Preservazzjoni legali għal inċidenti ċibernetiċi taħt GDPR, NIS2 u DORA
Fl-4:17 ta’ filgħodu, Maria, is-CISO ta’ fornitur fintech SaaS, irċeviet it-telefonata li kull mexxej tas-sigurtà jipprepara għaliha u xorta jittama li qatt ma tasal. Servers tal-produzzjoni kritiċi ma kinux qed jirrispondu. Il-fajls kienu ġew iċċifrati. Nota ta’ ransomware kienet miftuħa fuq l-iskrin ta’ amministratur junior.
Sal-4:28, it-tim tar-rispons għall-inċidenti ried jiżola s-sistemi affettwati u jerġa’ jqiegħed infrastruttura nadifa fis-servizz. Sal-4:41, l-inġinerija staqsiet jekk setgħux idawru l-kredenzjali, ineħħu fajls temporanji u jerġgħu jibnu l-containers. Sal-5:03, id-DPO wissa li l-ambjent kompromess kien fih identifikaturi tal-klijenti u metadata tat-tranżazzjonijiet. Sal-5:16, il-konsulent legali ngħaqad mal-crisis bridge bi struzzjoni waħda: “Teqirdux evidenza potenzjali. Jista’ jkun hemm bżonn preservazzjoni legali.” Sal-5:30, il-COO staqsa jekk ġewx attivati obbligi ta’ rappurtar taħt DORA. Sas-6:00, Maria ftakret fl-arloġġ ta’ NIS2: twissija bikrija tista’ tkun dovuta fi żmien 24 siegħa, notifika aktar kompluta fi żmien 72 siegħa, u rapport finali fi żmien xahar.
Imbagħad waslet il-mistoqsija li tiddeċiedi jekk inċident ċibernetiku jsirx difensibbli jew kaotiku:
“Għad għandna l-logs?”
Din hija l-problema ta’ governanza wara l-inċident li ħafna pjanijiet ta’ rispons ma jagħtuhiex biżżejjed piż. Mhuwiex biżżejjed li tiskopri, trażżan u tirkupra. Fl-2026, l-organizzazzjonijiet għandhom ukoll jippruvaw x’ġara, jippreservaw evidenza rilevanti, jevitaw li jikkorrompu artifacts forensiċi, jirrispettaw il-minimizzazzjoni tad-data taħt GDPR, jappoġġaw is-superviżjoni taħt NIS2 u jżommu reġistri tar-riskju tal-ICT taħt DORA li jifilħu għal awditu, litigazzjoni u rieżami regolatorju.
Il-preservazzjoni legali u ż-żamma tal-evidenza għal inċidenti ċibernetiċi jinsabu fil-punt fejn jiltaqgħu l-operazzjonijiet tas-sigurtà, il-privatezza, il-liġi, il-konformità, l-inġinerija tal-cloud, il-ġestjoni tal-fornituri u l-awditjar. Jekk il-proċess jiġi improvizzat waqt ksur, l-organizzazzjoni tista’ titlef l-evidenza meħtieġa għal analiżi tal-kawża ewlenija, rappurtar lir-regolatur, talbiet tal-assigurazzjoni, difiża f’litigazzjoni, dixxiplina tal-impjegati u assigurazzjoni lill-klijenti. Jekk isir b’mod eċċessiv, l-organizzazzjoni tista’ żżomm data personali żejda u toħloq problema oħra ta’ konformità.
L-approċċ ta’ Clarysec huwa li l-preservazzjoni legali ssir proċess ikkontrollat tal-ISMS, mhux reazzjoni ta’ paniku. Il-mudell jgħaqqad il-governanza ta’ ISO/IEC 27001:2022, il-kontrolli tal-evidenza u tal-logging ta’ ISO/IEC 27002:2022, ir-responsabbiltà taħt GDPR, ir-rappurtar ta’ inċidenti taħt NIS2 u l-evidenza tar-riskju tal-ICT taħt DORA f’sistema operattiva waħda. Dik is-sistema tgħid lit-timijiet x’għandhom jippreservaw, min jista’ jawtorizza l-preservazzjoni, kemm iddum l-evidenza taħt preservazzjoni, min jista’ jaċċessaha u meta jista’ jerġa’ jibda t-tħassir.
L-ewwel 24 siegħa jiddeċiedu jekk l-evidenza tibqax teżisti
F’ħafna inċidenti reali, l-evidenza ma tinqeridx mill-attakkanti. Tinqered mill-operazzjonijiet normali.
Jiskadi perjodu ta’ żamma tal-logs fil-cloud. Container jerġa’ jitqiegħed fis-servizz. Endpoint jiġi installat mill-ġdid qabel tinqabad il-memorja. Amministratur SaaS jesporta CSV għall-investigazzjoni, imbagħad jemenda l-fajl. Inġinier b’intenzjoni tajba jħassar scripts malizzjużi qabel jieħu kopja forensika. Kompitu ta’ żamma f’data warehouse ineħħi r-reġistri meħtieġa biex jiġi ddeterminat liema klijenti ġew affettwati.
L-organizzazzjoni tista’ xorta tirkupra operattivament, iżda titlef il-prova. Dik id-distinzjoni hija importanti.
Taħt GDPR, kontrollur għandu jkun kapaċi juri konformità mal-prinċipji tal-protezzjoni tad-data, inklużi l-integrità u l-kunfidenzjalità, il-limitazzjoni tal-għan, il-minimizzazzjoni tad-data u l-limitazzjoni tal-ħażna. Jekk ksur ta’ data personali x’aktarx jirriżulta f’riskju għall-individwi, Article 33 jista’ jirrikjedi notifika lill-awtorità superviżorja mingħajr dewmien żejjed u, fejn fattibbli, fi żmien 72 siegħa mill-għarfien. Jekk il-ksur x’aktarx jirriżulta f’riskju għoli għall-individwi, Article 34 jista’ jirrikjedi komunikazzjoni lis-suġġetti tad-data affettwati.
Taħt NIS2, entitajiet essenzjali u importanti għandhom jimmaniġġjaw inċidenti sinifikanti permezz ta’ rappurtar fi stadji u superviżjoni. Taħt DORA, entitajiet finanzjarji għandhom jirreġistraw inċidenti relatati mal-ICT, jikklassifikaw inċidenti maġġuri, jirrappurtawhom, iwettqu analiżi tal-kawża ewlenija u jippreservaw evidenza dwar assi tal-ICT, funzjonijiet tan-negozju u dipendenzi fuq partijiet terzi.
ISO/IEC 27001:2022 jagħti l-istruttura tas-sistema ta’ ġestjoni għal dan. Clause 4.2 tirrikjedi li organizzazzjoni tiddetermina l-ħtiġijiet u l-aspettattivi tal-partijiet interessati, inklużi rekwiżiti legali, regolatorji u kuntrattwali rilevanti għas-sigurtà tal-informazzjoni. Clause 4.3 tirrikjedi li l-kamp ta’ applikazzjoni tal-ISMS iqis l-interfaċċi u d-dipendenzi, ħaġa kritika meta l-evidenza tkun għand fornitur cloud, fornitur ta’ sigurtà ġestita, pjattaforma ta’ pagament jew helpdesk esternalizzat. Clause 6.1 torbot dawn l-obbligi mar-riskji tas-sigurtà tal-informazzjoni u mat-trattament tagħhom. Clause 7.5 tirrikjedi informazzjoni dokumentata kkontrollata. Clause 8 tirrikjedi ppjanar u kontroll operattiv.
Il-Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur ta’ Clarysec jispjega għaliex dan għandu jiġi ddisinjat qabel l-inċident, mhux matulu. Fil-fażi Controls in Action, Pass 23, il-gwida għall-kontroll ISO/IEC 27002:2022 5.28 tgħid:
“Meta jseħħ inċident tas-sigurtà tal-informazzjoni, wieħed mill-aktar elementi kritiċi tar-rispons, iżda li spiss jiġi injorat, huwa l-evidenza. Mhux logs, mhux screenshots, mhux narrattivi mifruxa, iżda evidenza ppreservata kif suppost, li tirrispetta l-chain of custody u li hija reżistenti għat-tbagħbis.”
L-istess Pass 23 iżid li “dak li tista’ tipprova huwa importanti daqs dak li fil-fatt ġara.” Dik is-sentenza hija d-differenza bejn rispons għall-inċidenti u rispons difensibbli għall-inċidenti. Regolatur, awditur tal-klijent, qorti, assiguratur jew awtorità superviżorja mhux se jaċċettaw rikostruzzjoni verbali jekk l-organizzazzjoni ma tistax turi logs ippreservati, timestamps affidabbli, reġistri kkontrollati u chain of custody dokumentata.
Preservazzjoni legali mhijiex “żomm kollox għal dejjem”
Preservazzjoni legali għal inċident ċibernetiku hija sospensjoni formali tat-tħassir jew tar-rimi normali għal reġistri, logs, backups, immaġnijiet, komunikazzjonijiet u evidenza oħra definita li tista’ tkun rilevanti għal investigazzjoni, litigazzjoni, inkjesta regolatorja, awditu jew tilwima kuntrattwali.
L-iżball l-aktar komuni huwa li l-preservazzjoni legali tiġi ttrattata bħala struzzjoni ġenerali: “Tħassar xejn.” Dan joħloq riskju għall-privatezza, għall-ispiża u għall-operat. GDPR ma jisparixxix waqt inċident ċibernetiku. Data personali xorta trid tiġi pproċessata b’mod legali, ġust u trasparenti, għal għanijiet speċifikati, limitata għal dak li huwa meħtieġ u miżmuma biss sakemm ikun meħtieġ. Article 5(2) iżid ir-responsabbiltà, jiġifieri l-organizzazzjoni għandha tkun kapaċi turi dawk id-deċiżjonijiet.
Hawnhekk il-librerija tal-politiki ta’ Clarysec issir prattika. Il-politika għall-SMEs Politika ta’ żamma tad-data u rimi sigur għall-SMEs tgħid:
“Legal Hold u Sospensjoni tat-Tħassir jegħlbu r-rekwiżiti standard taż-żamma u jipprevjenu t-tħassir tad-data.”
Għal organizzazzjonijiet akbar, il-politika Enterprise Politika ta’ żamma u rimi tad-data, Clause 6.4.1, tgħid:
“Jekk jinħareġ legal hold u sospensjoni tat-tħassir (eż. litigazzjoni, investigazzjoni jew awditu pendenti), data li inkella tkun soġġetta għall-qerda għandha tiġi ppreservata lil hinn mill-perjodu normali tagħha ta’ żamma.”
L-istess politika Enterprise tirrikjedi li l-hold ikun:
“Dokumentat u approvat mill-Konsulent Legali u mid-Data Protection Officer (DPO)”
Dan il-mudell ta’ approvazzjoni mhuwiex burokrazija. Huwa l-mekkaniżmu ta’ bilanċ bejn il-preservazzjoni evidenzjarja u r-restrizzjoni tal-privatezza. Il-konsulent legali jikkonferma l-bażi relatata ma’ litigazzjoni, investigazzjoni jew obbligu regolatorju. Id-DPO jikkonferma li l-kamp ta’ applikazzjoni, l-għan, il-kategoriji ta’ data personali, il-kontrolli tal-aċċess u l-estensjoni taż-żamma jibqgħu proporzjonati.
Għal SMEs mingħajr dipartiment legali sħiħ jew funzjoni DPO, l-istess loġika tad-deċiżjoni tista’ titwettaq minn vCISO, sid tal-privatezza, direttur maniġerjali u konsulent estern, sakemm l-awtorizzazzjoni tkun dokumentata, limitata biż-żmien u rieżaminata.
It-tensjoni tal-konformità li kull CISO għandu jsolvi
Wara inċident serju, partijiet interessati differenti jitolbu evidenza differenti. Il-funzjoni legali trid preservazzjoni. Il-privatezza trid minimizzazzjoni. Ir-regolaturi jridu fatti. L-operazzjonijiet iridu restawr. Il-klijenti jridu assigurazzjoni. L-awdituri jridu evidenza oġġettiva.
| Regolament jew ħtieġa | Domanda ewlenija fuq l-evidenza | Implikazzjoni għaż-żamma |
|---|---|---|
| NIS2 | Tipprova l-impatt, is-severità u l-kawża suspettata għar-rappurtar ta’ inċidenti fi stadji | Ippreserva twissijiet, indikaturi ta’ kompromess, data tal-impatt fuq is-servizz, reġistri ta’ tfixkil operattiv u logs tad-deċiżjonijiet |
| DORA | Tappoġġa l-klassifikazzjoni tal-inċident, ir-rappurtar, l-analiżi tal-impatt fuq il-klijenti u r-rieżami tal-kawża ewlenija | Żomm artifacts tekniċi, evidenza tal-assi tal-ICT, briefings tal-maniġment, komunikazzjonijiet mal-fornituri u reġistri tar-rimedju |
| GDPR | Turi l-limitazzjoni tal-għan, il-minimizzazzjoni tad-data, il-limitazzjoni tal-ħażna u s-sigurtà tal-ipproċessar | Iġġustifika ż-żamma tad-data personali, irrestrinġi l-aċċess u ħassar jew anonimize l-evidenza meta titneħħa l-preservazzjoni |
| Litigazzjoni | Tippreżenta evidenza difensibbli u mhux imbagħbsa b’chain of custody ċara | Iffriża data rilevanti taħt preservazzjoni formali u żomm reġistri tal-akkwist, tal-aċċess u tat-trasferiment |
| Kuntratti tal-klijenti | Tipprova l-obbligi ta’ notifika, impatt fuq is-servizz, rimedju u kooperazzjoni | Ippreserva komunikazzjonijiet mal-klijenti, analiżi SLA, rapporti tal-inċidenti u reġistri ta’ rispons kuntrattwali |
Li tipprova timmaniġġja dawn it-talbiet permezz ta’ flussi tax-xogħol separati għall-privatezza, il-liġi, is-SOC u l-awditjar hija riċetta għal kontradizzjoni. ISMS wieħed u unifikat taħt ISO/IEC 27001:2022 jagħmilhom parti minn proċess wieħed ta’ riskju, kontroll u evidenza.
Il-munzell tal-kontrolli għal żamma difensibbli tal-evidenza
Preservazzjoni legali għal inċident ċibernetiku mhijiex kontroll wieħed ISO/IEC 27002:2022. Hija relazzjoni bejn kontrolli.
Il-Zenith Controls: Il-gwida għall-konformità trasversali ta’ Clarysec timmappja l-kontroll ISO/IEC 27002:2022 5.28, Ġbir tal-evidenza, bħala kontroll korrettiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà. Jinsab fi ħdan il-kunċetti taċ-ċibersigurtà Detect u Respond u l-kapaċità operattiva tal-ġestjoni tal-avvenimenti tas-sigurtà tal-informazzjoni.
L-istess gwida Zenith Controls torbot 5.28 mar-rispons għal inċidenti tas-sigurtà tal-informazzjoni, logging u monitoraġġ, protezzjoni tar-reġistri u rappurtar tal-avvenimenti. Il-loġika hija prattika: dawk li jirrispondu għall-inċidenti għandhom bżonn logs u artifacts qabel ma r-rimedju jibdel ix-xena, dawk li jirrappurtaw lir-regolaturi għandhom bżonn fatti affidabbli, u l-investigaturi għandhom bżonn evidenza li ma nbidlitx.
Il-kontroll ISO/IEC 27002:2022 5.33, Protezzjoni tar-reġistri, huwa importanti bl-istess mod. Jappoġġa rekwiżiti legali u ta’ konformità, ġestjoni tal-assi u protezzjoni tal-informazzjoni. Jorbot il-protezzjoni tar-reġistri mal-klassifikazzjoni, backups, rimi sigur, rekwiżiti legali u kuntrattwali, kontroll tal-aċċess u rispons għall-inċidenti. Fil-prattika, il-preservazzjoni legali mhux biss għandha taqbad evidenza. Għandha tipproteġi l-integrità, il-kunfidenzjalità u d-disponibbiltà tar-reġistru tal-evidenza nnifsu.
Għall-logging, il-kontroll ISO/IEC 27002:2022 8.15, Logging, huwa l-pedament. Jorbot ma’ 8.16, Attivitajiet ta’ monitoraġġ, u 8.17, Sinkronizzazzjoni tal-arloġġ. Jekk il-logs mhumiex kompluti, jistgħu jiġu editjati mill-amministraturi, mhumiex sinkronizzati fil-ħin jew jinżammu għal perjodu qasir wisq, il-proċess tal-evidenza jista’ jfalli qabel tibda l-investigazzjoni.
| Ħtieġa tal-evidenza | Relazzjoni mal-kontroll ISO/IEC 27002:2022 | Għaliex hija importanti wara ksur |
|---|---|---|
| Ippreserva artifacts qabel ir-rimedju | 5.28 Ġbir tal-evidenza marbut ma’ 5.26 Rispons għal inċidenti tas-sigurtà tal-informazzjoni | Jipprevjeni lil dawk li jirrispondu milli jeqirdu prova waqt li jrażżnu l-inċident |
| Ipproteġi reġistri tal-investigazzjoni | 5.33 Protezzjoni tar-reġistri marbuta ma’ 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali u 5.15 Kontroll tal-aċċess | Jiżgura li fajls tal-evidenza, rapporti u approvazzjonijiet jibqgħu intatti u ristretti |
| Żomm logs affidabbli | 8.15 Logging marbut ma’ 8.16 Attivitajiet ta’ monitoraġġ u 8.17 Sinkronizzazzjoni tal-arloġġ | Jappoġġa linji taż-żmien tal-avvenimenti, attribuzzjoni, analiżi tal-impatt u rappurtar regolatorju |
| Ibbilanċja l-privatezza | 5.34 Privatezza u protezzjoni tal-PII marbuta mal-logging u mal-protezzjoni tar-reġistri | Jipprevjeni żamma eċċessiva jew żvelar mhux ikkontrollat ta’ data personali |
| Irkupra d-disponibbiltà tal-evidenza | 8.13 Backup tal-informazzjoni marbut mal-protezzjoni tar-reġistri | Jgħin biex jiġu rrestawrati reġistri u logs jekk is-sistemi jiġu korrotti, iċċifrati jew imħassra |
| Ittejjeb wara l-inċident | 5.27 Tagħlim minn inċidenti tas-sigurtà tal-informazzjoni marbut ma’ azzjoni korrettiva | Jibdel il-lessons learned fi trattament tar-riskju, titjib tal-kontrolli u evidenza tal-awditjar |
Il-Zenith Blueprint, fil-fażi Controls in Action, Pass 19, isaħħaħ dan b’lingwaġġ prattiku dwar il-logging:
“Logs li jirreġistraw attivitajiet, eċċezzjonijiet, ħsarat u avvenimenti rilevanti oħra għandhom jiġu prodotti, maħżuna, protetti u analizzati.”
Iwissi wkoll li l-protezzjoni tal-logs tinkludi restrizzjoni tal-aċċess u użu ta’ mekkaniżmi bħal hashing jew ħażna write-once biex jiġi evitat it-tbagħbis. Pass 19 jorbot is-sinkronizzazzjoni tal-arloġġ mal-koerenza forensika, u jispjega li arloġġi sinkronizzati jippermettu li logs minn sistemi differenti jiġu allinjati għall-investigazzjoni.
Responsabbiltà taħt GDPR: ippreserva dak li għandek bżonn, iġġustifika dak li żżomm
GDPR joħloq l-aktar tensjoni viżibbli fiż-żamma tal-evidenza ta’ inċident. It-timijiet tas-sigurtà spiss iridu aktar data. It-timijiet tal-privatezza jridu inqas. Preservazzjoni legali difensibbli tirrikonċilja t-tnejn.
Logs u artifacts jistgħu jinkludu indirizzi IP, IDs tal-utenti, indirizzi tal-email, identifikaturi tal-apparat, reġistri tal-awtentikazzjoni, test ta’ tickets ta’ appoġġ, screenshots, esportazzjonijiet tal-klijenti jew data ta’ kategorija speċjali. Għalhekk il-preservazzjoni tal-evidenza hija pproċessar. In-notifika ta’ preservazzjoni legali għandha tiddokumenta l-bażi legali, l-għan, il-kamp ta’ applikazzjoni, ir-restrizzjonijiet tal-aċċess, id-data tar-rieżami taż-żamma u l-attivatur tar-rimi.
Il-politika SME ta’ Clarysec Politika dwar il-protezzjoni tad-data u l-privatezza għall-SMEs tgħid:
“Għandha tinġabar u tinżamm biss id-data personali minima meħtieġa”
Il-politika Enterprise Politika dwar il-ġbir tal-evidenza u l-forensika torbot b’mod espliċitu l-immaniġġjar tal-evidenza forensika ma’:
“GDPR Article 5, inklużi l-limitazzjoni tal-għan u l-minimizzazzjoni tad-data”
Dan huwa l-prinċipju operattiv. Tippreservax database sħiħa tal-produzzjoni jekk l-evidenza rilevanti hija traċċa ta’ awditjar dejqa, log tal-aċċess, reġistru ta’ query u lista tal-utenti affettwati. Tagħtix lil kull persuna li tirrispondi aċċess għall-evidenza mhux ipproċessata jekk estratti psewdonimizzati jew aċċess ibbażat fuq rwoli jkunu biżżejjed. Żżommx artifacts tal-inċident għal żmien indefinit wara li l-ħtieġa legali, regolatorja u ta’ awditu tkun skadiet.
Reġistru tajjeb ta’ preservazzjoni legali konxju tal-GDPR iwieġeb seba’ mistoqsijiet:
- Liema inċident jew investigazzjoni attivat il-preservazzjoni?
- Liema kategoriji ta’ data personali jistgħu jiġu inklużi?
- Għaliex kull kategorija ta’ evidenza hija meħtieġa?
- Min approva l-preservazzjoni u meta?
- Min jista’ jaċċessa l-evidenza?
- Meta se tiġi rieżaminata l-preservazzjoni?
- Liema proċess ta’ tħassir jew rimi sigur jerġa’ jibda meta titneħħa l-preservazzjoni?
B’dan il-mod iż-żamma tal-evidenza tevita li ssir żamma eċċessiva ta’ data personali.
NIS2: preservazzjoni legali għal rappurtar ta’ inċidenti fi stadji
Għall-organizzazzjonijiet fil-kamp ta’ applikazzjoni, NIS2 ibiddel l-aspettattiva dwar l-evidenza minn “utli internament” għal “meħtieġa għas-superviżjoni.”
NIS2 japplika għal ħafna entitajiet essenzjali u importanti fl-UE, inklużi fornituri ta’ infrastruttura diġitali, fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi ta’ ċentri tad-data, netwerks ta’ twassil tal-kontenut, fornituri ta’ servizzi ta’ fiduċja, fornituri ta’ komunikazzjonijiet elettroniċi, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ta’ sigurtà ġestiti u ċerti fornituri diġitali bħal swieq online, magni tat-tiftix online u pjattaformi ta’ networking soċjali.
Article 21 jirrikjedi miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati, inklużi analiżi tar-riskju, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, żvilupp sigur, evalwazzjoni tal-effettività, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u awtentikazzjoni. Article 20 jagħmel lill-korpi maniġerjali responsabbli għall-approvazzjoni u s-superviżjoni ta’ dawn il-miżuri.
Għall-preservazzjoni legali, il-kwistjoni ewlenija taħt NIS2 hija Article 23. Inċidenti sinifikanti jeħtieġu rappurtar fi stadji: twissija bikrija fi żmien 24 siegħa minn meta l-entità ssir taf, notifika tal-inċident fi żmien 72 siegħa, rapporti intermedji fuq talba u rapport finali mhux aktar tard minn xahar wara n-notifika ta’ 72 siegħa. Ir-rapport finali jeħtieġ deskrizzjoni, severità, impatt, tip probabbli ta’ theddida jew kawża ewlenija, miżuri ta’ mitigazzjoni u impatt transkonfinali fejn applikabbli.
| Stadju tar-rappurtar NIS2 | Evidenza meħtieġa | Azzjoni ta’ preservazzjoni legali |
|---|---|---|
| Twissija bikrija ta’ 24 siegħa | Ħin inizjali tal-identifikazzjoni, attività malizzjuża suspettata, servizz affettwat u impatt transkonfinali possibbli | Iffriża twissijiet tas-SOC, ticket tal-inċident, logs tal-identità u traċċi ta’ awditjar tal-cloud |
| Notifika ta’ 72 siegħa | Severità, impatt, indikaturi ta’ kompromess, tfixkil operattiv u indikaturi ta’ telf finanzjarju | Ippreserva esportazzjonijiet forensiċi, inventarju tal-assi affettwati, IOCs, noti tal-impatt fuq in-negozju u reġistri tal-komunikazzjoni |
| Rapporti intermedji | Status attwali, progress fit-trażżin u mistoqsijiet mill-awtorità | Żomm reġistru ta’ investigazzjoni taħt kontroll tal-verżjoni u log tad-deċiżjonijiet tar-rispons |
| Rapport finali | Kawża ewlenija, deskrizzjoni tal-inċident, severità, impatt, mitigazzjoni u effett transkonfinali | Ippreserva evidenza tal-kawża ewlenija, evidenza ta’ rimedju, lessons learned u traċċa tal-approvazzjoni |
Jekk l-inċident jaffettwa data personali, l-awtoritajiet kompetenti taħt NIS2 jistgħu jikkooperaw mal-awtoritajiet superviżorji tal-GDPR. Dan iżid il-ħtieġa għal narrattiva waħda tal-evidenza li tappoġġa kemm is-superviżjoni taċ-ċibersigurtà kif ukoll ir-responsabbiltà tal-privatezza.
DORA: l-evidenza tar-riskju tal-ICT tmur lil hinn mil-logs tas-sigurtà
Għal entitajiet finanzjarji, DORA huwa r-reġim settorjali tar-reżiljenza operattiva. Japplika mis-17 ta’ Jannar 2025 u jkopri l-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti maġġuri tal-ICT, l-ittestjar tar-reżiljenza, il-qsim tal-informazzjoni u l-ġestjoni tar-riskju tal-ICT minn partijiet terzi. Għal entitajiet finanzjarji li huma wkoll essenzjali jew importanti taħt NIS2, DORA ġeneralment jaħdem bħala l-att legali tal-Unjoni speċifiku għas-settur għar-riskju tal-ICT u r-rappurtar tal-inċidenti.
DORA huwa mfassal biex ikun intensiv fl-evidenza. Article 17 jirrikjedi proċess ta’ ġestjoni tal-inċidenti relatati mal-ICT. Article 18 jittratta l-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku. Article 19 ikopri r-rappurtar ta’ inċidenti maġġuri relatati mal-ICT. Entitajiet finanzjarji għandhom ukoll iżommu arranġamenti ta’ governanza u kontroll, jidentifikaw funzjonijiet kritiċi jew importanti, jiddokumentaw assi u dipendenzi tal-ICT, u jwettqu analiżi tal-kawża ewlenija.
Dan ifisser li preservazzjoni legali taħt DORA għandha tkopri evidenza tar-reżiljenza operattiva, mhux biss artifacts tas-sigurtà. Wara kompromess tal-identità fil-cloud li jaffettwa operazzjonijiet ta’ pagament, il-preservazzjoni tista’ tinkludi logs tal-fornitur tal-identità, istorja ta’ aċċess privileġġjat, logs tal-awditjar tal-cloud, twissijiet SIEM, immaġnijiet tal-endpoint, analiżi tal-impatt fuq tranżazzjonijiet tal-klijenti, reġistri tal-attivazzjoni tal-kontinwità tan-negozju, evidenza ta’ backup u rkupru, komunikazzjonijiet mal-fornituri, briefings lill-korp maniġerjali, analiżi tal-kawża ewlenija u verifika tar-rimedju.
DORA jagħmel ukoll l-evidenza tal-ICT minn partijiet terzi inevitabbli. Articles 28 sa 30 jirrikjedu ġestjoni tar-riskju tal-ICT minn partijiet terzi, reġistri tal-arranġamenti kuntrattwali, diliġenza dovuta, valutazzjoni tar-riskju ta’ konċentrazzjoni u kuntratti bil-miktub bi drittijiet u obbligi. Għal funzjonijiet kritiċi jew importanti, il-kuntratti għandhom jappoġġaw obbligi ta’ notifika u rappurtar mill-fornitur, għajnuna fl-inċidenti, kooperazzjoni mal-awtoritajiet, drittijiet ta’ aċċess, spezzjoni u awditjar, u strateġiji ta’ ħruġ.
Jekk il-fornitur cloud tiegħek, MSP, MSSP, proċessur tal-pagamenti jew dipendenza SaaS iżommu l-logs rilevanti, il-proċess ta’ preservazzjoni legali tiegħek għandu jkun diġà inkorporat fil-kuntratti mal-fornituri. Inkella, waqt inċident maġġuri tista’ tiskopri li t-tieqa standard taż-żamma tal-fornitur tiegħek hija iqsar miċ-ċiklu tal-ħajja tar-rappurtar regolatorju tiegħek.
Kif Clarysec joperazzjonalizza preservazzjoni legali waqt ksur SaaS
Ikkunsidra l-ambjent fintech SaaS ta’ Maria. L-inċident jista’ jinvolvi aċċess mhux awtorizzat għal identifikaturi tal-klijenti, metadata tat-tranżazzjonijiet, sistemi tal-amministraturi u reġistri ta’ SOC esternalizzat. Il-kumpanija sservi istituzzjonijiet finanzjarji tal-UE, tiddependi fuq infrastruttura cloud u tista’ tiffaċċja GDPR, obbligi kuntrattwali taħt DORA u dmirijiet taħt NIS2.
L-ewwel azzjoni mhijiex li jiġi ppreservat kollox. L-ewwel azzjoni hija li tiġi attivata deċiżjoni kkontrollata.
Il-kmandant tal-inċident jibgħat talba għal preservazzjoni legali lill-konsulent legali, lid-DPO jew lir-responsabbli tal-privatezza, lis-CISO u lis-sid tan-negozju. It-talba tinkludi l-ID tal-inċident, id-data u l-ħin, is-sistemi affettwati, il-kategoriji ta’ data suspettati, il-mogħdijiet regolatorji inizjali, il-kategoriji ta’ evidenza proposti u r-riskji immedjati tat-tħassir.
Bl-użu tal-Politika ta’ żamma u rimi tad-data Enterprise, il-preservazzjoni tiġi dokumentata u approvata mill-Konsulent Legali u mid-DPO. Għall-SMEs, il-Politika ta’ żamma tad-data u rimi sigur għall-SMEs tipprovdi r-regola tas-sospensjoni tat-tħassir. L-awtorizzazzjoni tinkludi data ta’ rieżami allinjata mal-milestones tal-investigazzjoni, l-iskadenzi tar-rappurtar regolatorju u r-riskju mistenni ta’ litigazzjoni jew tilwima kuntrattwali. Ma tgħidx “għal dejjem.” Tgħid “sakemm titneħħa b’deċiżjoni awtorizzata wara rieżami.”
Imbagħad, it-tim jiffriża logs u artifacts rilevanti. Il-politika SME Politika tal-illoggjar u l-monitoraġġ għall-SMEs tgħid:
“Il-logs għandhom jitqiegħdu taħt legal hold u sospensjoni tat-tħassir u jiġu protetti kontra alterazzjoni jew tħassir”
It-tim jissospendi t-tħassir għal każijiet SIEM, logs tal-identità, logs tal-awditjar tal-cloud, logs tal-applikazzjonijiet, logs ta’ queries tad-database, avvenimenti WAF u metadata ta’ twissijiet SOC. Logs esportati jinħażnu f’ħażna tal-evidenza ristretta b’hashing, kontroll tal-verżjoni u permessi read-only fejn xieraq.
Ir-regola tal-ġbir hija sempliċi: ippreserva l-evidenza mingħajr ma temenda l-oriġinali. Il-politika SME Politika dwar il-ġbir tal-evidenza u l-forensika għall-SMEs tgħid:
“Għandha dejjem tinħoloq kopja forensika jew esportazzjoni; l-evidenza oriġinali qatt ma għandha tiġi editjata direttament.”
L-inġiniera jistgħu jwettqu rimedju, iżda biss wara li jsiru snapshots, esportazzjonijiet jew kopji forensiċi meħtieġa, sakemm ma jkunx meħtieġ trażżin immedjat biex tiġi evitata ħsara kontinwa. Jekk ir-rimedju ta’ emerġenza jsir l-ewwel, ir-raġuni tiġi dokumentata.
L-istess politika SME tgħid:
“Għandu jinżamm log sempliċi tal-chain of custody (eż. fajl Excel jew dokument mudell) għal kull inċident.”
Għal ambjenti enterprise, il-Politika dwar il-ġbir tal-evidenza u l-forensika, Clause 5.6, tirrikjedi:
“Log tal-chain of custody għandu jakkumpanja kull evidenza fiżika jew diġitali mill-ħin tal-akkwist sal-arkivjar jew trasferiment u għandu jiddokumenta:”
Fil-prattika, il-log tal-chain of custody jirreġistra ID tal-evidenza, deskrizzjoni, sistema sors, min ġabarha, metodu tal-akkwist, valur tal-hash fejn applikabbli, sors tal-ħin, post tal-ħażna, avvenimenti ta’ aċċess, trasferimenti, kopji għall-analiżi u dispożizzjoni finali.
Fl-aħħar, ir-reġistru tal-investigazzjoni nnifsu għandu jiġi protett. Il-politika Enterprise Politika tal-awditjar u l-monitoraġġ tal-konformità tgħid:
“Il-logs tal-awditjar, is-sejbiet u r-rapporti ta’ rimedju kollha għandhom jinżammu, jiġu ċċifrati u protetti kontra t-tbagħbis.”
Dak ir-rekwiżit japplika għal-linja taż-żmien tal-inċident, il-log tad-deċiżjonijiet, in-notifika ta’ preservazzjoni legali, il-komunikazzjonijiet mar-regolatur, il-komunikazzjonijiet mal-klijenti, l-analiżi tal-kawża ewlenija u l-evidenza tar-rimedju.
L-informazzjoni dokumentata li l-awdituri se jispezzjonaw
ISO/IEC 27001:2022 Clause 7.5 tirrikjedi li l-informazzjoni dokumentata meħtieġa mill-ISMS u meħtieġa mill-istandard tkun ikkontrollata. Il-Zenith Blueprint, fil-fażi ISMS Foundation and Leadership, Pass 6, jittraduċi dan f’rekwiżiti prattiċi: id-dokumenti għandu jkollhom identifikazzjoni, format, rieżami, approvazzjoni, kontroll tal-verżjoni, aċċess ikkontrollat, protezzjoni tal-integrità, kontroll tat-tibdil, żamma u dispożizzjoni.
Pass 6 jinnota wkoll li reġistri bħal logs tal-monitoraġġ, rapporti tal-awditjar u fajls ta’ investigazzjoni tal-inċidenti jistgħu jkunu kunfidenzjali u għandhom jinqasmu fuq bażi ta’ ħtieġa ta’ għarfien, b’drittijiet ta’ editjar limitati għal utenti awtorizzati.
Pakkett ta’ evidenza difensibbli għandu jinkludi:
- Notifika u approvazzjoni tal-preservazzjoni legali.
- Klassifikazzjoni tal-inċident u deċiżjoni dwar is-severità.
- Inventarju tal-evidenza.
- Log tal-chain of custody.
- Konferma tal-preservazzjoni tal-logs.
- Immaġni forensika jew reġistri ta’ esportazzjoni.
- Valuri tal-hash jew kontrolli tal-integrità fejn applikabbli.
- Lista tal-aċċess għall-ħażna tal-evidenza.
- Evidenza tar-rappurtar regolatorju.
- Evalwazzjoni tal-privatezza u analiżi tal-impatt fuq id-data personali.
- Talbiet u tweġibiet għall-evidenza mingħand il-fornituri.
- Analiżi tal-kawża ewlenija.
- Evidenza ta’ rimedju u verifika.
- Rieżami tal-preservazzjoni u deċiżjoni ta’ rilaxx.
Aktar ma jkun b’saħħtu l-kontroll tal-informazzjoni dokumentata, aktar ikun faċli l-awditu.
Evidenza tal-fornituri u tal-cloud: il-punt ta’ falliment li ħafna timijiet jitilfu
L-aktar evidenza diffiċli ħafna drabi ma tkunx ġewwa l-organizzazzjoni tiegħek. Tinżamm minn fornitur cloud, pjattaforma SaaS, MSSP, MSP, proċessur tal-pagamenti, fornitur tal-identità jew tim ta’ żvilupp esternalizzat.
NIS2 Article 21 jinkludi sigurtà tal-katina tal-provvista u aspetti tas-sigurtà tar-relazzjonijiet ma’ fornituri diretti jew fornituri tas-servizzi. DORA jmur aktar ’il bogħod għal entitajiet finanzjarji, billi jirrikjedi reġistri ta’ partijiet terzi tal-ICT, diliġenza dovuta, analiżi tar-riskju ta’ konċentrazzjoni u kuntratti b’għajnuna fl-inċidenti, rappurtar mill-fornitur, kooperazzjoni mal-awtoritajiet, drittijiet ta’ awditjar u dispożizzjonijiet ta’ ħruġ għal funzjonijiet kritiċi jew importanti.
NIST Cybersecurity Framework 2.0 jittratta wkoll ir-riskju tal-katina tal-provvista bħala dixxiplina taċ-ċiklu tal-ħajja. Il-Funzjoni Govern tiegħu tinkludi riżultati ta’ ġestjoni tar-riskju tal-fornituri għal strateġija, rwoli, kuntratti, diliġenza dovuta, monitoraġġ, parteċipazzjoni fl-inċidenti u dispożizzjonijiet ta’ ħruġ. CSF Profiles jistgħu jesprimu rekwiżiti taċ-ċibersigurtà fil-mira għall-fornituri, ħaġa utli meta l-ħtiġijiet tal-evidenza għal preservazzjoni legali jiġu tradotti f’termini kuntrattwali.
Il-kuntratti mal-fornituri għandhom jindirizzaw:
- Tipi ta’ logs tas-sigurtà disponibbli għall-klijent.
- Perjodi predefiniti ta’ żamma u għażliet ta’ żamma estiża.
- Proċess ta’ talba għal preservazzjoni ta’ emerġenza.
- Ħin biex tiġi ppreservata evidenza wara talba tal-klijent.
- Formati ta’ esportazzjoni forensika.
- Appoġġ għall-chain of custody.
- Kooperazzjoni mar-regolatur.
- Obbligi ta’ evidenza tas-subprocessors jew sottokuntratturi.
- Restrizzjonijiet fuq il-post tad-data u t-trasferiment.
- Tħassir sigur wara r-rilaxx tal-preservazzjoni.
Il-Zenith Blueprint, fil-fażi Controls in Action, Pass 18, jagħti dixxiplina simili għat-trasferiment ta’ mezzi fiżiċi, billi jirrikjedi iċċifrar, imballaġġ bi evidenza ta’ tbagħbis, traċċar, logs tat-trasport, inventarju tal-mezzi u awditu tar-reġistru. L-istess loġika tapplika għat-trasferimenti ta’ evidenza cloud: ippreserva l-integrità, segwi l-kustodja, irrestrinġi l-aċċess u kkonferma r-riċevuta.
Kif l-awdituri u r-regolaturi se jittestjaw il-proċess ta’ preservazzjoni legali tiegħek
Proċess ta’ preservazzjoni legali jidher differenti skont il-mandat tar-rieżaminatur. Clarysec juża Zenith Controls bħala kumpass ta’ konformità trasversali sabiex l-istess pakkett ta’ evidenza jkun jista’ jissodisfa bosta perspettivi mingħajr xogħol duplikat.
| Perspettiva tal-awditur | X’se jistaqsi l-awditur | Evidenza li Clarysec jipprepara |
|---|---|---|
| Awditur ISO/IEC 27001:2022 | Il-preservazzjoni legali hija parti mill-ISMS, mit-trattament tar-riskju, mill-informazzjoni dokumentata u mill-proċess ta’ rispons għall-inċidenti? | Kamp ta’ applikazzjoni tal-ISMS, rekwiżiti tal-partijiet interessati, Dikjarazzjoni ta’ Applikabbiltà, proċedura tal-inċidenti, politika tal-evidenza, politika taż-żamma u reġistri kkontrollati |
| Rieżaminatur tal-kontrolli ISO/IEC 27002:2022 | Il-ġbir tal-evidenza 5.28, il-protezzjoni tar-reġistri 5.33 u l-logging 8.15 huma implimentati u konnessi? | Inventarju tal-evidenza, log tal-chain of custody, protezzjoni kontra t-tbagħbis, settings taż-żamma tal-logs, prova tas-sinkronizzazzjoni tal-arloġġ u kontrolli tal-aċċess |
| Awditur tal-GDPR jew rieżaminatur DPO | Inżammet data personali biss fejn meħtieġ u taħt għan u bażi legali dokumentati? | Evalwazzjoni tal-privatezza, raġunament tal-minimizzazzjoni tad-data, restrizzjonijiet tal-aċċess, rieżami taż-żamma u prova tat-tħassir jew tar-rimi sigur |
| Rieżaminatur superviżorju NIS2 | L-entità tista’ tappoġġa rappurtar ta’ 24 siegħa, 72 siegħa u finali b’fatti affidabbli? | Linja taż-żmien tal-inċident, evalwazzjoni tas-severità, IOCs, evidenza tal-impatt, analiżi transkonfinali, approvazzjonijiet tal-maniġment u komunikazzjonijiet |
| Rieżaminatur tar-riskju tal-ICT taħt DORA | L-inċidenti huma rreġistrati, ikklassifikati, eskalati, irrappurtati, analizzati għall-kawża ewlenija u mdaħħla lura fil-ġestjoni tar-riskju tal-ICT? | Reġistru tal-inċidenti, kriterji ta’ klassifikazzjoni, rappurtar lill-korp maniġerjali, analiżi tal-kawża ewlenija, verifika tar-rimedju u evidenza tal-fornituri |
| Valutatur NIST CSF 2.0 | Ir-riżultati tal-governanza, riskju, fornituri, detect, respond u recover huma integrati fi profil wieħed? | Profili attwali u fil-mira, pjan tal-lakuni, rekwiżiti tal-fornituri, evidenza tal-monitoraġġ u lessons learned tal-inċident |
| Awditur COBIT 2019 jew ISACA | L-objettivi tal-governanza, ir-responsabbiltà, il-kwalità tal-informazzjoni, il-monitoraġġ tal-kontrolli u l-evidenza tal-assigurazzjoni huma affidabbli? | RACI, sjieda tal-kontrolli, Rieżami tal-Ġestjoni, traċċa ta’ awditjar, traċċar tal-kwistjonijiet, għeluq tar-rimedju u metriċi tal-prestazzjoni |
L-awditur ISO se jiffoka fuq il-konformità u l-evidenza oġġettiva. Ir-rieżaminatur tal-GDPR se jiffoka fuq in-neċessità, il-limitazzjoni tal-għan u r-responsabbiltà li tista’ tintwera. Ir-rieżaminatur NIS2 se jiffoka fuq il-fatti tar-rappurtar ta’ inċidenti sinifikanti u r-responsabbiltà tal-maniġment. Ir-rieżaminatur DORA se jiffoka fuq il-governanza tar-riskju tal-ICT, l-immaniġġjar ta’ inċidenti maġġuri, dipendenzi fuq partijiet terzi u lessons learned. Awditur fl-istil COBIT 2019 jew ISACA se jiffoka fuq governanza, disinn tal-kontroll, tħaddim tal-kontroll u assigurazzjoni fuq il-kwalità tal-informazzjoni.
Pakkett wieħed ta’ evidenza jista’ jaqdi lil kulħadd, jekk ikun iddisinjat hekk.
Lista ta’ kontroll prattika għal preservazzjoni legali ta’ inċident ċibernetiku għall-2026
Uża din il-lista ta’ kontroll qabel l-inċident serju li jmiss, mhux matulu.
| Mistoqsija ta’ kontroll | Tweġiba mistennija |
|---|---|
| Min jista’ joħroġ preservazzjoni legali għal inċident ċibernetiku? | Il-konsulent legali u d-DPO jew is-sid tal-privatezza japprovaw, bis-CISO u l-kmandant tal-inċident jibdew il-proċess |
| X’jattiva preservazzjoni? | Inċident serju suspettat tas-sigurtà, ksur ta’ data personali, possibbiltà ta’ rappurtar regolatorju, riskju ta’ litigazzjoni, talba mill-infurzar tal-liġi, awditu tal-klijent jew tilwima kuntrattwali |
| Liema evidenza hija fil-kamp ta’ applikazzjoni? | Logs, twissijiet, immaġnijiet forensiċi, snapshots, tickets, komunikazzjonijiet, analiżi tal-impatt, reġistri tal-fornituri, deċiżjonijiet tal-maniġment u evidenza ta’ rimedju |
| Kif tiġi protetta l-evidenza? | Aċċess ristrett, iċċifrar, protezzjoni kontra t-tbagħbis, hashing fejn xieraq, ħażna immutabbli jew read-only u aċċess immonitorjat |
| Kif tinżamm il-chain of custody? | Ir-reġistru tal-evidenza jirreġistra l-akkwist, min ġabar, il-ħin, il-metodu, il-ħażna, it-trasferiment, l-aċċess u d-dispożizzjoni |
| Kif tiġi mmaniġġjata l-minimizzazzjoni taħt GDPR? | Il-kamp ta’ applikazzjoni huwa limitat għall-evidenza meħtieġa, l-aċċess għad-data personali huwa ristrett, jiġu stabbiliti dati ta’ rieżami u t-tħassir jerġa’ jibda wara r-rilaxx |
| Kif jiġu inklużi l-fornituri? | Il-kuntratti jirrikjedu preservazzjoni tal-evidenza, għajnuna fl-inċidenti, kooperazzjoni għall-awditjar u estensjoni taż-żamma fuq talba |
| Kif jiġi mmaniġġjat ir-rilaxx? | Rieżami awtorizzat jiddetermina jekk il-preservazzjoni għandhiex tkompli, titnaqqas jew titneħħa, u jerġa’ jibda r-rimi sigur |
Din il-lista ta’ kontroll issir aktar b’saħħitha meta tiġi inkorporata fil-Pjan ta’ Trattament tar-Riskju tal-ISMS, fir-rekwiżiti tas-sigurtà tal-fornituri, fir-runbooks tar-rispons għall-inċidenti, fl-arkitettura tal-logging u fil-governanza tal-privatezza.
Minn paniku wara ksur għal reżiljenza lesta għall-awditjar
It-telefonata tal-4 ta’ filgħodu dejjem se tkun stressanti. Ma għandhiex għalfejn issir kaos.
Proċess matur ta’ preservazzjoni legali għal inċidenti ċibernetiċi jagħti lil kull parti interessata mogħdija kkontrollata. Il-funzjoni legali tikseb preservazzjoni difensibbli. Il-privatezza tikseb minimizzazzjoni u rieżami. Is-CISO jikseb integrità tal-evidenza. Id-DPO jikseb responsabbiltà. Il-bord jikseb fatti affidabbli. Ir-rieżaminaturi ta’ NIS2, DORA u GDPR jiksbu evidenza oġġettiva minflok spjegazzjonijiet improvizzati.
Il-metodoloġija ta’ 30 pass ta’ Clarysec ma tittrattax il-preservazzjoni legali bħala memo legali separat. Tittrattaha bħala kapaċità operattiva tal-ISMS.
Fil-Zenith Blueprint, Pass 6 jibni l-librerija tal-informazzjoni dokumentata, inklużi regoli ta’ żamma u dispożizzjoni. Pass 19 isaħħaħ il-logging u s-sinkronizzazzjoni tal-arloġġ sabiex l-investigazzjonijiet ikunu jistgħu jirrikostruwixxu linji taż-żmien. Pass 23 joperazzjonalizza l-ġbir tal-evidenza u l-chain of custody. Pass 18 iżid dixxiplina fl-immaniġġjar tal-mezzi fejn l-evidenza tiċċaqlaq fiżikament jew bejn partijiet.
Fil-Zenith Controls, Clarysec jgħaqqad il-kontrolli sottostanti ISO/IEC 27002:2022 sabiex il-klijenti jaraw kif il-ġbir tal-evidenza jiddependi fuq logging, monitoraġġ, rispons għall-inċidenti, protezzjoni tar-reġistri, kontroll tal-aċċess, backups, privatezza u rekwiżiti legali.
Fil-librerija tal-politiki ta’ Clarysec, l-ankri prattiċi tal-fluss tax-xogħol huma diġà definiti: Politika ta’ żamma u rimi tad-data, Politika ta’ żamma tad-data u rimi sigur għall-SMEs, Politika dwar il-ġbir tal-evidenza u l-forensika, Politika dwar il-ġbir tal-evidenza u l-forensika għall-SMEs, Politika tal-illoggjar u l-monitoraġġ għall-SMEs, Politika dwar il-protezzjoni tad-data u l-privatezza għall-SMEs u Politika tal-awditjar u l-monitoraġġ tal-konformità.
Jekk il-pjan tar-rispons għall-inċidenti tiegħek jgħid “ippreserva l-evidenza” iżda ma jiddefinixxix l-awtorità tal-preservazzjoni legali, il-kamp ta’ applikazzjoni tal-evidenza, is-sospensjoni taż-żamma, il-chain of custody, il-preservazzjoni mill-fornituri, il-minimizzazzjoni taħt GDPR u l-kriterji tar-rilaxx, għadu mhux lest għall-awditjar.
Ibni l-proċess qabel il-ksur. Clarysec jista’ jgħinek toħloq kapaċità difensibbli ta’ preservazzjoni legali u żamma tal-evidenza għal inċidenti ċibernetiċi bl-użu ta’ Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur, Zenith Controls: Il-gwida għall-konformità trasversali u mudelli ta’ politiki ta’ Clarysec inklużi l-Politika ta’ żamma u rimi tad-data, Politika dwar il-ġbir tal-evidenza u l-forensika, Politika tal-awditjar u l-monitoraġġ tal-konformità, Politika tal-illoggjar u l-monitoraġġ għall-SMEs, Politika dwar il-protezzjoni tad-data u l-privatezza għall-SMEs u Politika dwar il-ġbir tal-evidenza u l-forensika għall-SMEs.
Niżżel it-toolkits, itlob rieżami tal-politika minn Clarysec jew ibbukkja evalwazzjoni ta’ tħejjija għaż-żamma tal-evidenza qabel l-awditu li jmiss tiegħek, it-talba superviżorja li jmiss jew ir-rieżami maġġuri tas-sigurtà minn klijent.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
