Evidenza DORA TLPT immappjata ma’ kontrolli ISO 27001

Huma s-07:40 ta’ Tnejn filgħodu u s-CISO ta’ istituzzjoni ta’ pagamenti ta’ daqs medju qed iħares lejn tliet verżjonijiet tal-istess mistoqsija skomda.

Il-bord irid ikun jaf jekk l-organizzazzjoni tistax tibqa’ topera waqt qtugħ ikkawżat minn ransomware fil-portal tal-pagamenti tal-klijenti. Ir-regolatur irid prova li l-ittestjar tar-reżiljenza operattiva diġitali mhuwiex eżerċizzju fuq PowerPoint. L-awditjar intern irid traċċa ċara mill-obbligi DORA għar-riskju tal-ICT, il-kontrolli ISO 27001, ir-riżultati tat-testijiet, il-pjanijiet ta’ rimedju, l-evidenza tal-fornituri, u l-approvazzjoni formali tal-maniġment.

Is-CISO għandu rapport tar-red team. Is-SOC għandu screenshots tal-allerti. It-tim tal-Infrastruttura għandu log tar-restawr minn backup. It-tim Legali għandu tracker tat-tħejjija għal DORA. It-tim tal-Akkwist għandu attestazzjonijiet mingħand fornitur tal-cloud.

Xejn minn dan ma huwa konness.

Hawnhekk ifallu ħafna programmi DORA TLPT u programmi ta’ ttestjar tar-reżiljenza. Mhux għax l-ittestjar ikun dgħajjef, iżda għax l-evidenza tkun frammentata. Meta awditur jistaqsi, “Urini kif dan it-test jipprova r-reżiljenza ta’ funzjoni kritika jew importanti,” it-tweġiba ma tistax tkun folder mimli screenshots. Għandha tkun katina ta’ evidenza difensibbli.

Dik il-katina hija fejn ISMS allinjat ma’ ISO/IEC 27001:2022 isir b’saħħtu. ISO 27001 jagħti struttura lill-kamp ta’ applikazzjoni, lill-valutazzjoni tar-riskju, lill-għażla tal-kontrolli, lid-Dikjarazzjoni ta’ Applikabbiltà, lill-kontroll operattiv, lill-awditjar intern, lir-rieżami tal-maniġment, u lit-titjib kontinwu. DORA jipprovdi l-pressjoni speċifika għas-settur. Il-metodoloġija u l-għodod ta’ cross-compliance ta’ Clarysec jgħaqqdu t-tnejn f’mudell wieħed ta’ evidenza lest għall-awditjar.

DORA TLPT huwa test ta’ governanza, mhux biss simulazzjoni ta’ attakk

L-ittestjar ta’ penetrazzjoni mmexxi mit-theddid, jew TLPT, jista’ faċilment jinftiehem ħażin. Teknikament, jista’ jidher bħal eżerċizzju sofistikat ta’ red team: intelligence dwar it-theddid, mogħdijiet realistiċi ta’ attakk, stealth, tentattivi ta’ sfruttament, xenarji ta’ moviment laterali, u verifika tar-rispons tal-blue team.

Għal DORA, il-kwistjoni aktar profonda hija r-reżiljenza operattiva diġitali. Tista’ l-entità finanzjarja tiflaħ għal, tirrispondi għal, u tirkupra minn tfixkil sever tal-ICT li jaffettwa proċessi tan-negozju? Tista’ tipprova li funzjonijiet kritiċi jew importanti jibqgħu fi ħdan it-tolleranzi tal-impatt? Jista’ l-maniġment juri li r-riskju tal-ICT huwa ggovernat, iffinanzjat, ittestjat, rimedjat, u mtejjeb?

Article 1 ta’ DORA jistabbilixxi qafas uniformi tal-UE għas-sigurtà tan-network u tas-sistemi tal-informazzjoni li jappoġġjaw il-proċessi tan-negozju tal-entitajiet finanzjarji. Ikopri l-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti maġġuri relatati mal-ICT, l-ittestjar tar-reżiljenza operattiva diġitali, il-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, ir-rekwiżiti kuntrattwali obbligatorji ma’ fornituri tal-ICT, is-sorveljanza ta’ fornituri terzi kritiċi tal-ICT, u l-kooperazzjoni superviżorja. DORA japplika mis-17 ta’ Jannar 2025.

Għal organizzazzjonijiet koperti wkoll minn NIS2, DORA jaġixxi bħala l-att legali tal-Unjoni speċifiku għas-settur għal rekwiżiti taċ-ċibersigurtà li jikkoinċidu. F’termini prattiċi, l-entitajiet finanzjarji għandhom jagħtu prijorità lil DORA għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti, l-ittestjar, u r-riskju ta’ partijiet terzi tal-ICT fejn ir-reġimi jikkoinċidu, filwaqt li xorta jifhmu l-aspettattivi ta’ NIS2 għall-istrutturi tal-grupp, il-fornituri, u s-servizzi diġitali mhux finanzjarji.

DORA jqiegħed ukoll ir-responsabbiltà fil-quċċata. Article 5 jirrikjedi li l-korp maniġerjali jiddefinixxi, japprova, jissorvelja, u jimplimenta arranġamenti tar-riskju tal-ICT. Dan jinkludi l-istrateġija tar-reżiljenza operattiva diġitali, il-politika tal-kontinwità tan-negozju tal-ICT, il-pjanijiet ta’ rispons u rkupru, il-pjanijiet ta’ awditjar, il-baġits, il-politiki dwar partijiet terzi tal-ICT, il-kanali ta’ rappurtar, u għarfien suffiċjenti dwar ir-riskju tal-ICT permezz ta’ taħriġ regolari.

Għalhekk il-mistoqsija tal-awditjar mhijiex sempliċement, “Għamiltu TLPT?”

Hija:

• It-TLPT kien marbut ma’ funzjonijiet kritiċi jew importanti?
• Kien awtorizzat, b’kamp ta’ applikazzjoni definit, sigur, u evalwat għar-riskju?
• Ġew inklużi fornituri, dipendenzi tal-cloud, u servizzi ICT esternalizzati fejn rilevanti?
• It-test iġġenera evidenza ta’ sejbien, rispons, rkupru, u tagħlimiet miksuba?
• Is-sejbiet ġew konvertiti fi trattament tar-riskju, rimedju ttraċċat, retesting, u rappurtar lill-maniġment?
• Id-Dikjarazzjoni ta’ Applikabbiltà spjegat liema kontrolli tal-Anness A ta’ ISO 27001 intgħażlu biex jiġi ġestit ir-riskju?

Huwa għalhekk li Clarysec jittratta l-evidenza DORA TLPT bħala problema ta’ evidenza tal-ISMS, mhux biss bħala konsenja ta’ test ta’ penetrazzjoni.

Ibni s-sinsla tal-evidenza ISO 27001 qabel jibda t-test

ISO 27001 jirrikjedi li organizzazzjoni tistabbilixxi, timplimenta, iżżomm, u ttejjeb kontinwament ISMS li jippreserva l-kunfidenzjalità, l-integrità, u d-disponibbiltà permezz ta’ proċess ta’ ġestjoni tar-riskju. Clauses 4.1 sa 4.4 jirrikjedu li l-organizzazzjoni tifhem il-kwistjonijiet interni u esterni, il-partijiet interessati, l-obbligi legali u regolatorji, l-interfaċċi, id-dipendenzi, u mbagħad tiddokumenta l-kamp ta’ applikazzjoni tal-ISMS.

Għal entità rregolata minn DORA, dan il-pass tad-definizzjoni tal-kamp ta’ applikazzjoni għandu jaqbad b’mod espliċitu l-funzjonijiet kritiċi jew importanti, l-assi tal-ICT, il-pjattaformi cloud, l-operazzjonijiet esternalizzati, is-sistemi ta’ pagament, il-portali tal-klijenti, is-servizzi tal-identità, il-pjattaformi ta’ logging, l-ambjenti ta’ rkupru, u l-fornituri terzi ta’ servizzi tal-ICT. Jekk il-kamp ta’ applikazzjoni tat-TLPT ma jimmappjax lura għall-kamp ta’ applikazzjoni tal-ISMS, it-traċċa tal-awditjar tkun diġà dgħajfa.

ISO 27001 Clauses 6.1.1, 6.1.2 u 6.1.3, flimkien ma’ Clauses 8.2 u 8.3, jirrikjedu proċess ta’ valutazzjoni tar-riskju u trattament tar-riskju. Ir-riskji għandhom jiġu identifikati kontra l-kunfidenzjalità, l-integrità, u d-disponibbiltà. Is-sidien tar-riskju għandhom jiġu assenjati. Il-probabbiltà u l-konsegwenza għandhom jiġu evalwati. Il-kontrolli għandhom jintgħażlu u jitqabblu mal-Anness A. Ir-riskju residwu għandu jiġi aċċettat mis-sidien tar-riskju.

Dan huwa l-pont bejn DORA u ttestjar lest għall-awditjar.

Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur ta’ Clarysec Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskju, Pass 13, jiddeskrivi b’mod ċar dan ir-rwol ta’ traċċabbiltà:

Is-SoA hija effettivament dokument ta’ konnessjoni: torbot il-valutazzjoni/trattament tar-riskju tiegħek mal-kontrolli attwali li għandek. Meta timliha, tiċċekkja wkoll darb’oħra jekk insejtx xi kontrolli.

Għal DORA TLPT, id-Dikjarazzjoni ta’ Applikabbiltà m’għandhiex tkun artefatt statiku taċ-ċertifikazzjoni. Għandha tispjega għaliex kontrolli bħas-sigurtà tal-fornituri, il-ġestjoni tal-inċidenti, it-tħejjija tal-ICT għall-kontinwità tan-negozju, il-logging, il-monitoraġġ, il-ġestjoni teknika tal-vulnerabbiltajiet, il-backups, l-iżvilupp sigur, u l-ittestjar tas-sigurtà huma applikabbli għax-xenarju tar-reżiljenza.

Xenarju prattiku tar-riskju jista’ jaqra hekk:

“Kompromess ta’ kredenzjali privileġġjati ta’ fornitur tal-identità jippermetti lil attakkant jaċċessa sistemi ta’ amministrazzjoni tal-ipproċessar tal-pagamenti, ibiddel konfigurazzjonijiet tar-routing, u jfixkel funzjoni kritika ta’ pagament, u b’hekk jikkawża qtugħ fis-servizz, obbligi ta’ rappurtar regolatorju, ħsara lill-klijenti, u dannu reputazzjonali.”

Dak ix-xenarju wieħed jista’ jmexxi l-kamp ta’ applikazzjoni tat-TLPT, il-każijiet ta’ użu għas-sejbien, l-involviment tal-fornituri, l-eżerċizzju ta’ rkupru, ir-rappurtar lill-bord, u s-sett ta’ evidenza.

Il-Zenith Blueprint jirrakkomanda wkoll li t-traċċabbiltà regolatorja ssir espliċita:

Agħmel referenzi inkroċjati mar-regolamenti: Jekk ċerti kontrolli jiġu implimentati speċifikament biex ikun hemm konformità ma’ GDPR, NIS2, jew DORA, tista’ tinnota dan jew fir-Reġistru tar-Riskji (bħala parti mill-ġustifikazzjoni tal-impatt tar-riskju) jew fin-noti tas-SoA.

Dan il-parir huwa sempliċi, iżda jibdel il-konverżazzjoni tal-awditjar. Minflok tgħid lil awditur li DORA ġie kkunsidrat, l-organizzazzjoni tista’ turi fejn jidher DORA fir-reġistru tar-riskji, fis-SoA, fil-programm ta’ ttestjar, fis-sett ta’ politiki, u fir-rieżami tal-maniġment.

Immappja l-ittestjar DORA ma’ kontrolli ISO 27001 li jagħrfu l-awdituri

Article 6 ta’ DORA jistenna qafas dokumentat tal-ġestjoni tar-riskju tal-ICT integrat fil-ġestjoni ġenerali tar-riskju. L-Anness A ta’ ISO 27001 jagħti l-katalgu tal-kontrolli li jagħmel dan operattiv.

Għal DORA TLPT u ttestjar tar-reżiljenza, dawn il-kontrolli tal-Anness A ta’ ISO/IEC 27001:2022 huma partikolarment importanti:

Zenith Controls: Il-gwida tal-cross-compliance ta’ Clarysec Zenith Controls tgħin lill-organizzazzjonijiet jevitaw li jittrattaw dawn il-kontrolli bħala oġġetti iżolati f’lista ta’ kontroll. Tgħaqqad il-kontrolli ISO/IEC 27002:2022 ma’ attributi, oqsma, kapaċitajiet operattivi, aspettattivi tal-awditjar, u mudelli bejn oqfsa differenti.

Pereżempju, Zenith Controls jikklassifika l-kontroll ISO/IEC 27002:2022 5.30, it-tħejjija tal-ICT għall-kontinwità tan-negozju, bħala “Korrettiv”, allinjat ma’ “Disponibbiltà”, assoċjat mal-kunċett taċ-ċibersigurtà “Rispons”, u mqiegħed fid-dominju “Reżiljenza”. Dik il-klassifikazzjoni hija utli meta tispjega lill-awdituri għaliex eżerċizzju ta’ rkupru mhuwiex biss operazzjoni tal-IT, iżda kontroll tar-reżiljenza b’rwol definit fl-ambjent tal-kontroll.

Zenith Controls jikklassifika wkoll il-kontroll 8.29, Ittestjar tas-Sigurtà fl-Iżvilupp u l-Aċċettazzjoni, bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità, u d-disponibbiltà, b’kapaċitajiet operattivi fis-sigurtà tal-applikazzjonijiet, fl-assigurazzjoni tas-sigurtà tal-informazzjoni, u fis-sigurtà tas-sistema u tan-network. Għal sejbiet TLPT li jittraċċaw lura għal dgħufija fid-disinn tal-applikazzjoni, imġiba mhux sigura tal-API, fluss dgħajjef ta’ awtentikazzjoni, jew verifika insuffiċjenti, dan huwa l-perkors tal-kontroll lejn il-governanza tal-iżvilupp sigur.

Il-kontroll 5.35, Rieżami Indipendenti tas-Sigurtà tal-Informazzjoni, huwa importanti wkoll. Jappoġġja sfida indipendenti, assigurazzjoni tal-governanza, u titjib korrettiv. Timijiet interni jistgħu jikkoordinaw l-ittestjar, iżda evidenza lesta għall-awditjar teħtieġ rieżami, eskalazzjoni, u sorveljanza lil hinn min-nies li bnew jew operaw is-sistemi ttestjati.

Ipproteġi s-sistema waqt li tittestjaha

Suppożizzjoni perikoluża fl-ittestjar tar-reżiljenza hija li l-ittestjar huwa awtomatikament ta’ ġid. Fir-realtà, ittestjar intrużiv jista’ joħloq qtugħ fis-servizz, jesponi data sensittiva, iniġġes il-logs, jattiva difiżi awtomatizzati, jikser sessjonijiet tal-klijenti, jew iwassal lill-fornituri biex jinvokaw proċeduri ta’ emerġenza.

Il-Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming ta’ Clarysec Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming tagħti lill-organizzazzjonijiet mudell ta’ governanza għal eżekuzzjoni sigura. Clause 6.1 tgħid:

Tipi ta’ testijiet: Il-programm ta’ ttestjar tas-sigurtà għandu jinkludi, bħala minimu: (a) skannjar tal-vulnerabbiltajiet, li jikkonsisti fi skans awtomatizzati ta’ kull ġimgħa jew kull xahar tan-networks u l-applikazzjonijiet biex jiġu identifikati vulnerabbiltajiet magħrufa; (b) ittestjar ta’ penetrazzjoni, li jikkonsisti f’ittestjar manwali fil-fond ta’ sistemi jew applikazzjonijiet speċifiċi minn testers b’ħiliet biex jiġu identifikati dgħufijiet kumplessi; u (c) eżerċizzji ta’ red-teaming, li jikkonsistu f’simulazzjonijiet ibbażati fuq xenarji ta’ attakki reali, inkluża l-inġinerija soċjali u tattiki oħra, biex jiġu ttestjati l-kapaċitajiet ġenerali tal-organizzazzjoni għas-sejbien u r-rispons.

Għal TLPT, l-element tar-red-teaming huwa ovvju, iżda l-valur għall-awditjar jiġi mid-disinn tal-programm. Skannjar tal-vulnerabbiltajiet, ittestjar ta’ penetrazzjoni, eżerċizzji ta’ red team, eżerċizzji ta’ reżiljenza, u retesting għandhom jiffurmaw ċiklu, mhux ġabra ta’ testijiet skonnessi.

Clause 6.2 tal-istess politika tindirizza l-eżekuzzjoni sigura:

Kamp ta’ applikazzjoni u regoli ta’ impenn: Għal kull test jew eżerċizzju, l-STC għandu jiddefinixxi l-kamp ta’ applikazzjoni, inklużi s-sistemi u l-firxiet IP fil-kamp ta’ applikazzjoni, il-metodi ta’ ttestjar permessi, l-objettivi, il-ħin, u t-tul. Ir-regoli ta’ impenn għandhom jiġu dokumentati. Pereżempju, sistemi sensittivi operattivament jistgħu jiġu ddeżinjati bħala ta’ monitoraġġ biss biex jiġi evitat tfixkil, u kwalunkwe ttestjar fil-produzzjoni għandu jinkludi proċeduri ta’ treġġigħ lura u waqfien. Miżuri ta’ sigurtà, bħal twieqi ta’ ħin definiti u kanali ta’ komunikazzjoni, għandhom jiġu stabbiliti biex jiġi evitat qtugħ mhux intenzjonat tas-servizz.

Dan jimmappja direttament mal-Zenith Blueprint, il-fażi Kontrolli fl-Azzjoni, Pass 21, li jiffoka fuq il-kontroll 8.34 tal-Anness A ta’ ISO 27001, Protezzjoni tas-Sistemi tal-Informazzjoni waqt l-Ittestjar tal-Awditjar. Il-Zenith Blueprint iwissi li awditi, testijiet ta’ penetrazzjoni, rieżamijiet forensiċi, u evalwazzjonijiet operattivi jistgħu jinvolvu aċċess elevat, għodod intrużivi, jew bidliet temporanji fl-imġiba tas-sistema. Jenfasizza l-awtorizzazzjoni, il-kamp ta’ applikazzjoni, it-twieqi ta’ ħin, l-approvazzjoni mis-sid tas-sistema, it-treġġigħ lura, il-monitoraġġ, u l-ġestjoni sigura tad-data tat-test.

Il-pakkett ta’ evidenza lest għall-awditjar għandu jinkludi:

• Mandat u objettivi tat-TLPT
• Sommarju tal-intelligence dwar it-theddid u ġustifikazzjoni tax-xenarju
• Funzjonijiet kritiċi jew importanti fil-kamp ta’ applikazzjoni
• Sistemi, firxiet IP, identitajiet, fornituri, u ambjenti fil-kamp ta’ applikazzjoni
• Esklużjonijiet u sistemi ta’ monitoraġġ biss
• Regoli ta’ impenn
• Valutazzjoni tar-riskju tal-ittestjar fil-produzzjoni
• Proċeduri ta’ treġġigħ lura u waqfien
• Mudell ta’ notifika tas-SOC, inkluż dak li jiġi żvelat u dak li jinżamm lura
• Approvazzjonijiet legali, tal-privatezza, u tal-fornituri
• Evidenza tal-ħolqien u r-revoka ta’ kontijiet tat-test
• Post ta’ ħażna sigur għall-artefatti tat-test u l-logs

DORA TLPT li ma jistax juri awtorizzazzjoni sigura u kontroll tal-attività tat-test jista’ jikxef lakuni fir-reżiljenza, iżda joħloq ukoll lakuni fil-governanza.

Ibdel l-output tat-TLPT fi trattament tar-riskju

L-aktar falliment komuni wara t-test huwa l-problema tar-rapport tar-red team li jibqa’ fuq l-ixkaffa. Jiġi kkunsinnat rapport ta’ kwalità għolja, jitqassam, jiġi diskuss, u mbagħad bil-mod jitlef l-enerġija. Is-sejbiet jibqgħu miftuħa. Il-kontrolli kumpensatorji ma jiġux dokumentati. Ir-riskji aċċettati jkunu informali. Ir-retesting qatt ma jsir.

Il-Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming tagħmel dan inaċċettabbli. Clause 6.6 tgħid:

Rimedju tas-sejbiet: Il-vulnerabbiltajiet jew id-dgħufijiet kollha identifikati għandhom jiġu dokumentati f’rapport tas-sejbiet bi klassifikazzjonijiet tas-severità. Malli jirċievu r-rapport, is-sidien tas-sistema huma responsabbli biex joħolqu pjan ta’ rimedju b’dati ta’ skadenza; pereżempju, sejbiet kritiċi għandhom jiġu rimedjati fi żmien 30 jum u sejbiet ta’ severità għolja fi żmien 60 jum, skont il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches tal-organizzazzjoni. L-STC għandu jsegwi l-progress tar-rimedju. Għandu jsir retesting biex jiġi kkonfermat li kwistjonijiet kritiċi ġew solvuti jew mitigati b’mod adegwat.

Clause 6.7 iżżid is-saff tal-governanza:

Rappurtar: Għandu jinħareġ rapport formali fi tmiem kull test. Għall-ittestjar ta’ penetrazzjoni, ir-rapport għandu jinkludi sommarju eżekuttiv, metodoloġija, u sejbiet dettaljati b’evidenza ta’ sostenn u rakkomandazzjonijiet. Għall-eżerċizzji ta’ red-teaming, ir-rapport għandu jiddettalja x-xenarji, liema mogħdijiet ta’ attakk irnexxew, x’ġie skopert mill-Blue Team, u tagħlimiet miksuba dwar lakuni fis-sejbien u r-rispons. Is-CISO għandu jippreżenta riżultati mqassra u l-istatus tar-rimedju lill-maniġment għoli u, fejn rilevanti, jinkludihom fir-rapport annwali tas-sigurtà lill-Bord tad-Diretturi.

Dan huwa allinjat mal-gwida ta’ trattament tar-riskju ta’ ISO/IEC 27005:2022: agħżel għażliet ta’ trattament, iddetermina kontrolli mill-Anness A ta’ ISO 27001 u rekwiżiti speċifiċi għas-settur, ibni pjan ta’ trattament tar-riskju, assenja persuni responsabbli, iddefinixxi skadenzi, segwi l-istatus, ikseb approvazzjoni mis-sid tar-riskju, u ddokumenta l-aċċettazzjoni tar-riskju residwu.

Kull sejba sinifikanti tat-TLPT għandha ssir waħda minn erba’ affarijiet: azzjoni ta’ rimedju, titjib tal-kontroll, aċċettazzjoni formali tar-riskju, jew rekwiżit ta’ retest.

L-għan mhuwiex li jiġu prodotti aktar dokumenti. L-għan huwa li kull dokument jispjega d-deċiżjoni li jmiss.

L-ittestjar tar-reżiljenza għandu jipprova l-irkupru, mhux biss is-sejbien

TLPT b’suċċess jista’ juri li s-SOC skopra traffiku command-and-control, imblokka moviment laterali, u eskala b’mod korrett. Dan huwa ta’ valur, iżda l-ittestjar tar-reżiljenza ta’ DORA jmur lil hinn. Jistaqsi jekk l-organizzazzjoni tistax tkompli jew tirkupra s-servizzi tan-negozju.

Il-Zenith Blueprint, il-fażi Kontrolli fl-Azzjoni, Pass 23, jispjega l-kontroll 5.30, Tħejjija tal-ICT għall-Kontinwità tan-Negozju, b’lingwaġġ li kull CISO għandu juża mal-bord:

Mill-perspettiva tal-awditjar, dan il-kontroll spiss jiġi ttestjat bi frażi waħda: Urini. Urini l-aħħar riżultat tat-test. Urini d-dokumentazzjoni tal-irkupru. Urini kemm dam biex sar failover u failback. Urini l-evidenza li dak li ġie mwiegħed jista’ jitwassal.

Dak l-istandard ta’ “Urini” huwa d-differenza bejn maturità tal-politika u reżiljenza operattiva.

Il-Politika dwar il-Kontinwità tan-Negozju u l-Politika dwar l-Irkupru minn Diżastru-sme ta’ Clarysec Politika dwar il-Kontinwità tan-Negozju u l-Politika dwar l-Irkupru minn Diżastru - SME, mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, clause 6.4.1, tgħid:

L-organizzazzjoni għandha tittestja kemm il-kapaċitajiet tal-BCP kif ukoll tad-DR tagħha mill-inqas darba fis-sena. It-testijiet għandhom jinkludu:

It-taqsima tal-applikazzjoni tal-istess politika, clause 8.5.1, tagħmel ir-responsabbiltà għall-evidenza espliċita:

Il-GM għandu jiżgura li dawn li ġejjin jinżammu u jkunu lesti għall-awditjar:

Għal entità finanzjarja rregolata minn DORA, ittestjar annwali jista’ jkun il-livell minimu, mhux l-ambizzjoni. Funzjonijiet kritiċi jew importanti b’riskju ogħla għandhom jiġu ttestjati aktar ta’ spiss, speċjalment wara bidliet fl-arkitettura, migrazzjoni lejn il-cloud, inċidenti maġġuri, fornituri ICT ġodda, rilaxxi materjali ta’ applikazzjonijiet, jew bidliet fl-espożizzjoni għat-theddid.

Pakkett b’saħħtu ta’ evidenza għat-test tar-reżiljenza għandu jinkludi:

• Business Impact Analysis (BIA) li timmappja l-funzjoni kritika jew importanti
• RTO u RPO approvati mis-sidien tan-negozju
• Mappa tad-dipendenzi tas-sistema, inklużi identità, DNS, network, cloud, database, monitoraġġ, backup, u servizzi ta’ partijiet terzi
• Riżultati tat-testijiet tal-backup u r-restawr
• Timestamps tal-failover u tal-failback
• Evidenza ta’ kontrolli tas-sigurtà li joperaw waqt tfixkil
• Mudelli ta’ komunikazzjoni għall-klijenti, għar-regolaturi, u għall-komunikazzjoni interna
• Logs tal-parteċipazzjoni tal-kmandant tal-inċident u tat-tim tal-kriżi
• Tagħlimiet miksuba u azzjonijiet ta’ titjib
• Evidenza ta’ retest għal lakuni preċedenti fir-rkupru

Hawnhekk jidħol ukoll GDPR. GDPR Articles 2 u 3 idaħħlu fil-kamp ta’ applikazzjoni l-biċċa l-kbira tal-ipproċessar SaaS u fintech ta’ data personali tal-UE. Article 4 jiddefinixxi data personali, ipproċessar, kontrollur, proċessur, u ksur ta’ data personali. Article 5 jirrikjedi integrità, kunfidenzjalità, u responsabbiltà, jiġifieri l-organizzazzjoni għandha tkun tista’ turi l-konformità. Jekk TLPT jew ittestjar tar-rkupru juża data personali tal-produzzjoni, jikkopja logs li fihom identifikaturi, jew jivverifika r-rispons għal ksur, is-salvagwardji tal-privatezza għandhom jiġu dokumentati.

L-evidenza tal-fornituri hija l-punt dgħajjef ta’ DORA li l-awdituri mhux se jinjoraw

Is-servizzi finanzjarji moderni jinbnew minn pjattaformi cloud, applikazzjonijiet SaaS, fornituri ta’ sigurtà ġestiti, proċessuri tal-pagamenti, pjattaformi tad-data, fornituri tal-identità, għodod ta’ osservabbiltà, timijiet ta’ żvilupp esternalizzati, u fornituri tal-backup.

Article 28 ta’ DORA jirrikjedi li l-entitajiet finanzjarji jimmaniġġjaw ir-riskju ta’ partijiet terzi tal-ICT bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT u jibqgħu kompletament responsabbli anki meta s-servizzi ICT ikunu esternalizzati. Article 30 jirrikjedi kuntratti bil-miktub għal servizzi ICT b’deskrizzjonijiet tas-servizzi, kundizzjonijiet tas-subappaltar, postijiet tal-ipproċessar, protezzjoni tad-data, aċċess u rkupru, livelli tas-servizz, assistenza waqt inċidenti, kooperazzjoni mal-awtoritajiet, drittijiet ta’ terminazzjoni, termini aktar b’saħħithom għal funzjonijiet kritiċi jew importanti, drittijiet ta’ awditjar, miżuri tas-sigurtà, parteċipazzjoni fit-TLPT fejn rilevanti, u arranġamenti ta’ ħruġ.

Dan ifisser li xenarju TLPT ma jistax jieqaf mal-firewall tal-organizzazzjoni jekk il-funzjoni kritika tiddependi fuq fornitur.

Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri-sme ta’ Clarysec Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, clause 6.3.1, tgħid:

Fornituri kritiċi jew ta’ riskju għoli għandhom jiġu rieżaminati mill-inqas darba fis-sena. Ir-rieżami għandu jivverifika:

Il-Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming iżżid rekwiżit speċifiku għall-fornituri għall-ittestjar f’clause 6.9:

Koordinazzjoni tal-ittestjar ma’ partijiet terzi: Fejn kwalunkwe fornitur kritiku jew fornitur tas-servizzi jaqa’ fil-kamp ta’ applikazzjoni tas-sigurtà ġenerali tal-organizzazzjoni, skont il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, l-organizzazzjoni għandha, fejn fattibbli, tikseb assigurazzjoni dwar il-prattiki tagħhom ta’ ttestjar tas-sigurtà jew tikkoordina ttestjar konġunt. Pereżempju, fejn jintuża Cloud Service Provider (CSP), l-organizzazzjoni tista’ tistrieħ fuq ir-rapporti tiegħu ta’ ttestjar ta’ penetrazzjoni jew tinkludih f’xenarji kollaborattivi ta’ red team, soġġett għal dispożizzjonijiet kuntrattwali.

Għal evidenza DORA lesta għall-awditjar, l-assigurazzjoni tal-fornituri għandha tkun marbuta mal-istess xenarju tar-riskju bħat-TLPT. Jekk il-fornitur tal-identità huwa essenzjali għall-irkupru tal-pagamenti, il-pakkett tal-evidenza għandu jinkludi diliġenza dovuta tal-fornitur, rekwiżiti kuntrattwali tas-sigurtà, termini ta’ appoġġ waqt inċidenti, koordinazzjoni tal-ittestjar, rapporti ta’ assigurazzjoni, evidenza tal-livell tas-servizz, strateġija ta’ ħruġ, u restrizzjonijiet fuq l-ittestjar.

NIS2 Article 21 huwa importanti wkoll għal fornituri ta’ SaaS, cloud, servizzi ġestiti, sigurtà ġestita, ċentri tad-data, CDN, servizzi ta’ fiduċja, DNS, TLD, swieq online, search, u social networking. Jirrikjedi approċċ all-hazards li jkopri analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, żvilupp sigur, evalwazzjoni tal-effettività, taħriġ, kontrolli kriptografiċi, kontroll tal-aċċess, ġestjoni tal-assi, MFA, u komunikazzjonijiet siguri.

Ir-riżultat prattiku huwa sempliċi: l-entitajiet finanzjarji għandhom jibnu mudell wieħed ta’ evidenza li l-ewwel jissodisfa DORA, imbagħad jagħmel referenza inkroċjata mal-aspettattivi ta’ NIS2 fejn ikunu involuti fornituri, entitajiet tal-grupp, jew servizzi diġitali mhux finanzjarji.

Reġistru prattiku ta’ evidenza TLPT ta’ Clarysec

Assumi li x-xenarju huwa:

“Attur ta’ theddid jikkomprometti kont ta’ amministratur f’pjattaforma ta’ appoġġ SaaS, jidħol fl-ambjent tal-operazzjonijiet tal-pagamenti, jimmodifika l-konfigurazzjoni, u jfixkel l-ipproċessar tat-tranżazzjonijiet.”

Oħloq reġistru tal-evidenza b’ringiela waħda għal kull oġġett ta’ evidenza. Tistenniex sakemm jintemm it-test. Imlieh waqt l-ippjanar, l-eżekuzzjoni, ir-rimedju, u l-għeluq.

Imbagħad uża l-Pass 13 tal-Zenith Blueprint biex iżżid it-traċċabbiltà fir-reġistru tar-riskji u fid-Dikjarazzjoni ta’ Applikabbiltà. Kull oġġett ta’ evidenza għandu jkun konness ma’ xenarju tar-riskju, sid tar-riskju, kontroll magħżul, pjan ta’ trattament, u deċiżjoni dwar ir-riskju residwu.

Jekk sejba tirrelata ma’ dgħufija tas-software, irreferi għall-kontrolli tal-iżvilupp sigur u tal-ittestjar. Il-Politika dwar l-Iżvilupp Sigur-sme ta’ Clarysec Politika dwar l-Iżvilupp Sigur - SME, mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, clause 6.5.2, tirrikjedi:

L-ittestjar għandu jiġi dokumentat bi:

Jekk sejba tipproduċi materjal forensiku, ippreserva l-katina ta’ kustodja. Il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika-sme ta’ Clarysec Politika dwar il-Ġbir tal-Evidenza u l-Forensika - SME, mit-taqsima “Rekwiżiti ta’ governanza”, clause 5.2.1, tgħid:

Kull oġġett ta’ evidenza diġitali għandu jiġi lloggjat bi:

Dan huwa l-punt li ħafna timijiet jitilfu. L-evidenza mhijiex biss rapporti finali. Hija r-reġistru kkontrollat ta’ min approva, min eżegwixxa, x’ġara, x’ġie skopert, x’ġie rkuprat, x’inbidel, x’għadu espost, u min aċċetta dik l-espożizzjoni.

Kif l-awdituri jispezzjonaw l-istess evidenza TLPT

L-evidenza DORA TLPT tinqara b’modi differenti skont l-isfond tal-awditur. Clarysec jiddisinja pakketti ta’ evidenza sabiex kull perspettiva ssib dak li teħtieġ mingħajr ma ġġiegħel lit-timijiet jidduplikaw ix-xogħol.

COBIT 2019 jidher fir-referenza ta’ cross-compliance tal-Zenith Blueprint għall-eżekuzzjoni sigura tal-awditjar u l-ittestjar, inklużi DSS05.03 u MEA03.04. Ir-rilevanza mhijiex li COBIT jissostitwixxi DORA jew ISO 27001, iżda li professjonisti tal-assigurazzjoni bi stil ISACA jfittxu eżekuzzjoni kkontrollata, monitoraġġ, evalwazzjoni, u evidenza ta’ konformità.

In-narrattiva għall-bord: x’għandu japprova l-maniġment

Ir-rappurtar lill-bord għandu jevita teatru tekniku. Il-bord m’għandux bżonn exploit payloads. Għandu bżonn evidenza adatta għat-teħid tad-deċiżjonijiet:

• Liema funzjoni kritika jew importanti ġiet ittestjata?
• Liema xenarju ta’ theddid ġie simulat u għaliex?
• Is-sejbien ħadem?
• L-eskalazzjoni tar-rispons ħadmet?
• L-irkupru laħaq l-RTO u l-RPO?
• Liema fornituri kienu involuti jew ristretti?
• Liema dgħufijiet materjali jibqgħu?
• X’inhi l-ispiża, min hu s-sid, u x’inhi l-iskeda tar-rimedju?
• Liema riskji residwi jeħtieġu aċċettazzjoni formali?
• X’se jerġa’ jiġi ttestjat?

Hawnhekk ISO 27001 Clause 5 issir importanti. Il-maniġment għoli għandu jiżgura li l-politika u l-objettivi tas-sigurtà tal-informazzjoni jiġu stabbiliti, allinjati mad-direzzjoni strateġika, integrati fil-proċessi tan-negozju, mogħtija riżorsi, ikkomunikati, u mtejba kontinwament. Ir-rwoli u r-responsabbiltajiet għandhom jiġu assenjati. L-objettivi għandhom ikunu miżurabbli fejn prattikabbli u jqisu r-rekwiżiti applikabbli u r-riżultati tat-trattament tar-riskju.

Jekk TLPT jidentifika li l-ħin ta’ rkupru huwa sitt sigħat kontra tolleranza tan-negozju ta’ erba’ sigħat, dan mhuwiex sempliċement oġġett fil-backlog tal-infrastruttura. Hija deċiżjoni tal-maniġment li tinvolvi aptit għar-riskju, baġit, impenji mal-klijenti, espożizzjoni regolatorja, kuntratti, arkitettura, u kapaċità operattiva.

Fallimenti komuni fl-evidenza fl-ittestjar tar-reżiljenza DORA

Ir-rieżamijiet ta’ Clarysec spiss isibu l-istess lakuni fl-evidenza fost entitajiet finanzjarji u fornituri tas-servizzi ICT li qed iħejju għal DORA.

L-ewwel, il-kamp ta’ applikazzjoni tat-TLPT ma jimmappjax ma’ funzjonijiet kritiċi jew importanti. It-test jista’ jkun teknikament impressjonanti, iżda ma jippruvax ir-reżiljenza tal-proċess tan-negozju li jinteressa lir-regolaturi.

It-tieni, id-dipendenzi fuq il-fornituri jiġu rikonoxxuti iżda mhux evidenzjati. It-timijiet jgħidu li l-fornitur cloud, is-SOC ġestit, jew il-pjattaforma SaaS jinsabu fil-kamp ta’ applikazzjoni, iżda jkunu nieqsa kuntratti, drittijiet ta’ awditjar, permessi għall-ittestjar, termini ta’ appoġġ għall-inċidenti, u pjanijiet ta’ ħruġ.

It-tielet, l-ittestjar joħloq evidenza iżda mhux trattament. Is-sejbiet jibqgħu f’rapport tar-red team minflok jiġu konvertiti f’aġġornamenti tar-reġistru tar-riskji, bidliet fil-kontrolli, sidien, dati, retesting, u deċiżjonijiet dwar riskju residwu.

Ir-raba’, l-irkupru jiġi assunt aktar milli muri. Jeżistu politiki tal-backup, iżda ħadd ma jista’ juri timestamps tal-failover, kontrolli tal-integrità tar-restawr, validazzjoni tal-aċċess, jew konferma mis-sid tan-negozju.

Il-ħames, il-privatezza u l-evidenza forensika mhumiex ikkontrollati. Logs u screenshots fihom data personali, artefatti tat-test jinħażnu fi shared drives, kontijiet temporanji jibqgħu attivi, u l-katina ta’ kustodja tal-evidenza tkun inkompleta.

Is-sitt, ir-rappurtar lill-maniġment ikun tekniku wisq. Mexxejja għolja ma jistgħux jaraw jekk ir-reżiljenza tjibitx, jekk ir-riskju huwiex fi ħdan l-aptit, jew liema deċiżjonijiet ta’ investiment huma meħtieġa.

Kull waħda minn dawn il-lakuni tista’ tissolva billi DORA TLPT jiġi ttrattat bħala fluss tax-xogħol strutturat ta’ evidenza ISO 27001.

L-approċċ integrat ta’ Clarysec għal reżiljenza lesta għall-awditjar

L-approċċ ta’ Clarysec jgħaqqad tliet saffi.

L-ewwel saff huwa l-pjan direzzjonali ta’ implimentazzjoni ta’ 30 pass Zenith Blueprint. Għal dan is-suġġett, Pass 13 jibni t-traċċabbiltà tat-trattament tar-riskju u tas-SoA, Pass 21 jipproteġi s-sistemi waqt l-ittestjar tal-awditjar, u Pass 23 jivverifika t-tħejjija tal-ICT għall-kontinwità tan-negozju. Dawn il-passi jibdlu TLPT minn avveniment tekniku f’ċiklu dokumentat ta’ governanza.

It-tieni saff huwa l-librerija tal-politiki ta’ Clarysec. Il-Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming tiddefinixxi tipi ta’ ttestjar, kamp ta’ applikazzjoni, regoli ta’ impenn, rimedju, rappurtar, u koordinazzjoni mal-fornituri. Il-Politika dwar il-Kontinwità tan-Negozju u l-Politika dwar l-Irkupru minn Diżastru-sme tistabbilixxi aspettattivi għal ittestjar annwali tal-BCP u d-DR u evidenza tal-kontinwità lesta għall-awditjar. Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri-sme tappoġġja l-assigurazzjoni tal-fornituri. Il-Politika dwar l-Iżvilupp Sigur-sme tiżgura li l-ittestjar tas-sigurtà jkun dokumentat. Il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika-sme tappoġġja l-logging tal-evidenza u d-dixxiplina tal-katina ta’ kustodja.

It-tielet saff huwa Zenith Controls, il-gwida ta’ cross-compliance ta’ Clarysec. Tgħin biex timmappja l-kontrolli ISO/IEC 27002:2022 ma’ attributi, oqsma, kapaċitajiet operattivi, u aspettattivi bejn oqfsa differenti. Għal DORA TLPT, l-aktar mudell importanti mhuwiex kontroll wieħed. Hija r-relazzjoni bejn ittestjar, kontinwità, ġestjoni tal-inċidenti, ġestjoni tal-fornituri, logging, monitoraġġ, żvilupp sigur, rieżami indipendenti, u governanza.

Meta dawn is-saffi jaħdmu flimkien, il-problema tas-CISO ta’ Tnejn filgħodu tinbidel. Minflok tliet mistoqsijiet skonnessi mill-bord, mir-regolatur, u mill-awditjar intern, l-organizzazzjoni jkollha storja waħda ta’ evidenza:

“Identifikajna l-funzjoni kritika. Evalwajna r-riskju tal-ICT. Għażilna u ġġustifikajna l-kontrolli. Awtorizzajna u eżegwejna TLPT b’mod sigur. Skoprejna, irrispondejna, u rkuprajna. Involvejna lill-fornituri fejn meħtieġ. Iddokumentajna l-evidenza. Irrimedjajna s-sejbiet. Erġajna ttestjajna. Il-maniġment irreveda u aċċetta r-riskju li fadal.”

Dik hija reżiljenza lesta għall-awditjar.

Passi li jmiss

Jekk il-programm DORA TLPT tiegħek għadu organizzat madwar rapporti minflok katini ta’ evidenza, ibda b’walkthrough tal-evidenza ta’ Clarysec.

Uża l-Pass 13 ta’ Zenith Blueprint Zenith Blueprint biex tqabbad xenarji TLPT ma’ riskji, kontrolli, u d-Dikjarazzjoni ta’ Applikabbiltà. Uża l-Pass 21 biex tivverifika awtorizzazzjoni sigura, regoli ta’ impenn, treġġigħ lura, monitoraġġ, u tindif. Uża l-Pass 23 biex tipprova t-tħejjija tal-ICT għall-kontinwità tan-negozju b’evidenza ta’ rkupru.

Imbagħad allinja d-dokumenti operattivi tiegħek mal-Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming ta’ Clarysec Politika dwar l-Ittestjar tas-Sigurtà u r-Red-Teaming, Politika dwar il-Kontinwità tan-Negozju u l-Politika dwar l-Irkupru minn Diżastru-sme Politika dwar il-Kontinwità tan-Negozju u l-Politika dwar l-Irkupru minn Diżastru - SME, Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri-sme Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME, Politika dwar l-Iżvilupp Sigur-sme Politika dwar l-Iżvilupp Sigur - SME, u Politika dwar il-Ġbir tal-Evidenza u l-Forensika-sme Politika dwar il-Ġbir tal-Evidenza u l-Forensika - SME.

Fl-aħħar, uża Zenith Controls Zenith Controls biex timmappja b’mod inkroċjat l-evidenza DORA TLPT tiegħek ma’ kontrolli ISO 27001, NIS2, GDPR, COBIT 2019, u l-aspettattivi tal-awdituri.

Jekk trid li t-test tar-reżiljenza li jmiss tiegħek jipproduċi aktar minn sejbiet, uża Clarysec biex tibdlu f’katina ta’ evidenza difensibbli. Niżżel is-settijiet ta’ għodod, skeda evalwazzjoni tat-tħejjija tal-evidenza, jew itlob walkthrough dwar kif Clarysec jimmappja DORA TLPT ma’ kontrolli ISO 27001:2022 mill-ippjanar sal-approvazzjoni tal-bord.