Evidenza DMARC għal ISO 27001, NIS2, DORA u GDPR

Jibda b’direttur tal-finanzi li jibgħat email lis-CISO fis-07:42.

“Bgħatnieh aħna dan?”

Il-messaġġ jidher perfett. L-istess logo, l-istess footer, l-istess ton bħat-tim tal-kontijiet. Jgħid li nbidlu d-dettalji bankarji. L-isem muri tal-mittent huwa korrett. Id-dominju mhuwiex typo li jidher simili. L-attakkant qed jiffalsifika d-dominju reali.

Sat-08:15, it-tim tas-sigurtà jikkonferma l-verità skomda: SPF jeżisti iżda huwa wiesa’ wisq, DKIM huwa attivat biss għall-pjattaforma ewlenija tal-posta elettronika, diversi għodod tal-marketing jibagħtu posta mhux iffirmata, DMARC għadu fil-modalità ta’ monitoraġġ, u ħadd ma jista’ jsib l-aħħar rieżami tal-politika MTA-STS tad-dominju. L-organizzazzjoni għandha “sigurtà tal-posta elettronika” f’slide deck, iżda l-evidenza hija mxerrda bejn screenshots tad-DNS, portali tal-fornituri, tickets antiki ta’ Jira u spreadsheet li kienet ta’ persuna li telqet is-sena l-oħra.

Sal-10:30, il-funzjoni legali tistaqsi jekk setgħetx kienet involuta data personali tal-klijenti. Il-konformità tistaqsi jekk dan huwiex rilevanti għar-rappurtar taħt NIS2. Klijent tas-servizzi finanzjarji jistaqsi jekk il-kumpanija tistax turi kontrolli tar-riskju tal-ICT allinjati ma’ DORA. L-Awditjar Intern jistaqsi kif dan jiġi mmappjat ma’ ISO/IEC 27001:2022. Il-bord jistaqsi mistoqsija aktar sempliċi: “Għaliex seta’ xi ħadd jimpersonana?”

Dik il-mistoqsija hija r-raġuni għaliex fl-2026 l-awtentikazzjoni tal-posta elettronika m’għadhiex suġġett niċċa tad-DNS. DMARC, SPF, DKIM, MTA-STS u TLS-RPT huma kontrolli li jipproduċu evidenza. Inaqqsu r-riskju ta’ phishing u ta’ falsifikazzjoni tad-dominju, iżda joħolqu wkoll l-artifacts li jistennew l-awdituri: deċiżjonijiet ta’ politika, sjieda, konfigurazzjonijiet bażi tekniċi, responsabbiltà tal-fornituri, logs, reġistri tal-monitoraġġ, eċċezzjonijiet, approvazzjonijiet tat-tibdil u attivaturi tar-rispons għall-inċidenti.

Il-problema tal-konformità mhijiex, “Għandna DMARC?” Hija, “Nistgħu nippruvaw li l-awtentikazzjoni tal-posta elettronika hija governata, immonitorjata, rieżaminata u marbuta mar-riskju?”

Il-lakuna fl-evidenza li l-awdituri jibqgħu jsibu

It-tieni xenarju huwa daqstant komuni. L-awditu estern għaddej f’kumpanija fintech li qed tikber b’rata mgħaġġla. L-awditur jgħaddi mill-kontinwità tan-negozju għall-ġestjoni tal-inċidenti u jistaqsi lis-CISO dwar kompromess tal-posta elettronika tan-negozju.

Is-CISO jispjega li l-kumpanija għandha filtri kontra l-phishing u taħriġ ta’ għarfien dwar is-sigurtà kull tliet xhur.

L-awditur iċaqlaq rasu, imbagħad jistaqsi għal xi ħaġa aktar speċifika: “Urini l-governanza madwar DMARC, SPF u DKIM. Għandi bżonn nara s-sjieda, ir-reġistri tat-tibdil, il-valutazzjoni tar-riskju, l-evidenza tal-monitoraġġ u kif dan jintrabat mal-iġjene ċibernetika ta’ NIS2 u mal-qafas tal-ġestjoni tar-riskju tal-ICT ta’ DORA.”

Il-kamra tiskot.

It-tim tekniku implimenta DMARC xhur ilu, iżda l-ISMS m’għandux referenza ta’ politika, m’għandux pakkett ċentrali ta’ evidenza, m’għandux rabta mar-Reġistru tar-Riskji u m’għandux pjan direzzjonali approvat għall-infurzar. Il-kontroll jista’ jeżisti teknikament, iżda huwa inviżibbli għall-governanza.

Din hija l-lakuna fl-evidenza.

Programm matur ta’ awtentikazzjoni tal-posta elettronika jwieġeb sitt mistoqsijiet tal-awditjar:

1. Liema dominji u sottodominji jinsabu fil-kamp ta’ applikazzjoni?
2. Min huwa sid kull dominju, żona DNS, fluss tal-posta u servizz li jibgħat posta elettronika?
3. Liema sistemi huma permessi jibagħtu f’isem l-organizzazzjoni?
4. Liema mekkaniżmi ta’ awtentikazzjoni huma applikati, immonitorjati u rieżaminati?
5. Kif jiġu approvati l-eċċezzjonijiet, kif jiġi aċċettat ir-riskju u kif jingħalqu?
6. Liema evidenza turi li l-kontroll opera matul iż-żmien?

ISO/IEC 27001:2022 jagħmel dan kwistjoni ta’ sistema ta’ ġestjoni. Klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem il-kuntest, ir-rekwiżiti tal-partijiet interessati, il-limiti tal-kamp ta’ applikazzjoni, l-interfaċċi u d-dipendenzi. L-awtentikazzjoni tal-posta elettronika tmisshom kollha. Ir-reġistratur tad-dominju tiegħek jista’ jkun fornitur. Id-DNS jista’ jkun ospitat f’infrastruttura cloud. Is-CRM tiegħek, il-pjattaforma tal-pagi, l-għodda tal-fatturi, il-fornitur tal-awtomazzjoni tal-marketing u s-sistema tal-appoġġ lill-klijenti jistgħu kollha jibagħtu posta elettronika bl-użu tal-marka tiegħek.

Klawżoli 5.1 sa 5.3 jagħmlu dan kwistjoni ta’ tmexxija. It-tmexxija għolja għandha tassenja r-responsabbiltajiet u tintegra s-sigurtà tal-informazzjoni fil-proċessi tan-negozju. Deċiżjoni DMARC minn p=none għal p=quarantine jew p=reject tista’ taffettwa l-komunikazzjonijiet mal-klijenti, in-notifiki tal-finanzi, l-onboarding tar-Riżorsi Umani, il-kampanji tal-bejgħ u l-fornituri esternalizzati.

Klawżoli 6.1.1 sa 6.1.3 jeħtieġu valutazzjoni tar-riskju, trattament tar-riskju, għażla ta’ kontrolli u Dikjarazzjoni ta’ Applikabbiltà. Il-falsifikazzjoni tad-dominju għandha tiġi trattata bħala xenarju ta’ riskju, b’SPF, DKIM, DMARC, MTA-STS u TLS-RPT magħżula bħala parti mit-trattament fejn xieraq. Klawżola 8.1 imbagħad teħtieġ ippjanar u kontroll operattiv, inkluż kontroll fuq proċessi, prodotti u servizzi pprovduti esternament li huma rilevanti għall-ISMS.

X’jipprova kull kontroll tal-awtentikazzjoni tal-posta elettronika

SPF, DKIM, DMARC, MTA-STS u TLS-RPT jaħdmu flimkien, iżda jipprovaw affarijiet differenti.

SPF u DKIM huma sinjali ta’ identità u integrità. DMARC huwa s-saff tal-politika li jibdel dawk is-sinjali f’azzjoni min-naħa tar-riċevitur. MTA-STS u TLS-RPT jappoġġaw trasport sigur tal-posta elettronika billi jgħinu biex jiġu evitati riskji ta’ downgrade u ta’ konfigurazzjoni ħażina.

Għall-awdituri, il-valur aktar profond huwa evidenza ripetibbli. Ir-rapporti aggregati ta’ DMARC juru min qed jibgħat bħala d-dominju tiegħek. Ir-rapporti TLS juru jekk it-twassil iċċifrat hux qed ifalli. It-tickets tat-tibdil juru jekk teżistix governanza. Ir-reġistri tal-fornituri juru jekk id-dipendenzi tal-katina tal-provvista humiex magħrufa.

Daħħal id-dominji fir-reġistru tal-assi l-ewwel

L-awtentikazzjoni tal-posta elettronika ma tistax tiġi governata jekk id-dominji ma jiġux trattati bħala assi.

Il-Politika tal-Ġestjoni tal-Assi għall-SMEs Politika tal-Ġestjoni tal-Assi - SME tinkludi b’mod espliċitu d-dominji u l-identitajiet relatati mal-posta elettronika fil-kamp ta’ applikazzjoni:

“Kredenzjali u servizzi diġitali: ismijiet tad-dominji, ċertifikati diġitali, ċwievet API, kontijiet tal-posta elettronika, logins tal-cloud”

Mit-taqsima “Kamp ta’ applikazzjoni”, klawżola tal-politika 2.2.4.

Għal organizzazzjonijiet akbar, il-Politika tal-Ġestjoni tal-Assi Politika tal-Ġestjoni tal-Assi tapplika l-istess loġika:

“Assi loġiċi: ismijiet tad-dominji, liċenzji, kontijiet tal-utenti, konfigurazzjonijiet bażi”

Mit-taqsima “Kamp ta’ applikazzjoni”, klawżola tal-politika 2.2.5.

Jekk id-dominji huma assi, jistgħu jkollhom sidien, klassifikazzjonijiet ta’ kritikalità, ċikli ta’ rieżami, dipendenzi fuq fornituri, kontrolli tat-tibdil u postijiet tal-evidenza. Jekk huma biss entrati DNS, normalment jibqgħu mhux immaniġġjati sakemm tinkiser xi ħaġa.

Reġistru tad-dominji u tal-mittenti tal-posta elettronika lest għall-awditjar għandu jinkludi:

Dan ir-reġistru jappoġġa l-kontroll tal-Anness A ta’ ISO/IEC 27001:2022 A.5.9 Inventarju tal-informazzjoni u assi assoċjati oħra, A.8.9 Ġestjoni tal-konfigurazzjoni, A.5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri u A.5.23 Sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud. Jappoġġa wkoll ir-riżultati tal-inventarju ta’ NIST CSF 2.0 għal assi, servizzi, fornituri u kritikalità.

Uża l-ġestjoni tat-tibdil għal deċiżjonijiet dwar DNS u l-fluss tal-posta

L-awtentikazzjoni tal-posta elettronika tinkiser meta l-ġestjoni tat-tibdil tkun dgħajfa. Tim tal-bejgħ iżid pjattaforma ta’ outreach. Ir-Riżorsi Umani jadottaw għodda għat-traċċar tal-kandidati. Il-finanzi jibdlu s-softwer tal-fatturi. Il-marketing jgħaddi għal fornitur ġdid tas-servizzi tal-posta elettronika. Kull deċiżjoni tan-negozju toħloq mittent ġdid.

Il-Politika tal-Ġestjoni tat-Tibdil korporattiva Politika tal-Ġestjoni tat-Tibdil tagħmel ir-rekwiżit tal-evidenza espliċitu:

“It-talbiet kollha għal tibdil, ir-rieżamijiet, l-approvazzjonijiet u l-evidenza ta’ sostenn għandhom jiġu rreġistrati fis-Sistema ta’ Ġestjoni tat-Tibdil ċentralizzata.”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.

Ticket robust tat-tibdil għall-awtentikazzjoni tal-posta elettronika għandu jinkludi:

• Ġustifikazzjoni tan-negozju għall-mittent il-ġdid.
• Dominju jew sottodominju affettwat.
• Impatt fuq SPF include jew IP tal-mittent.
• Selector DKIM u sjieda taċ-ċavetta.
• Riżultat tat-test tal-allinjament DMARC.
• Impatt fuq MTA-STS jew MX, jekk ikun hemm.
• Klassifikazzjoni tad-dejta tal-messaġġi mibgħuta.
• Referenza għar-rieżami tas-sigurtà tal-fornitur.
• Pjan ta’ treġġigħ lura.
• Approvazzjoni mis-sid tad-dominju u mis-sigurtà.
• Evidenza tat-test wara l-implimentazzjoni.
• Data tar-rieżami jew tal-iskadenza għal settings temporanji.

Din hija d-differenza bejn “amministratur DNS biddel reġistru” u “l-ISMS ikkontrolla bidla rilevanti għar-riskju.”

Pjan prattiku ta’ 30 jum għall-evidenza ta’ DMARC, SPF, DKIM u MTA-STS

CISO m’għandux bżonn proġett ta’ trasformazzjoni ta’ sitt xhur biex itejjeb il-maturità tal-evidenza. Sprint iffukat ta’ 30 jum jista’ jipproduċi konfigurazzjoni bażi difensibbli.

Ġimgħa 1: Skopri d-dominji, il-mittenti u s-sjieda

Esporta d-dominji kollha mir-reġistratur u mill-fornitur DNS. Iġbed data dwar il-fluss tal-posta mill-gateway tal-posta elettronika, CRM, helpdesk, pjattaforma tal-marketing, sistema tal-kontijiet u servizzi ta’ notifika cloud. Ibni r-reġistru tad-dominji u tal-mittenti.

Inkludi wkoll dominji pparkjati u reġistrazzjonijiet difensivi. Id-dominji pparkjati spiss jiġu injorati, iżda xorta jistgħu jiġu abbużati jekk DMARC ikun nieqes jew dgħajjef.

Ġimgħa 2: Irranġa l-allinjament ta’ SPF u DKIM

Irrevedi SPF għal mekkaniżmi permissivi żżejjed, includes inattivi, fornituri duplikati u riskji tal-limitu ta’ lookup. Għal DKIM, identifika kull mittent li ma jiffirmax il-posta jew li jiffirma b’dominju li ma jallinjax ma’ DMARC.

Tapprovax mittent SaaS sempliċement għax il-posta qed taħdem. Approvalu għax:

• Il-fornitur huwa mniżżel fir-reġistru tal-mittenti.
• Il-konfigurazzjoni ta’ SPF u DKIM hija dokumentata.
• Is-selectors DKIM huma inventarjati.
• Is-sjieda taċ-ċwievet u l-aspettattivi tar-rieżami huma ċari.
• Id-dokumentazzjoni tas-sigurtà tal-fornitur tappoġġa immaniġġjar sigur tal-posta.
• Is-sid tan-negozju jaċċetta kwalunkwe eċċezzjoni temporanja.

Hawnhekk NIS2 u DORA jsiru prattiċi. NIS2 Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati, inklużi analiżi tar-riskju, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u manutenzjoni siguri, evalwazzjoni tal-effettività, iġjene ċibernetika, kontrolli kriptografiċi, kontroll tal-aċċess u komunikazzjonijiet siguri. DORA Article 28 jeħtieġ li l-entitajiet finanzjarji jimmaniġġjaw ir-riskju ta’ partijiet terzi tal-ICT bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT, inklużi diliġenza dovuta, aspettattivi kuntrattwali, monitoraġġ u ppjanar tal-ħruġ.

Jekk fornitur tal-marketing jibgħat posta elettronika mhux awtentikata bl-użu tad-dominju tiegħek, din mhijiex biss kwistjoni ta’ marketing. Hija riskju tal-fornitur, riskju ta’ impersonazzjoni tal-marka u potenzjalment ħsara lill-klijenti.

Ġimgħa 3: Mexxi DMARC lejn l-infurzar

Il-modalità ta’ monitoraġġ hija utli, iżda p=none permanenti mingħajr pjan direzzjonali approvat hija evidenza dgħajfa.

Pjan difensibbli għall-infurzar ta’ DMARC għandu jinkludi:

• Rieżami tal-linja bażi tar-rapporti aggregati.
• Identifikazzjoni ta’ sorsi leġittimi u mhux leġittimi.
• Rimedjazzjoni ta’ sorsi leġittimi li qed ifallu.
• Validazzjoni tan-negozju tal-flussi kritiċi tal-posta.
• Żieda gradwali fil-politika għal pct=25, pct=50, pct=100.
• Tranżizzjoni minn p=none għal p=quarantine.
• Tranżizzjoni għal p=reject meta r-riskju u t-tħejjija tan-negozju jippermettu.
• Immaniġġjar separat għas-sottodominji b’sp=.
• Reġistru tal-Eċċezzjonijiet b’dati tal-iskadenza.
• Approvazzjoni tal-maniġment għar-riskju residwu.

Dan jappoġġa ISO/IEC 27001:2022 Klawżola 6.1.3 trattament tar-riskju u Klawżola 8.1 ippjanar u kontroll operattiv. Jagħti wkoll lill-Awditjar Intern traċċa ċara: deċiżjoni, implimentazzjoni, monitoraġġ, eċċezzjoni, approvazzjoni u rieżami.

Ġimgħa 4: Ivverifika MTA-STS, TLS-RPT u l-monitoraġġ

MTA-STS spiss jintilef għax ma jwaqqafx il-falsifikazzjoni tal-marka fuq posta li toħroġ bl-istess mod kif jagħmel DMARC. Iżda huwa rilevanti ħafna għall-komunikazzjonijiet siguri u għall-protezzjoni tal-informazzjoni fi tranżitu. Jgħid lis-servers kompatibbli li jibagħtu li l-posta lid-dominju tiegħek għandha titwassal permezz ta’ TLS u jivverifika l-identità MX.

Il-Politika tal-Kontrolli Kriptografiċi korporattiva Politika tal-Kontrolli Kriptografiċi tistabbilixxi konfigurazzjoni bażi ċara għas-sigurtà tat-trasport:

“Sigurtà tat-Trasport: TLS 1.2 jew ogħla (preferibbilment TLS 1.3)”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.5.

Għall-SMEs, il-Politika tal-Kontrolli Kriptografiċi għall-SMEs Politika tal-Kontrolli Kriptografiċi - SME tinkludi b’mod espliċitu t-trażmissjoni tal-posta elettronika:

“Data trażmessa permezz tal-posta elettronika, VPNs korporattivi u portali tal-web”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.4.

L-ittestjar għandu jinkludi verifika MX TLS, disponibbiltà tal-fajl tal-politika MTA-STS, saħħa taċ-ċertifikat HTTPS, rieżami tar-rapporti TLS-RPT u reġistri tat-trijaġġ għall-fallimenti.

Immappja l-awtentikazzjoni tal-posta elettronika mal-Anness A ta’ ISO/IEC 27001:2022

Zenith Controls: The Cross-Compliance Guide ta’ Clarysec Zenith Controls jgħin biex jgħaqqad evidenza teknika mal-aspettattivi tal-awditjar bejn oqfsa differenti. Mhuwiex sett separat ta’ kontrolli. Huwa gwida għall-immappjar u għall-awditjar għall-kontrolli ta’ ISO/IEC 27001:2022 u standards relatati.

Għall-kontroll tal-Anness A ta’ ISO/IEC 27001:2022 A.5.14 Trasferiment tal-informazzjoni, Zenith Controls jispjega r-relazzjoni mal-kontrolli kriptografiċi:

“It-trasferiment sigur tal-informazzjoni jiddependi fuq kontrolli kriptografiċi kif dettaljat f’8.24.”

Dik hija r-relazzjoni bejn il-posta elettronika tan-negozju, DKIM, MTA-STS u TLS. Il-posta elettronika hija kanal għat-trasferiment tal-informazzjoni. DKIM jappoġġa l-awtentiċità u l-integrità tal-messaġġi. MTA-STS u TLS jappoġġaw il-protezzjoni tat-trasport.

Għall-kontroll tal-Anness A A.8.24 Użu tal-kontrolli kriptografiċi, Zenith Controls jorbot il-kontrolli kriptografiċi mat-trasferiment tal-informazzjoni, il-privatezza, il-protezzjoni tal-PII, il-klassifikazzjoni u l-ġestjoni tal-vulnerabbiltajiet. Għall-kontrolli tal-Anness A A.8.15 Illoggjar u A.8.16 Attivitajiet ta’ monitoraġġ, il-gwida torbot logs u monitoraġġ mal-ġestjoni tal-avvenimenti, il-ġbir tal-evidenza, ir-rieżami, l-analiżi u l-awditabbiltà.

Il-Politika tal-Illoggjar u l-Monitoraġġ għall-SMEs Politika tal-Illoggjar u l-Monitoraġġ - SME tiddikjara:

“L-illoggjar għandu jkun attivat u kkonfigurat fejn disponibbli”

Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.5.1.1.

Il-Politika tal-Illoggjar u l-Monitoraġġ korporattiva Politika tal-Illoggjar u l-Monitoraġġ tinkludi:

“Komunikazzjonijiet esterni u attivaturi tar-regoli tal-firewall”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.6.

Għall-awtentikazzjoni tal-posta elettronika, il-komunikazzjonijiet esterni għandhom jinkludu avvenimenti tal-gateway tal-posta, ipproċessar tar-rapporti aggregati ta’ DMARC, xejriet ta’ falliment DKIM, infrastruttura sors suspettuża, fallimenti TLS-RPT u tentattivi ta’ spoofing li jattivaw it-trijaġġ tal-inċidenti.

Il-Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint ipoġġi dan fil-validazzjoni prattika tal-kontrolli. Fil-fażi Controls in Action, Pass 20, jgħid lit-timijiet jivverifikaw is-sigurtà tas-servizzi tan-network:

“Elenka s-servizzi interni u esterni kollha tan-network (DNS, VPN, SMTP, DHCP, gateways API, eċċ.).

✓ Għal kull wieħed, ikkonferma li jużaw protokolli siguri (eż., DNSSEC, TLS 1.2+, SSH minflok Telnet).
✓ Irrevedi kif l-aċċess għal kull servizz huwa kkontrollat (eż., IP whitelists, awtentikazzjoni, ċertifikati).
✓ Jekk huma mmaniġġjati minn partijiet terzi (eż., DNS, SD-WAN, VPN ospitat), irrevedi l-klawżoli tas-sigurtà fl-SLA jew fil-kuntratt tal-fornitur. Aġġorna r-Reġistru tas-Servizzi tiegħek u nnota fejn jinsabu r-responsabbiltajiet tas-sigurtà, interni jew esterni.”

Applikat għall-posta elettronika, dan isir pjan ta’ ħidma għal DNS, SMTP, TLS, gateways tal-posta ospitati, mittenti tal-fornituri u limiti tar-responsabbiltà.

Immappjar bejn oqsma ta’ konformità: pakkett wieħed ta’ evidenza, ħafna obbligi

L-istess pakkett ta’ evidenza jista’ jappoġġa ISO/IEC 27001:2022, NIS2, DORA, GDPR u NIST CSF 2.0 jekk ikun strutturat kif suppost.

NIS2 huwa partikolarment rilevanti għal entitajiet essenzjali u importanti, u għal ċerti kategoriji ta’ infrastruttura diġitali u fornituri diġitali. Article 20 jagħmel il-governanza taċ-ċibersigurtà responsabbiltà tal-korp maniġerjali, filwaqt li Article 21 jistabbilixxi l-linja bażi tal-ġestjoni tar-riskju. L-evidenza tal-awtentikazzjoni tal-posta elettronika tgħin turi li l-komunikazzjonijiet siguri, ir-relazzjonijiet mal-fornituri, l-immaniġġjar tal-inċidenti, l-evalwazzjoni tal-effettività u l-iġjene ċibernetika huma operattivi, mhux teoretiċi.

Għall-entitajiet finanzjarji, DORA ilu japplika mis-17 ta’ Jannar 2025. Articles 5 u 6 jeħtieġu responsabbiltà tal-korp maniġerjali u qafas dokumentat tal-ġestjoni tar-riskju tal-ICT. Article 17 jeħtieġ proċessi biex jinstabu, jiġu mmaniġġjati, irreġistrati, klassifikati, eskalati u rimedjati inċidenti relatati mal-ICT. Article 28 jagħmel il-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT responsabbiltà formali. Fornituri tal-posta elettronika, pjattaformi tal-marketing, sistemi ta’ notifika tal-ħlas u għodod ta’ komunikazzjoni mal-klijenti kollha jistgħu jsiru parti minn dik il-katina ta’ dipendenza tal-ICT.

Għal GDPR, il-mistoqsija ewlenija hija jekk il-posta elettronika tintużax biex tiġi pproċessata data personali. Article 5 jinkludi l-integrità, il-kunfidenzjalità u r-responsabbiltà. Article 32 jeħtieġ miżuri tekniċi u organizzattivi xierqa. Jekk fatturi, messaġġi tar-Riżorsi Umani, avviżi tal-kontijiet, tickets ta’ appoġġ jew emails ta’ onboarding ikun fihom data personali, l-awtentikazzjoni tal-posta elettronika u s-sigurtà tat-trasport isiru parti mill-evidenza tas-sigurtà tal-ipproċessar.

Rispons għall-inċidenti: meta r-rapporti jsiru twissija bikrija

Ir-rapporti aggregati ta’ DMARC mhumiex biss evidenza ta’ konformità. Huma data ta’ twissija bikrija. Żieda f’daqqa f’awtentikazzjoni falluta minn infrastruttura mhux familjari tista’ tindika spoofing attiv, shadow IT, konfigurazzjoni ħażina minn fornitur jew mittent kompromess.

Taħt NIS2 Article 23, entitajiet essenzjali u importanti għandhom jinnotifikaw inċidenti sinifikanti mingħajr dewmien mhux ġustifikat, bl-użu ta’ rappurtar f’fażijiet li jinkludi twissija bikrija, notifika tal-inċident u rappurtar finali. Mhux kull tentattiv ta’ spoofing huwa notifikabbli, iżda l-organizzazzjoni għandha tkun kapaċi tevalwa s-severità, it-tfixkil operattiv, it-telf finanzjarju, l-impatt transkonfinali u l-ħsara lir-riċevituri.

Taħt DORA Article 17, entitajiet finanzjarji għandhom jiddefinixxu u jimplimentaw proċess għall-ġestjoni ta’ inċidenti relatati mal-ICT, jirreġistraw inċidenti u theddid ċibernetiku sinifikanti, jidentifikaw il-kawżi ewlenin, jużaw indikaturi ta’ twissija bikrija, jikklassifikaw skont is-severità u l-kritikalità tas-servizz, jassenjaw rwoli, jiddefinixxu komunikazzjonijiet u jeskalaw inċidenti maġġuri. DORA Article 19 imbagħad jittratta r-rappurtar ta’ inċidenti maġġuri relatati mal-ICT.

Għal GDPR, il-mistoqsija hija jekk l-avveniment ikkawżax qerda, telf, alterazzjoni, żvelar mhux awtorizzat ta’, jew aċċess għal data personali, b’mod aċċidentali jew illegali. Email iffalsifikata li tqarraq bil-klijenti biex jissottomettu data personali lil attakkant tista’ tattiva evalwazzjoni ta’ ksur ta’ data personali, anki jekk is-sistemi interni ma jkunux ġew kompromessi.

Il-Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità korporattiva Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità tispjega għaliex evidenza dixxiplinata hija importanti:

“Biex tiġġenera evidenza difensibbli u traċċa ta’ awditjar b’appoġġ għal mistoqsijiet regolatorji, proċeduri legali jew talbiet ta’ assigurazzjoni tal-klijenti.”

Mit-taqsima “Objettivi”, klawżola tal-politika 3.4.

Il-Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità - SME iżżid rekwiżit dwar il-kwalità tal-evidenza:

“Il-metadata (eż., min ġabarha, meta u minn liema sistema) għandha tiġi dokumentata.”

Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.3.

Għalhekk fajl ta’ investigazzjoni DMARC għandu jiddokumenta s-sors tar-rapport, il-ħin tal-ġbir, l-analist, id-dominji affettwati, l-IPs suspettati tal-mittent, ir-riżultati tal-awtentikazzjoni, l-evalwazzjoni tal-impatt fuq in-negozju, id-deċiżjonijiet meħuda u l-approvazzjoni tal-għeluq.

X’se jitolbu l-awdituri

Awdituri differenti jużaw lingwa differenti, iżda l-evidenza tikkoinċidi.

Stenna mistoqsijiet prattiċi:

• Uri r-rapporti DMARC għall-aħħar kwart.
• Uri kif ġew rieżaminati.
• Uri l-eċċezzjoni għal dan il-mittent li qed ifalli.
• Uri min approva din il-bidla SPF.
• Uri jekk is-selectors DKIM humiex inventarjati u rieżaminati.
• Uri kif MTA-STS jiġi ttestjat wara bidliet fil-gateway tal-posta.
• Uri kif avvenimenti ta’ spoofing jidħlu fit-trijaġġ tal-inċidenti.
• Uri kif mittenti tal-fornituri jitneħħew mat-terminazzjoni tal-kuntratt.

Lista qasira ta’ kontroll għall-awditjar intern tal-2026

Uża din il-lista ta’ kontroll bħala punt tat-tluq għall-awditjar intern, għall-ittestjar tal-kontrolli jew għal Rieżami tal-Evidenza tal-Awtentikazzjoni tal-Posta Elettronika.

• Id-dominji u s-sottodominji kollha huma elenkati fir-Reġistru tal-Assi.
• Dominji pparkjati u difensivi għandhom kopertura DMARC.
• Kull mittent awtorizzat għandu sid tan-negozju u sid tekniku.
• Ir-reġistri SPF jiġu rieżaminati għal includes inattivi u kamp ta’ applikazzjoni eċċessiv.
• DKIM huwa attivat għal mittenti leġittimi fejn appoġġat.
• Is-selectors DKIM huma inventarjati u rieżaminati.
• DMARC huwa implimentat għal dominji root u sottodominji rilevanti.
• DMARC għandu pjan direzzjonali għall-infurzar, mhux monitoraġġ indefinit.
• Ir-rapporti aggregati ta’ DMARC jiġu rieżaminati skont cadence definita.
• MTA-STS huwa kkonfigurat għad-dominji tal-posta deħlin fejn applikabbli.
• Ir-rapporti TLS-RPT jinġabru u jsirilhom trijaġġ.
• Bidliet fl-awtentikazzjoni tal-posta elettronika jsegwu l-ġestjoni tat-tibdil.
• L-onboarding tal-fornituri jinkludi rekwiżiti għall-bgħit tal-posta elettronika.
• L-offboarding tal-fornituri jneħħi SPF includes, selectors DKIM u permessi tal-bgħit.
• L-eċċezzjonijiet għandhom sidien tar-riskju, dati tal-iskadenza u kontrolli kumpensatorji.
• Żidiet f’daqqa fl-ispoofing u fallimenti tal-awtentikazzjoni jidħlu fir-rispons għall-inċidenti.
• L-evidenza tinkludi metadata, sors, data, min ġabarha u sistema.
• Il-maniġment jirċievi metriċi u aġġornamenti tar-riskju perjodiċi.

Il-Zenith Blueprint, fażi tal-Ġestjoni tar-Riskju, Pass 14, jirrakkomanda l-ħolqien ta’ tabelli ta’ mmappjar regolatorju għall-obbligi applikabbli:

“Għal kull regolament, jekk applikabbli, tista’ toħloq tabella sempliċi ta’ mmappjar (tista’ tkun appendiċi f’rapport) li telenka r-rekwiżiti ewlenin tas-sigurtà tar-regolament u l-kontrolli/politiki korrispondenti fl-ISMS tiegħek. Dan mhuwiex obbligatorju f’ISO 27001, iżda huwa eżerċizzju intern utli biex jiġi żgurat li xejn ma waqa’ bejn ix-xquq. Jimpressjona wkoll lill-awdituri/valutaturi li m’intix qed timmaniġġja s-sigurtà f’vakwu iżda li int konxju tal-kuntest legali.”

Għall-awtentikazzjoni tal-posta elettronika, dik it-tabella ssir il-pont bejn ir-realtà teknika tad-DNS u l-assigurazzjoni fil-livell tal-bord.

Ibdel l-awtentikazzjoni tal-posta elettronika f’evidenza lesta għall-awditjar

Il-klijenti tiegħek forsi qatt ma jistaqsu jekk ir-reġistru SPF tiegħek għandux sintassi perfetta. Se jistaqsu jekk tistax tipproteġi l-marka tiegħek, tnaqqas ir-riskju ta’ phishing, tassigura komunikazzjonijiet, timmaniġġja fornituri u tipprova li l-kontrolli tiegħek jaħdmu.

Clarysec jgħin lill-organizzazzjonijiet ibiddlu l-awtentikazzjoni tal-posta elettronika minn settings tekniċi fraġli għal sistema ta’ kontroll lesta għall-awditjar. Il-pass prattiku li jmiss huwa Rieżami ffukat tal-Evidenza tal-Awtentikazzjoni tal-Posta Elettronika:

1. Ibni r-reġistru tad-dominji u tal-mittenti.
2. Immappja l-istatus ta’ SPF, DKIM, DMARC, MTA-STS u TLS-RPT.
3. Identifika fornituri, mittenti shadow u eċċezzjonijiet.
4. Oħloq pjan direzzjonali għall-infurzar ta’ DMARC.
5. Ivverifika l-evidenza tal-ġestjoni tat-tibdil, l-illoggjar u r-rispons għall-inċidenti.
6. Rabat l-evidenza ma’ ISO/IEC 27001:2022, NIS2, DORA, GDPR u NIST CSF 2.0.
7. Ipprepara pakkett ta’ evidenza lest għall-awdituri bl-użu ta’ Zenith Blueprint, Zenith Controls u l-politiki rilevanti ta’ Clarysec.

Jekk l-organizzazzjoni tiegħek qed tipprepara għaċ-ċertifikazzjoni ISO/IEC 27001:2022, tħejjija għal NIS2, assigurazzjoni DORA, rieżamijiet tar-responsabbiltà taħt GDPR jew kwestjonarji tas-sigurtà tal-klijenti, ibda bil-kontrolli li l-attakkanti jabbużaw minnhom bl-aktar mod viżibbli: id-dominji tiegħek, il-mittenti tiegħek u l-katina ta’ fiduċja tal-posta elettronika tiegħek.

Niżżel il-Zenith Blueprint, uża Zenith Controls għall-immappjar bejn oqsma ta’ konformità, u wettaq Rieżami tal-Evidenza tal-Awtentikazzjoni tal-Posta Elettronika ta’ 30 jum qabel ma l-inċident ta’ spoofing jew it-talba għall-awditjar li jmiss iġiegħlek tiftaħ il-konverżazzjoni.