikazzjoni, l-eskalazzjoni, u l-komunikazzjoni mal-klijenti jistgħu jsiru rilevanti.
It-tielet arloġġ huwa evidenzjali. Sitt xhur wara, awditur ISO/IEC 27001:2022, superviżur tas-settur finanzjarju, tim ta’ assigurazzjoni tal-klijenti, jew kumitat tal-awditjar intern jista’ jistaqsi: “Uruna kif ġiet immaniġġjata din il-vulnerabbiltà.”
Din il-mistoqsija hija fejn ħafna organizzazzjonijiet jiskopru li l-iżvelar koordinat tal-vulnerabbiltajiet mhuwiex sempliċement mailbox tas-sigurtà. Huwa sistema ta’ governanza. Jeħtieġ sjieda tal-politika, kanal pubbliku ta’ rappurtar, fluss tax-xogħol għall-valutazzjoni inizjali, SLAs ta’ rimedju, eskalazzjoni tal-fornituri, loġika tad-deċiżjoni dwar l-inċidenti, rieżami tal-privatezza, rappurtar lill-maniġment, u evidenza difensibbli.
Clarysec jittratta CVD bħala mudell ta’ kontroll integrat, mhux bħala inbox iżolata. F’Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, l-immaniġġjar tal-vulnerabbiltajiet jidher fil-fażi Controls in Action, Pass 19: Technological Controls I, fejn il-gwida hija ċara: l-organizzazzjonijiet m’għandhomx jarkivjaw is-sejbiet tal-vulnerabbiltajiet b’mod passiv, iżda għandhom jivvalutawhom, jassenjawhom, u jsegwuhom sal-għeluq. L-istess standard japplika għall-iżvelar estern. Jekk xi ħadd jgħidlek kif is-servizz tiegħek jista’ jfalli, il-mistoqsija vera ssir: tista’ tipprova li rċevejtu, ivvalutajtu, ipprijoritizzajtu, irremejdjajtu, ikkomunikajtu, u tgħallimtu minnu?
Għaliex CVD issa huwa kwistjoni fil-livell tal-bord taħt NIS2 u DORA
Għal snin twal, organizzazzjonijiet konxji mis-sigurtà stiednu ethical hackers biex jirrappurtaw vulnerabbiltajiet għaliex kienet prattika tajba. Taħt NIS2 u DORA, dik il-prattika saret parti mir-reżiljenza diġitali regolata.
NIS2 japplika għal ħafna entitajiet ta’ daqs medju u akbar f’setturi ta’ kritikalità għolja u f’setturi kritiċi oħra, inklużi fornituri ta’ infrastruttura diġitali, fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi ta’ ċentri tad-data, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ta’ sigurtà ġestiti, u ċerti fornituri diġitali bħal swieq online, magni tat-tiftix, u pjattaformi tan-netwerking soċjali. Jista’ japplika wkoll irrispettivament mid-daqs għal kategoriji bħal fornituri ta’ servizzi ta’ fiduċja, fornituri ta’ servizzi DNS, reġistri TLD, u fornituri ta’ netwerks jew servizzi pubbliċi ta’ komunikazzjonijiet elettroniċi.
NIS2 Article 21 jeħtieġ li entitajiet essenzjali u importanti jimplimentaw miżuri tekniċi, operattivi, u organizzattivi xierqa u proporzjonati għall-ġestjoni tar-riskju taċ-ċibersigurtà, bl-użu ta’ approċċ li jkopri l-perikli kollha. Wieħed mill-oqsma minimi huwa s-sigurtà fl-akkwist, fl-iżvilupp, u fil-manutenzjoni tas-sistemi tan-network u tal-informazzjoni, inkluż l-immaniġġjar u l-iżvelar tal-vulnerabbiltajiet. L-istess linja bażi tkopri wkoll l-immaniġġjar tal-inċidenti, is-sigurtà tal-katina tal-provvista, il-kontinwità tan-negozju, il-kontroll tal-aċċess, il-ġestjoni tal-assi, it-taħriġ, il-kontrolli kriptografiċi, u proċeduri biex tiġi evalwata l-effettività tal-kontrolli.
NIS2 Article 20 jagħmel ukoll ir-responsabbiltà tal-maniġment espliċita. Il-korpi maniġerjali għandhom japprovaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni, u jsegwu taħriġ. Għal programm CVD, dan ifisser li l-bord jew il-maniġment għoli għandu jifhem il-kanal tar-rappurtar, it-Tim ta’ Rispons għall-Vulnerabbiltajiet, l-iskadenzi tal-verifika, l-aspettattivi ta’ rimedju, id-dipendenzi fuq il-fornituri, u l-attivaturi tar-rappurtar tal-inċidenti.
DORA joħloq reġim speċifiku għas-settur għall-entitajiet finanzjarji mis-17 ta’ Jannar 2025. Ikopri l-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti relatati mal-ICT, l-ittestjar tar-reżiljenza operattiva diġitali, l-arranġamenti għall-qsim tal-informazzjoni, ir-riskju ta’ partijiet terzi tal-ICT, ir-rekwiżiti kuntrattwali, is-sorveljanza ta’ fornituri kritiċi terzi tal-ICT, u l-kooperazzjoni superviżorja. Għal entitajiet finanzjarji koperti minn DORA, DORA ġeneralment jieħu preċedenza fuq NIS2 għall-ġestjoni tar-riskju tal-ICT u r-rappurtar tal-inċidenti għaliex huwa l-att legali tal-Unjoni speċifiku għas-settur. Iżda r-rekwiżit prattiku jibqa’ l-istess: entitajiet finanzjarji u fornituri tal-ICT li jservuhom għandhom joperaw proċess strutturat, dokumentat u ttestjabbli biex jidentifikaw, janalizzaw, jikklassifikaw, jeskalaw, jirrimedjaw, u jitgħallmu minn dgħufijiet tal-ICT.
Rapport ta’ vulnerabbiltà jista’ jibda bħala sejba teknika, isir avveniment tas-sigurtà, jiġi eskalat għal inċident, jiskatta valutazzjoni ta’ ksur ta’ data personali taħt GDPR, jeħtieġ azzjoni tal-fornitur, u aktar tard jidher fid-Dikjarazzjoni ta’ Applikabbiltà ta’ ISO/IEC 27001:2022. Għalhekk CVD għandu jitfassal bħala mudell operattiv wieħed bejn is-sigurtà, il-konformità, l-inġinerija, il-legali, il-privatezza, l-akkwist, u l-maniġment.
Il-pedament ISO 27001: mill-iżvelar għall-evidenza tal-ISMS
ISO/IEC 27001:2022 jagħti lis-CISOs u lill-mexxejja tal-konformità s-sistema ta’ ġestjoni li tagħmel CVD awditjabbli.
Klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem kwistjonijiet interni u esterni, rekwiżiti tal-partijiet interessati, konfini tal-ISMS, u dipendenzi ma’ organizzazzjonijiet oħra. Hawn jidħlu fl-ISMS NIS2, DORA, GDPR, kuntratti tal-klijenti, obbligi tal-fornituri, u impenji dwar l-iżvelar tal-vulnerabbiltajiet.
Klawżoli 5.1 sa 5.3 joħolqu responsabbiltà tat-tmexxija. It-Tmexxija Għolja għandha tallinja s-sigurtà tal-informazzjoni mad-direzzjoni strateġika, tipprovdi riżorsi, tassenja responsabbiltajiet, u tiżgura li l-ISMS jikseb ir-riżultati intenzjonati. Għal CVD, dan ifisser li jinħatar Tim ta’ Rispons għall-Vulnerabbiltajiet, tiġi definita l-awtorità biex jiġi aċċettat riskju residwu, u vulnerabbiltajiet b’impatt għoli jiġu eskalati lill-maniġment.
Klawżoli 6.1.1 sa 6.1.3 jipprovdu l-magna tar-riskju. L-organizzazzjoni għandha tiddefinixxi kriterji tar-riskju, tivvaluta r-riskji tas-sigurtà tal-informazzjoni, tassenja sidien tar-riskju, tagħżel għażliet għat-trattament tar-riskju, tqabbel il-kontrolli ma’ Annex A, tipproduċi Dikjarazzjoni ta’ Applikabbiltà, u tikseb approvazzjoni għar-riskju residwu. Imbagħad Klawżoli 8.1 sa 8.3 jeħtieġu kontroll operattiv, bidliet ippjanati, kontroll ta’ proċessi pprovduti esternament, valutazzjonijiet tar-riskju f’intervalli ppjanati jew wara bidliet sinifikanti, u evidenza tar-riżultati tat-trattament.
F’Zenith Blueprint, fażi Risk Management, Pass 13, id-Dikjarazzjoni ta’ Applikabbiltà hija deskritta bħala aktar minn spreadsheet tal-konformità:
“Is-SoA hija effettivament dokument ta’ pont: torbot il-valutazzjoni/trattament tar-riskju tiegħek mal-kontrolli attwali li għandek.”
Sors: Zenith Blueprint: An Auditor’s 30-Step Roadmap, fażi Risk Management, Pass 13: Risk Treatment Planning and Statement of Applicability (SoA) Zenith Blueprint
Għall-iżvelar koordinat tal-vulnerabbiltajiet, is-SoA għandha torbot l-obbligi regolatorji, ir-riskju tan-negozju, il-kontrolli ta’ Annex A, il-klawżoli tal-politika, u l-evidenza operattiva.
| Xprunatur tar-rekwiżit | Mistoqsija prattika | Artefatt tal-evidenza |
|---|---|---|
| NIS2 Article 21 | Nimmaniġġjaw u niżvelaw vulnerabbiltajiet bħala parti mill-iżvilupp u l-manutenzjoni siguri? | Politika CVD, reġistru tar-rapporti riċevuti, rekords tal-valutazzjoni inizjali, talbiet ta’ rimedju, rappurtar lill-maniġment |
| DORA Articles 17 to 20 | Nistgħu nikklassifikaw, nimmaniġġjaw, neskalaw, ninnotifikaw, u nikkomunikaw inċidenti relatati mal-ICT u theddid ċibernetiku sinifikanti? | Tassonomija tal-inċidenti, kriterji tas-severità, reġistru tal-eskalazzjoni, deċiżjoni dwar rappurtar regolatorju, reġistru tal-komunikazzjoni mal-klijenti |
| ISO/IEC 27001:2022 | Ir-riskji ġew ivvalutati, trattati, immappjati ma’ Annex A, u rieżaminati? | Reġistru tar-Riskji, pjan ta’ trattament, SoA, evidenza tal-awditjar intern, minuti tar-rieżami tal-maniġment |
| GDPR | Id-dgħufija involviet data personali u ħtieġet valutazzjoni jew notifika ta’ ksur? | Valutazzjoni tal-impatt fuq id-data personali, memo tad-deċiżjoni dwar ksur, deċiżjonijiet ta’ komunikazzjoni mas-suġġetti tad-data u mal-awtorità |
L-għan mhuwiex li jinħolqu silos paralleli tal-konformità. Il-politika CVD għandha tkun proċess ikkontrollat tal-ISMS li jappoġġja ċ-ċertifikazzjoni ISO/IEC 27001:2022, il-konformità ma’ NIS2, it-tħejjija għal DORA, l-assigurazzjoni għall-klijenti, u l-operazzjonijiet tas-sigurtà fl-istess ħin.
Il-linja bażi tal-politika: x’għandha tgħid il-politika CVD tiegħek
L-ewwel kontroll viżibbli huwa l-kanal pubbliku tal-iżvelar. Ir-riċerkaturi, il-klijenti, il-fornituri, u s-sħab għandhom ikunu jafu fejn jirrappurtaw vulnerabbiltajiet u kif jipproteġu evidenza sensittiva.
Il-Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet ta’ Clarysec Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet tipprovdi l-linja bażi għall-intrapriża:
“Kanali Pubbliċi tal-Iżvelar: L-organizzazzjoni għandha żżomm kanal ċar għar-rappurtar tal-vulnerabbiltajiet, bħal indirizz tal-email iddedikat għall-kuntatt tas-sigurtà (pereżempju, security@company.com) jew formola tal-web. Din l-informazzjoni għandha tiġi ppubblikata fuq il-paġna tas-sigurtà tas-sit web tal-kumpanija flimkien maċ-ċavetta PGP pubblika tal-organizzazzjoni biex tippermetti sottomissjonijiet iċċifrati.”
Sors: Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet, Rekwiżiti għall-implimentazzjoni, klawżola 6.1
Din il-klawżola ssolvi falliment komuni fl-awditjar. Ħafna organizzazzjonijiet jgħidu li jaċċettaw rapporti, iżda r-rotta tar-rappurtar tkun moħbija, mhux iċċifrata, jew taħt is-sjieda tat-tim żbaljat. Kanal matur huwa pubbliku, sigur, immonitorjat, u assenjat lil funzjoni responsabbli.
Il-kontroll li jmiss huwa d-dixxiplina tar-rispons. Rapport kritiku segwit minn silenzju joħloq riskju ta’ żvelar, riskju reputazzjonali, u riskju ta’ sfruttament. Il-Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet tistabbilixxi aspettattiva konkreta ta’ rikonoxximent u verifika:
“Valutazzjoni inizjali u Rikonoxximent: Malli jirċievi rapport, il-VRT għandu jirreġistrah u jibgħat rikonoxximent lir-reporter fi żmien 2 ijiem tax-xogħol, filwaqt li jassenja referenza għat-traċċar. Il-VRT għandu jwettaq valutazzjoni preliminari tas-severità, pereżempju bl-użu ta’ punteġġ CVSS, u jivverifika l-kwistjoni, inkluż b’appoġġ mit-timijiet tal-IT u tal-iżvilupp fejn meħtieġ, fi żmien immirat ta’ 5 ijiem tax-xogħol. Vulnerabbiltajiet kritiċi, bħal dawk li jippermettu eżekuzzjoni remota ta’ kodiċi jew ksur maġġuri tad-data, għandhom jiġu mgħaġġla.”
Sors: Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet, Rekwiżiti għall-implimentazzjoni, klawżola 6.4
Din il-formulazzjoni toħloq punti ta’ evidenza immedjati: ħin tar-riċevuta, ħin tar-rikonoxximent, referenza għat-traċċar, severità preliminari, riżultat tal-verifika, u deċiżjoni ta’ trattament mgħaġġel.
Għall-SMEs, Clarysec juża l-istess loġika b’implimentazzjoni proporzjonata. Il-Politika dwar ir-Rekwiżiti tas-Sigurtà tal-Applikazzjonijiet - SME Politika dwar ir-Rekwiżiti tas-Sigurtà tal-Applikazzjonijiet - SME teħtieġ li l-organizzazzjonijiet:
“jispeċifikaw obbligi għall-iżvelar tal-vulnerabbiltajiet, il-ħinijiet tar-rispons, u l-applikazzjoni tal-patches.”
Sors: Politika dwar ir-Rekwiżiti tas-Sigurtà tal-Applikazzjonijiet - SME, Rekwiżiti ta’ governanza, klawżola 5.3.2
M’għandekx bżonn tim kbir tas-sigurtà tal-prodott biex tkun responsabbli. Għandek bżonn obbligi espliċiti, skadenzi realistiċi, sidien nominati, u evidenza li l-proċess jopera.
Il-fluss tax-xogħol għar-riċeviment CVD: mill-email tar-riċerkatur għar-reġistru tad-deċiżjoni
Fluss tax-xogħol tajjeb għar-riċeviment u r-reġistrazzjoni għandu jkun sempliċi biżżejjed biex jitħaddem taħt pressjoni u komplet biżżejjed biex jissodisfa awditur. Għandu jibda b’kanal iddedikat bħal security@[company], formola tal-web, jew fajl security.txt ippubblikat. Ir-rotta tas-sottomissjoni għandha tippermetti evidenza iċċifrata, prodott jew endpoint affettwat, passi għar-riproduzzjoni, dettalji ta’ kuntatt tar-reporter, żmien preferut għall-iżvelar, u kwalunkwe indikazzjoni ta’ espożizzjoni tad-data jew sfruttament attiv.
Ladarba jiġi riċevut ir-rapport, it-Tim ta’ Rispons għall-Vulnerabbiltajiet għandu joħloq rekord f’għodda GRC, pjattaforma ta’ ticketing, sistema ta’ ġestjoni tal-vulnerabbiltajiet, jew reġistru kkontrollat. L-għodda hija inqas importanti mill-konsistenza u l-kwalità tal-evidenza.
| Qasam tar-riċeviment | Għaliex huwa importanti |
|---|---|
| ID tat-traċċar | Joħloq traċċabbiltà mir-rapport sal-għeluq |
| Data u ħin tar-riċevuta | Jappoġġja l-SLA tar-rispons u l-analiżi tal-ħin regolatorju |
| Identità u kuntatt tar-reporter | Jippermetti rikonoxximent, kjarifika, u żvelar koordinat |
| Assi jew servizz affettwat | Jorbot ir-rapport mal-inventarju tal-assi u mas-sjieda tan-negozju |
| Sid il-prodott u Sid tar-riskju | Jassenja r-responsabbiltà |
| Severità preliminari | Tappoġġja l-valutazzjoni inizjali u l-prijoritizzazzjoni |
| Indikatur ta’ espożizzjoni tad-data | Jiskatta GDPR u valutazzjoni tal-inċident |
| Indikatur tal-impatt fuq is-servizz | Jappoġġja l-klassifikazzjoni taħt NIS2 u DORA |
| Involviment tal-fornitur | Jiskatta notifika lill-fornitur u eskalazzjoni kuntrattwali |
| Data ta’ skadenza għar-rimedju | Torbot is-severità mal-SLA tat-trattament |
| Post tal-evidenza | Jappoġġja l-awditjar u r-rieżami forensiku |
| Għeluq u tagħlim miksub | Jitma’ t-titjib kontinwu |
Il-fluss tax-xogħol għandu mbagħad jgħaddi minn seba’ passi operattivi.
- Riċeviment, ir-rapport jiġi riċevut permezz tal-kanal pubbliku u jiġi rreġistrat awtomatikament jew manwalment.
- Rikonoxximent, il-VRT jirrispondi fi żmien 2 ijiem tax-xogħol u jassenja referenza għat-traċċar.
- Verifika, it-tim tekniku jirriproduċi l-kwistjoni, jikkonferma s-sistemi affettwati, u jwettaq punteġġ preliminari tas-severità.
- Valutazzjoni tal-avveniment, il-VRT jiddetermina jekk il-vulnerabbiltà hijiex biss dgħufija, avveniment tas-sigurtà tal-informazzjoni, jew inċident.
- Eskalazzjoni, kwistjonijiet għoljin jew kritiċi jintbagħtu lis-sidien tas-sistema, lill-CISO, lill-privatezza, lill-legali, lill-fornituri, u lill-maniġment kif meħtieġ.
- Rimedju, it-tim responsabbli japplika tiswija, mitigazzjoni, kontroll kumpensatorju, jew restrizzjoni temporanja.
- Għeluq, il-VRT jivverifika t-tiswija, jikkomunika mar-reporter, jaġġorna l-fajl tal-evidenza, u jirreġistra t-tagħlim miksub.
Clarysec jimmappja dan il-pass operattiv għall-kontroll ISO/IEC 27002:2022 A.5.25, Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, u għall-kontroll A.8.8, Ġestjoni tal-vulnerabbiltajiet tekniċi, permezz ta’ Zenith Controls: The Cross-Compliance Guide Zenith Controls. Għal A.5.25, Zenith Controls jispjega li l-evalwazzjoni tal-avvenimenti hija l-funzjoni ta’ valutazzjoni inizjali bejn twissijiet mhux ipproċessati mill-monitoraġġ u l-immaniġġjar formali tal-inċidenti, bl-użu ta’ logs, limiti, u kriterji ta’ deċiżjoni biex tiġi ddeterminata l-eskalazzjoni. Għal A.8.8, Zenith Controls jgħaqqad il-ġestjoni tal-vulnerabbiltajiet tekniċi mal-protezzjoni kontra l-malware, il-ġestjoni tal-konfigurazzjoni, il-ġestjoni tat-tibdil, is-sigurtà tal-endpoint, l-intelliġenza dwar it-theddid, il-monitoraġġ, l-iżvilupp sigur, l-evalwazzjoni tal-avvenimenti, u r-rispons għall-inċidenti.
Silta waħda minn Zenith Controls hija speċjalment utli meta jkun suspettat sfruttament attiv:
“L-intelliġenza dwar it-theddid tinforma liema vulnerabbiltajiet qed jiġu sfruttati b’mod attiv, u tiggwida l-prijoritizzazzjoni tal-patches.”
Sors: Zenith Controls: The Cross-Compliance Guide, kontroll ISO/IEC 27002:2022 8.8, rabta mal-kontroll 5.7 Intelliġenza dwar it-theddid Zenith Controls
Dan huwa punt importanti ta’ governanza. Is-severità mhijiex biss CVSS. Vulnerabbiltà bi punteġġ medju li qed tiġi sfruttata b’mod attiv kontra s-settur tiegħek tista’ tingħata prijorità ogħla minn kwistjoni kritika teoretika fuq sistema tat-test mhux esposta.
Meta vulnerabbiltà ssir inċident
Mhux kull rapport ta’ vulnerabbiltà huwa inċident. Header tas-sigurtà nieqes fuq ambjent ta’ staging mhuwiex l-istess bħal bypass ta’ awtorizzazzjoni sfruttat li jesponi fatturi tal-klijenti. Iżda kull rapport kredibbli ta’ vulnerabbiltà għandu jgħaddi minn punt ta’ deċiżjoni dwar inċident.
NIS2 Article 23 jeħtieġ li entitajiet essenzjali u importanti jinnotifikaw lis-CSIRT tagħhom jew lill-awtorità kompetenti mingħajr dewmien żejjed dwar inċidenti li jħallu impatt sinifikanti fuq il-provvista tas-servizz. Inċident sinifikanti huwa wieħed li kkawża jew jista’ jikkawża tfixkil operattiv serju jew telf finanzjarju, jew li affettwa jew jista’ jaffettwa oħrajn billi jikkawża dannu materjali jew mhux materjali konsiderevoli. Is-sekwenza tar-rappurtar tinkludi twissija bikrija fi żmien 24 siegħa minn meta wieħed isir konxju, notifika ta’ inċident fi żmien 72 siegħa, rapporti interim meta jintalbu, u rapport finali fi żmien xahar min-notifika ta’ 72 siegħa.
DORA Articles 17 to 20 jeħtieġu li entitajiet finanzjarji jiskopru, jimmaniġġjaw, jirreġistraw, jikklassifikaw, jeskalaw, jinnotifikaw, u jikkomunikaw inċidenti relatati mal-ICT u theddid ċibernetiku sinifikanti. Inċidenti maġġuri relatati mal-ICT għandhom jiġu eskalati lill-maniġment għoli u lill-korp maniġerjali. Il-komunikazzjoni mal-klijenti tista’ tkun meħtieġa meta l-interessi finanzjarji jkunu affettwati.
| Mistoqsija tad-deċiżjoni | Jekk iva, skattatur |
|---|---|
| Hemm evidenza ta’ sfruttament? | Fluss tax-xogħol tar-rispons għall-inċidenti u monitoraġġ miżjud |
| Id-data personali hija affettwata jew probabbilment affettwata? | Valutazzjoni ta’ ksur taħt GDPR u eskalazzjoni tal-privatezza |
| Il-kwistjoni tista’ tikkawża tfixkil operattiv serju jew telf finanzjarju? | Valutazzjoni ta’ inċident sinifikanti taħt NIS2 |
| Taffettwa funzjoni kritika jew importanti ta’ entità finanzjarja? | Klassifikazzjoni ta’ inċident maġġuri relatat mal-ICT taħt DORA |
| Tinvolvi prodott ta’ fornitur jew servizz cloud? | Notifika lill-fornitur u eskalazzjoni kuntrattwali |
| Qed iseħħ sfruttament attiv fl-ambjent estern? | Bidla ta’ emerġenza, aġġornament tal-intelliġenza dwar it-theddid, konsiderazzjoni ta’ avviż lill-klijenti |
Għall-SMEs, il-kultura tar-rappurtar għandha tkun daqstant ċara. Il-Politika ta’ Rispons għall-Inċidenti - SME ta’ Clarysec Politika ta’ Rispons għall-Inċidenti - SME tgħid:
“Il-persunal għandu jirrapporta kwalunkwe attività suspettuża jew inċident ikkonfermat lil incident@[company] jew verbalment lill-Maniġer Ġenerali jew lill-fornitur tal-IT.”
Sors: Politika ta’ Rispons għall-Inċidenti - SME, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.2.1
F’Zenith Blueprint, fażi Controls in Action, Pass 16: People Controls II, il-prinċipju huwa saħansitra aktar sempliċi:
“Meta jkollok dubju, irrapporta.”
Sors: Zenith Blueprint: An Auditor’s 30-Step Roadmap, fażi Controls in Action, Pass 16: People Controls II (A.6.5 sa A.6.8)
Dik il-frażi għandha tapplika għall-iżviluppaturi, timijiet ta’ appoġġ, maniġers tal-fornituri, responsabbli tal-privatezza, eżekuttivi, u fornituri esternalizzati. Vulnerabbiltà li tista’ taffettwa l-kunfidenzjalità, l-integrità, id-disponibbiltà, il-fiduċja tal-klijenti, ir-rappurtar regolatorju, jew l-operazzjonijiet finanzjarji għandha tiġi rreġistrata u evalwata, mhux immaniġġjata informalment fiċ-chat.
Rimedju, applikazzjoni tal-patches, u kontrolli kumpensatorji
Ladarba vulnerabbiltà tiġi vverifikata, għandha tiġi trattata. It-trattament għandu jkun ibbażat fuq ir-riskju, appoġġjat b’evidenza, u marbut biż-żmien.
Il-Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet tistabbilixxi l-aspettattiva għall-intrapriża:
“Pjan ta’ Rimedju: Għandu jiġi żviluppat pjan ta’ rimedju jew mitigazzjoni għall-vulnerabbiltajiet ikkonfermati kollha. L-implimentazzjoni tat-tiswija għandha tiġi prijoritizzata abbażi tas-severità. Pereżempju, vulnerabbiltajiet kritiċi għandhom jiġu msewwija jew mitigati fi żmien 14-il jum fejn fattibbli, jew aktar kmieni fejn jiġi skopert sfruttament attiv, filwaqt li kwistjonijiet b’severità aktar baxxa għandhom jiġu indirizzati fi żmien raġonevoli. Fejn tiswija sħiħa tittardja, għandhom jiġu implimentati kontrolli kumpensatorji jew miżuri temporanji ta’ mitigazzjoni, bħal diżattivazzjoni ta’ funzjonalità vulnerabbli jew żieda fil-monitoraġġ.”
Sors: Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet, Rekwiżiti għall-implimentazzjoni, klawżola 6.6
Għad-dixxiplina tal-applikazzjoni tal-patches għall-SMEs, il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches - SME Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches - SME tgħid:
“Patches kritiċi għandhom jiġu applikati fi żmien 3 ijiem mir-rilaxx, speċjalment għal sistemi aċċessibbli mill-internet”
Sors: Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches - SME, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.1.1
Dawn l-iskadenzi mhumiex kontradittorji. Patch tal-fornitur għal sistema aċċessibbli mill-internet jista’ jeħtieġ tqegħid fis-servizz malajr ħafna. Vulnerabbiltà ta’ prodott li teħtieġ bidliet fil-kodiċi, regression testing, koordinazzjoni mal-klijenti, u rilaxx f’fażijiet tista’ teħtieġ pjan ta’ rimedju b’mitigazzjonijiet interim. Il-punt ewlieni huwa li d-deċiżjoni tkun dokumentata, tkun taħt sjieda tar-riskju, u tkun approvata fejn jibqa’ riskju residwu.
Fluss prattiku ta’ każ jidher hekk:
- Riċerkatur jirrapporta bypass ta’ awtorizzazzjoni fil-API tal-kontijiet tal-klijenti.
- Il-VRT jirreġistra CVD-2026-014 b’timestamp u jirrikonoxxi fi żmien 2 ijiem tax-xogħol.
- Is-sigurtà tal-prodott tivverifika d-difett fi żmien 24 siegħa u tassenja severità Għolja minħabba aċċess għal data bejn tenants.
- Il-privatezza twettaq valutazzjoni ta’ ksur taħt GDPR għaliex ir-reġistri tal-fatturi jistgħu jkun fihom data personali.
- Il-maniġer tal-inċidenti jiftaħ valutazzjoni tal-avveniment taħt il-kontroll ISO/IEC 27002:2022 A.5.25.
- Is-sid tas-sistema jiddiżattiva l-endpoint vulnerabbli permezz ta’ feature flag temporanju.
- L-inġinerija toħloq hotfix taħt il-kontroll ISO/IEC 27002:2022 A.8.32, Ġestjoni tat-tibdil.
- Jiżdiedu regoli ta’ monitoraġġ għall-indikaturi ta’ sfruttament, marbuta ma’ A.8.15, Illoggjar, u A.8.16, Attivitajiet ta’ monitoraġġ.
- Il-CISO jinforma lill-maniġment għoli għaliex il-kwistjoni hija ta’ riskju għoli.
- Il-VRT jikkoordina mar-riċerkatur dwar ir-retest u ż-żmien tal-iżvelar.
- Is-Sid tar-riskju japprova l-għeluq biss wara testijiet ta’ verifika u rieżami tal-impatt fuq il-klijenti.
- Is-SoA, ir-Reġistru tar-Riskji, it-ticket, il-logs, in-notifika lill-maniġment, u t-tagħlim miksub jiġu aġġornati.
Din hija d-differenza bejn “applikajna l-patch” u “nistgħu nippruvaw li governajnieh.”
Dipendenzi fuq fornituri u cloud: il-punt ta’ falliment moħbi
Ħafna fallimenti CVD huma fil-fatt fallimenti tal-fornituri. Il-vulnerabbiltà tista’ taffettwa komponent SaaS, servizz cloud, fornitur ta’ sigurtà ġestita, gateway tal-ħlas, broker tal-awtentikazzjoni, librerija open-source, tim ta’ żvilupp esternalizzat, jew sottokuntrattur.
NIS2 Article 21 jeħtieġ is-sigurtà tal-katina tal-provvista, inklużi relazzjonijiet ma’ fornituri diretti u fornituri tas-servizzi. Il-miżuri tal-katina tal-provvista għandhom jikkunsidraw il-vulnerabbiltajiet tal-fornituri, il-kwalità tal-prodott, il-prattiki taċ-ċibersigurtà, u proċeduri ta’ żvilupp sigur.
DORA Articles 28 to 30 imorru aktar fil-fond għall-entitajiet finanzjarji. Jeħtieġu li r-riskju ta’ partijiet terzi tal-ICT jiġi ġestit bħala parti mill-qafas tar-riskju tal-ICT, b’reġistri ta’ kuntratti tas-servizzi tal-ICT, distinzjonijiet bejn funzjonijiet kritiċi jew importanti, diliġenza dovuta ta’ qabel il-kuntratt, rekwiżiti kuntrattwali tas-sigurtà, assistenza għall-inċidenti, kooperazzjoni mal-awtoritajiet, drittijiet ta’ awditjar, drittijiet ta’ terminazzjoni, u strateġiji ta’ ħruġ. L-entitajiet finanzjarji jibqgħu kompletament responsabbli għall-konformità ma’ DORA anki meta jużaw fornituri terzi tal-ICT.
Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME ta’ Clarysec Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME tinkludi regola sempliċi ta’ eskalazzjoni:
“Għandu jinnotifika lill-GM minnufih dwar kwalunkwe ksur tas-sigurtà, bidla, jew inċident”
Sors: Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, Rwoli u responsabbiltajiet, klawżola 4.4.3
Għal kuntratti tal-fornituri tal-intrapriża, Zenith Blueprint, fażi Controls in Action, Pass 23, jirrakkomanda li jiġu inklużi obbligi ta’ kunfidenzjalità, responsabbiltajiet tal-kontroll tal-aċċess, miżuri tekniċi u organizzattivi, skadenzi tar-rappurtar tal-inċidenti, dritt ta’ awditjar, kontrolli tas-sottokuntratturi, u dispożizzjonijiet ta’ tmiem il-kuntratt. Jiddikjara:
“Dak li jgħodd huwa li jeżistu, u li jkunu mifhuma u aċċettati miż-żewġ partijiet.”
Sors: Zenith Blueprint: An Auditor’s 30-Step Roadmap, fażi Controls in Action, Pass 23: Organizational controls (5.19 sa 5.37)
It-tħejjija CVD tal-fornituri għandha twieġeb dawn il-mistoqsijiet:
- Il-fornitur jippubblika kanal għar-rappurtar tal-vulnerabbiltajiet?
- L-iskadenzi tan-notifika tal-vulnerabbiltajiet huma definiti fil-kuntratt?
- Vulnerabbiltajiet kritiċi tal-fornitur jiġu rrappurtati mingħajr dewmien żejjed?
- Dgħufijiet li jħallu impatt fuq il-klijenti huma marbuta ma’ obbligi ta’ assistenza għall-inċidenti?
- Il-fornitur jista’ jipprovdi evidenza ta’ rimedju jew avviżi tas-sigurtà?
- L-obbligi dwar vulnerabbiltajiet tas-sottokuntratturi jiġu mgħoddija ’l isfel?
- Hemm strateġija ta’ ħruġ jekk ir-rimedju ma jkunx adegwat?
Hawnhekk NIS2, DORA, u ISO/IEC 27001:2022 jikkonverġu. Il-ġestjoni tal-vulnerabbiltajiet tal-fornituri mhijiex checkbox tal-akkwist. Hija parti mir-reżiljenza operattiva.
Immappjar tal-evidenza għal ISO 27001, NIS2, DORA, GDPR, u COBIT
L-aktar programmi CVD b’saħħithom jibdew mill-evidenza. Jassumu li kwalunkwe rapport sinifikanti jista’ aktar tard jiġi rieżaminat minn awditjar intern, awdituri taċ-ċertifikazzjoni, regolaturi, klijenti, assiguraturi, jew kumitat tar-riskju tal-bord.
Il-Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità - SME ta’ Clarysec Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità - SME taqbad dettall li ħafna timijiet jitilfu:
“Il-metadata (eż., min ġabarha, meta, u minn liema sistema) għandha tiġi dokumentata.”
Sors: Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità - SME, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.2.3
Screenshot ta’ server b’patch applikat hija dgħajfa jekk ħadd ma jaf min qabadha, meta, minn liema sistema, u kif timmappa mal-vulnerabbiltà. Ticket b’timestamps, output tal-iskanner, pull request, approvazzjoni tal-bidla, logs tat-tqegħid fis-servizz, query tal-monitoraġġ, konferma tar-retest, u metadata huwa ħafna aktar b’saħħtu.
| Stadju tal-fluss tax-xogħol | Evidenza ISO/IEC 27001:2022 u Annex A | Evidenza NIS2 u DORA |
|---|---|---|
| Riċeviment pubbliku | Paġna tas-sigurtà ppubblikata, ċavetta PGP, approvazzjoni tal-politika CVD | Tħejjija għall-immaniġġjar u l-iżvelar tal-vulnerabbiltajiet |
| Riċevuta u rikonoxximent | Ticket, timestamp, rikonoxximent lir-reporter, ID tat-traċċar | Juri immaniġġjar fil-pront u governanza |
| Valutazzjoni inizjali | Punteġġ tas-severità, assi affettwat, Sid tar-riskju, evalwazzjoni tal-avveniment | Jappoġġja l-klassifikazzjoni tal-inċidenti u d-deċiżjonijiet ta’ rappurtar |
| Deċiżjoni dwar inċident | Reġistru tal-evalwazzjoni tal-inċident, deċiżjoni ta’ eskalazzjoni, logs | Analiżi ta’ inċident sinifikanti taħt NIS2, klassifikazzjoni ta’ inċident maġġuri taħt DORA |
| Rimedju | Ticket tat-tibdil, reġistru tal-patch, pull request, riżultat tat-test | Evidenza tat-tnaqqis tar-riskju u tar-reżiljenza operattiva |
| Eskalazzjoni tal-fornitur | Avviż lill-fornitur, klawżola kuntrattwali, reġistru tar-rispons | Evidenza tas-sigurtà tal-katina tal-provvista u tar-riskju ta’ partijiet terzi tal-ICT |
| Komunikazzjoni | Avviż lill-klijenti, memo regolatorju, deċiżjoni dwar il-privatezza | Evidenza tal-komunikazzjoni taħt NIS2, DORA, u GDPR |
| Għeluq | Retest, aċċettazzjoni tar-riskju residwu, tagħlim miksub | Titjib kontinwu u rappurtar lill-maniġment |
Matriċi ta’ traċċabbiltà aktar dettaljata tgħin waqt id-diliġenza dovuta tal-klijenti u l-awditjar intern.
| Rekwiżit | Politika jew proċess ta’ Clarysec | Klawżola ISO/IEC 27001:2022 jew kontroll Annex A | Evidenza għall-awditur |
|---|---|---|---|
| NIS2 Article 21, immaniġġjar u żvelar tal-vulnerabbiltajiet | Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet, klawżoli 6.1, 6.4, 6.6, 9.1 | A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi | Kanal pubbliku ta’ rappurtar, reġistru tal-vulnerabbiltajiet, reġistru tas-severità, ticket ta’ rimedju |
| NIS2 Article 20, responsabbiltà tal-maniġment | Eskalazzjoni lill-CISO u Rieżami tal-Ġestjoni | Klawżola 5.3 Rwoli, responsabbiltajiet u awtoritajiet organizzattivi | Emails ta’ eskalazzjoni, minuti tal-laqgħa, rapporti ta’ vulnerabbiltajiet kritiċi skaduti |
| DORA Articles 17 to 20, ġestjoni u rappurtar ta’ inċidenti tal-ICT | Punt ta’ deċiżjoni dwar inċident u fluss tax-xogħol tal-klassifikazzjoni | A.5.24 Ippjanar u tħejjija għall-ġestjoni tal-inċidenti, A.5.25 Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, A.5.26 Rispons għal inċidenti tas-sigurtà tal-informazzjoni | Reġistru tal-klassifikazzjoni, linja taż-żmien tal-inċident, deċiżjoni tan-notifika, komunikazzjoni mal-klijenti |
| DORA Articles 28 to 30, riskju ta’ partijiet terzi tal-ICT | Proċess ta’ eskalazzjoni tal-fornituri u klawżoli kuntrattwali | A.5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri, A.5.20 Indirizzar tas-sigurtà tal-informazzjoni fi ftehimiet mal-fornituri, A.5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT | Avviż lill-fornitur, estratt tal-kuntratt, evidenza tar-rispons, dikjarazzjoni ta’ rimedju |
| Responsabbiltà taħt GDPR u valutazzjoni tal-ksur | Eskalazzjoni tal-privatezza u rieżami tal-impatt fuq id-data personali | Klawżola 6.1.2 Valutazzjoni tar-riskju tas-sigurtà tal-informazzjoni, A.5.34 Privatezza u protezzjoni ta’ PII | Memo tal-evalwazzjoni tal-ksur, analiżi tal-espożizzjoni tad-data, deċiżjoni tan-notifika lill-awtorità |
| Inġinerija sigura u rilaxx tal-patch | Fluss tax-xogħol tar-rimedju mill-inġinerija | A.8.25 Ċiklu ta’ ħajja tal-iżvilupp sigur, A.8.32 Ġestjoni tat-tibdil | Pull request, riżultati tat-testijiet, logs tat-tqegħid fis-servizz, pjan ta’ treġġigħ lura |
| Monitoraġġ għall-isfruttament | Skoperta SOC u aġġornament tal-intelliġenza dwar it-theddid | A.5.7 Intelliġenza dwar it-theddid, A.8.15 Illoggjar, A.8.16 Attivitajiet ta’ monitoraġġ | Nota tat-threat intel, regola ta’ skoperta, query tal-log, rieżami tat-twissija |
Awdituri differenti jittestjaw l-istess proċess minn perspettivi differenti.
Awditur ISO/IEC 27001:2022 jibda mill-ISMS. Jistaqsi jekk l-obbligi tal-iżvelar tal-vulnerabbiltajiet humiex inklużi fir-rekwiżiti tal-partijiet interessati, jekk ir-riskji humiex ivvalutati b’mod konsistenti, jekk il-kontrolli jidhrux fis-SoA, jekk teżistix evidenza operattiva, u jekk il-maniġment jirrieżaminax ix-xejriet u l-oġġetti skaduti.
Rieżaminatur taħt DORA jew tas-servizzi finanzjarji jiffoka fuq ir-reżiljenza operattiva. Jeżamina l-integrazzjoni tar-riskju tal-ICT, il-klassifikazzjoni tal-inċidenti, l-eskalazzjoni lill-maniġment għoli, il-komunikazzjoni mal-klijenti, id-dipendenzi fuq partijiet terzi, l-ittestjar, u t-tagħlim miksub. Jekk il-vulnerabbiltà taffettwa funzjoni kritika jew importanti, jistenna rabta stretta bejn it-ticket tekniku, l-impatt fuq in-negozju, l-implikazzjonijiet għall-kontinwità, u l-obbligi tal-fornituri.
Rieżaminatur GDPR jiffoka fuq id-data personali. Kien hemm data personali involuta? Kien hemm aċċess mhux awtorizzat, telf, alterazzjoni, jew żvelar? Ir-rwoli tal-kontrollur u tal-proċessur kienu ċari? Il-limitu tal-ksur ġie evalwat? Salvagwardji bħall-iċċifrar, il-kontroll tal-aċċess, il-logging, u l-minimizzazzjoni kienu rilevanti?
Awditur COBIT 2019 jew ISACA jiffoka fuq il-governanza, ir-responsabbiltà, il-prestazzjoni, u l-assigurazzjoni. Ifittex sjieda definita, metriċi, eskalazzjoni, objettivi tal-kontrolli, sorveljanza tal-maniġment, u traċċar tal-eċċezzjonijiet. Vulnerabbiltà kritika skaduta mhijiex biss problema teknika. Hija kwistjoni ta’ governanza sakemm ma tkunx eskalata formalment u aċċettata bħala riskju.
Valutatur orjentat lejn NIST jaħseb f’termini ta’ Identify, Protect, Detect, Respond, u Recover. Irid sjieda tal-assi, identifikazzjoni tal-vulnerabbiltajiet, prijoritizzazzjoni, bidla protettiva, skoperta tal-isfruttament, koordinazzjoni tar-rispons, u verifika tal-irkupru.
Il-vantaġġ ta’ mudell CVD integrat huwa li l-istess sinsla tal-evidenza tista’ tappoġġja dawn ir-rieżamijiet kollha.
Iċ-ċiklu ta’ kontroll ta’ kull xahar: metriċi li l-maniġment jista’ juża
CVD ma jispiċċax meta jingħalaq it-ticket. Il-Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet teħtieġ rieżami kontinwu tal-logs:
“Il-VRT għandu jżomm log tal-iżvelar tal-vulnerabbiltajiet li jsegwi kull rapport mir-riċevuta sal-għeluq. Il-log għandu jiġi rieżaminat kull xahar biex jiġi żgurat progress f’waqtu tal-oġġetti miftuħa. Oġġetti skaduti għandhom jiġu eskalati.”
Sors: Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet, Monitoraġġ u Awditu, klawżola 9.1
Dan ir-rieżami ta’ kull xahar jibdel l-iżvelar tal-vulnerabbiltajiet f’governanza lesta għall-bord. Il-maniġment m’għandux bżonn kull dettall tekniku. Jeħtieġ xejra, espożizzjoni, responsabbiltà, u riskju skadut.
| Metrika | Valur għall-maniġment |
|---|---|
| Rapporti esterni ta’ vulnerabbiltajiet riċevuti | Juri l-volum tar-rappurtar u l-involviment tar-riċerkaturi |
| Perċentwal rikonoxxut fi ħdan l-SLA | Ikejjel id-dixxiplina tal-proċess u l-fiduċja |
| Perċentwal ivverifikat fi ħdan iż-żmien immirat | Ikejjel il-kapaċità tal-valutazzjoni inizjali |
| Vulnerabbiltajiet kritiċi u għoljin miftuħa | Juri l-espożizzjoni attwali |
| Ħin medju għar-rimedju skont is-severità | Ikejjel l-effettività tar-rimedju |
| Oġġetti skaduti u status tal-eskalazzjoni | Juri l-kwalità tal-governanza u tal-aċċettazzjoni tar-riskju |
| Rapporti li jinvolvu data personali | Jorbot CVD mal-espożizzjoni taħt GDPR |
| Rapporti li jinvolvu fornituri | Jorbot CVD mar-reżiljenza tal-katina tal-provvista |
| Rapporti li jiskattaw valutazzjoni tal-inċident | Juri l-attività tad-deċiżjoni minn avveniment għal inċident |
| Kawżi ewlenin ripetuti bejn rapporti | Jitma’ l-prijoritajiet tal-iżvilupp sigur u tat-taħriġ |
F’implimentazzjoni matura ta’ Clarysec, dan ir-rieżami ta’ kull xahar tal-log jitma’ r-Reġistru tar-Riskji, id-Dikjarazzjoni ta’ Applikabbiltà, il-backlog tal-iżvilupp sigur, ir-rieżamijiet tal-fornituri, it-tagħlim miksub mill-inċidenti, il-pjan tal-awditjar intern, u l-pakkett ta’ rappurtar lill-maniġment.
Ibni l-proċess qabel jasal ir-rapport serju
L-agħar ħin biex tfassal l-iżvelar koordinat tal-vulnerabbiltajiet huwa wara li riċerkatur ikun ippubblika d-dgħufija tiegħek jew klijent bankarju kritiku jkun iffriża l-onboarding. NIS2, DORA, GDPR, ISO/IEC 27001:2022, aspettattivi ta’ reżiljenza fuq stil NIST, u l-governanza COBIT 2019 kollha jindikaw fl-istess direzzjoni: l-iżvelar tal-vulnerabbiltajiet għandu jkun ippjanat, taħt sjieda ċara, ittestjat, appoġġjat b’evidenza, u mtejjeb.
Ibda b’dawn il-ħames azzjonijiet:
- Adotta jew adatta l-Politika dwar l-Iżvelar Koordinat tal-Vulnerabbiltajiet.
- Ibni l-fluss tax-xogħol tar-riċeviment u tal-valutazzjoni inizjali bl-użu ta’ Zenith Blueprint, speċjalment Pass 13 għat-traċċabbiltà tas-SoA, Pass 16 għall-kultura tar-rappurtar, Pass 19 għall-ġestjoni tal-vulnerabbiltajiet tekniċi, u Pass 23 għall-ftehimiet mal-fornituri.
- Immappja l-fluss tax-xogħol permezz ta’ Zenith Controls, b’enfasi fuq il-kontrolli ISO/IEC 27002:2022 A.8.8, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16, A.8.25, u A.8.32.
- Żid klawżoli adattati għall-SMEs minn Politika ta’ Rispons għall-Inċidenti - SME, Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches - SME, Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, Politika dwar ir-Rekwiżiti tas-Sigurtà tal-Applikazzjonijiet - SME, u Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità - SME fejn il-proporzjonalità hija rilevanti.
- Mexxi eżerċizzju tabletop li jissimula rapport ta’ riċerkatur li jaffettwa data personali u komponent ospitat minn fornitur, imbagħad ittestja r-rikonoxximent, il-valutazzjoni inizjali, il-klassifikazzjoni tal-inċident, l-applikazzjoni tal-patches, il-komunikazzjoni mal-klijenti, il-ġbir tal-evidenza, u l-eskalazzjoni lill-maniġment.
Clarysec jista’ jgħinek tibdel dan f’politika CVD operattiva, reġistru tar-rapporti riċevuti, mappa tal-evidenza ISO/IEC 27001:2022, siġra tad-deċiżjonijiet għal NIS2 u DORA, mudell ta’ eskalazzjoni tal-fornituri, u pakkett ta’ kontrolli lest għall-awditjar. L-għan huwa sempliċi: meta jasal ir-rapport ta’ vulnerabbiltà li jmiss, it-tim tiegħek m’għandux jimprovizza. Għandu jeżegwixxi b’kunfidenza, evidenza, u kontroll.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
