Rieżamijiet tar-regoli tal-firewall għal ISO 27001, NIS2, DORA u GDPR
Huma s-07:42 tat-Tnejn filgħodu. Is-CISO ta’ fornitur SaaS u FinTech li qed jikber qed iħares lejn tliet messaġġi separati.
L-ewwel wieħed ġej mis-SOC. Workstation ta’ żviluppatur li ġiet kompromessa ppruvat tikkonnettja ma’ subnet interna ta’ database matul il-lejl. It-traffiku ġie mblukkat, iżda l-analista jrid konferma li r-regola tal-firewall hija intenzjonata, attwali u approvata.
It-tieni messaġġ ġej minn klijent kbir tal-intrapriża. Iridu evidenza li l-ambjenti ta’ produzzjoni, żvilupp, korporattivi u ta’ appoġġ huma segmentati, li r-regoli tal-firewall jiġu rieżaminati, u li l-eċċezzjonijiet jiskadu.
It-tielet wieħed ġej mill-maniġer tal-konformità. L-organizzazzjoni għandha espożizzjoni għal NIS2 bħala fornitur diġitali importanti, responsabbiltajiet taħt GDPR bħala proċessur, u klijenti fis-servizzi finanzjarji li qed jitolbu evidenza dwar ir-riskju tal-ICT skont approċċ konformi ma’ DORA. Il-bord irid ikun jaf jekk l-istess evidenza ISO/IEC 27001:2022 tistax twieġeb għat-tlieta kollha.
Imbagħad jasal ir-rieżami ta’ wara l-inċident. Server tal-iżvilupp kważi ġie espost għall-internet waqt bidla tard bil-lejl. Ma ntilfitx data tal-klijenti, iżda t-tim forensiku skopra xi ħaġa agħar mill-iżball inizjali: regola tal-firewall ta’ “test temporanju” minn ħames snin ilu kienet għadha tippermetti moviment wiesa’ bejn l-iżvilupp u l-produzzjoni. Kieku attakkant kiseb aċċess, in-netwerk kien joffri ftit reżistenza.
Dak huwa l-mument meta ħafna organizzazzjonijiet jiskopru verità skomda. Jista’ jkollhom firewalls, VLANs, gruppi tas-sigurtà fil-cloud u dijagrammi, iżda ma jkollhomx governanza fuq iż-żoni tas-segmentazzjoni, is-sjieda tar-regoli, l-aċċess temporanju, l-approvazzjonijiet tat-tibdil, ir-riċertifikazzjoni u l-evidenza tal-awditjar.
Fl-2026, “għandna firewall” mhijiex tweġiba difensibbli. L-awdituri, ir-regolaturi, il-klijenti u l-assiguraturi jridu prova li n-netwerks huma separati b’mod intenzjonat, li t-traffiku huwa kkontrollat skont il-ħtieġa tan-negozju, li l-eċċezzjonijiet riskjużi huma soġġetti għal governanza, u li l-logs juru li l-kontrolli qed joperaw.
Għaliex il-governanza tal-firewall issa hija kwistjoni fil-livell tal-bord
Is-segmentazzjoni tan-netwerk kienet titqies bħala suġġett tekniku tal-inġinerija. It-timijiet tal-infrastruttura kienu sidien tal-VLANs, l-amministraturi tal-firewall kienu jżommu s-settijiet tar-regoli, it-timijiet tal-cloud kienu jamministraw il-gruppi tas-sigurtà, u l-konformità kienet tara biss dijagramma waqt l-awditi.
Dak il-mudell operattiv ma għadux jaħdem.
Id-Direttiva NIS2 teħtieġ li entitajiet essenzjali u importanti jimplimentaw miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati biex jimmaniġġjaw ir-riskji għas-sistemi tan-netwerk u tal-informazzjoni. Article 21 jinkludi politiki dwar analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, sigurtà fl-akkwist u fil-manutenzjoni, evalwazzjoni tal-effettività, iġjene ċibernetika bażika, kontroll tal-aċċess u ġestjoni tal-assi. Il-korpi maniġerjali għandhom japprovaw u jeżerċitaw sorveljanza fuq dawk il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà.
DORA japplika mis-17 ta’ Jannar 2025 għal ħafna entitajiet finanzjarji u jagħmel il-ġestjoni tar-riskju tal-ICT dixxiplina dokumentata u mmexxija mill-governanza. Articles 5, 6 u 8 jeħtieġu governanza, qafas ta’ ġestjoni tar-riskju tal-ICT, u identifikazzjoni tal-funzjonijiet tan-negozju appoġġjati mill-ICT, assi tal-informazzjoni, assi tal-ICT, dipendenzi, assi kritiċi u interkonnessjonijiet. Articles 9, 10 u 11 jindirizzaw il-protezzjoni, il-prevenzjoni, is-sejbien, ir-rispons u l-irkupru. Articles 24 sa 27 jeħtieġu ttestjar tar-reżiljenza operattiva diġitali, inkluż ittestjar avvanzat għal ċerti entitajiet. Dan jagħmel is-segmentazzjoni kwistjoni ta’ reżiljenza, mhux biss kwistjoni ta’ firewall.
GDPR iżid is-saff tar-responsabbiltà għall-privatezza. Article 32 jeħtieġ miżuri tekniċi u organizzattivi xierqa biex jiġi żgurat livell ta’ sigurtà adegwat għar-riskju, inklużi l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza. Article 5(1)(f) jeħtieġ l-integrità u l-kunfidenzjalità, u Article 5(2) jeħtieġ ir-responsabbiltà. Jekk sistemi ta’ data personali jistgħu jintlaħqu minn endpoints kompromessi, netwerks tal-mistiedna jew mogħdijiet mhux ġestiti ta’ partijiet terzi, awtorità superviżorja tista’ tistaqsi għaliex dawk il-mogħdijiet kienu jeżistu.
ISO/IEC 27001:2022 jipprovdi l-bażi tas-sistema ta’ ġestjoni li tgħaqqad dawn l-obbligi. Jeħtieġ kamp ta’ applikazzjoni, rekwiżiti tal-partijiet interessati, valutazzjoni tar-riskju, trattament tar-riskju, Dikjarazzjoni tal-Applikabbiltà, ippjanar u kontroll operattiv, responsabbiltà tat-tmexxija, objettivi li jistgħu jitkejlu, informazzjoni dokumentata u titjib kontinwu. Annex A, appoġġjat mill-gwida ISO/IEC 27002:2022, jinkludi l-oqsma tal-kontroll meħtieġa għar-riskju tal-fornituri, servizzi cloud, logging, monitoraġġ, arkitettura sigura, separazzjoni tal-ambjenti u ġestjoni tat-tibdil.
Il-punt huwa sempliċi: is-segmentazzjoni tan-netwerk u r-rieżami tar-regoli tal-firewall issa huma evidenza ta’ governanza.
Il-mudell operattiv ta’ Clarysec: 8.20, 8.22 u 8.32
Clarysec jittratta s-segmentazzjoni u r-rieżami tal-firewall bħala mudell operattiv wieħed madwar il-kontrolli ISO/IEC 27002:2022, mhux bħala kompiti tekniċi iżolati.
It-tliet kontrolli primarji huma:
| Qasam ISO/IEC 27002:2022 | Mistoqsija ta’ governanza | Evidenza mistennija mill-awdituri |
|---|---|---|
| 8.20 Sigurtà tan-netwerk | In-netwerks huma ddisinjati, immaniġġjati, immonitorjati u protetti skont ir-riskju? | Dijagrammi tal-arkitettura, standards tal-firewall, proċeduri siguri tan-netwerk, logs ta’ monitoraġġ, evidenza IDS/IPS, kampjuni tal-konfigurazzjoni tal-VPN u tan-netwerk cloud |
| 8.22 Segregazzjoni tan-netwerks | Iż-żoni huma separati skont is-sensittività, il-funzjoni u l-livell ta’ fiduċja? | Mudell ta’ zoning, matriċi tal-fluss tad-data, disinn tal-VLANs u tas-subnets, konfini tad-DMZ, regoli tal-firewall bejn iż-żoni, riżultati tat-testijiet tas-segmentazzjoni |
| 8.32 Ġestjoni tat-tibdil | It-tibdil fir-regoli jiġi evalwat, approvat, ittestjat, illoggjat u rieżaminat? | Tickets tat-tibdil, valutazzjonijiet tar-riskju, approvazzjonijiet, pjanijiet ta’ treġġigħ lura, rieżamijiet ta’ wara l-implimentazzjoni, reġistri tat-tibdil ta’ emerġenza |
F’Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur [ZB], Clarysec ipoġġi s-sigurtà tan-netwerk fil-fażi Kontrolli fl-Azzjoni, Pass 20: Kontrolli 8.18 sa 8.26. Il-gwida tressaq il-mistoqsija ewlenija tal-awditjar b’mod ċar:
“Fil-qalba tiegħu, dan il-kontroll jeħtieġ li l-organizzazzjonijiet jiżguraw li n-netwerks ikunu siguri bl-arkitettura, mhux sempliċement billi jiżdiedu firewalls jew antivirus aktar tard. Dan ifisser ħsieb strateġiku dwar segmentazzjoni tan-netwerk, kontroll tal-aċċess, iċċifrar fi tranżitu, monitoraġġ u difiża f’diversi saffi. Jibda b’mistoqsija sempliċi: Min u x’qed jikkomunika, u għandu jkun qed jikkomunika?”
Dik il-mistoqsija, “min u x’qed jikkomunika, u għandu jkun qed jikkomunika?”, hija l-aħjar punt ta’ tluq prattiku għar-rieżami tar-regoli tal-firewall. Tbiegħed id-diskussjoni minn eluf ta’ entrati ACL kriptiċi lejn flussi ġġustifikati min-negozju.
L-istess Zenith Blueprint jgħid lit-timijiet biex jevalwaw l-arkitettura tan-netwerk billi jivverifikaw li r-regoli tal-firewall, l-IPS/IDS u l-konfigurazzjonijiet tal-aċċess remot huma attwali u msaħħa, u biex jikkonfermaw li l-gruppi tas-sigurtà tal-cloud, ir-routing u r-regoli tal-VPC jew tas-subnet jaqblu mal-arkitettura intenzjonata. Jgħid ukoll lill-awdituri biex jistennew Dokument tal-Arkitettura tas-Sigurtà tan-Netwerk li juri firewalls, gateways tal-VPN, żoni DMZ, separazzjoni tal-VLAN u konfini ta’ fiduċja.
Għall-ġestjoni tat-tibdil, Zenith Blueprint ipoġġi l-kontroll ISO/IEC 27002:2022 8.32 fil-fażi Kontrolli fl-Azzjoni, Pass 21: Kontrolli 8.27 sa 8.34, u jenfasizza għaliex il-governanza tal-firewall tfalli meta l-kontroll tat-tibdil ikun dgħajjef:
“Dan il-kontroll jirrikonoxxi verità iebsa fl-IT: ħafna inċidenti ma jiġux ikkawżati minn attakki, iżda minn tibdil immaniġġjat ħażin. Regola tal-firewall miftuħa wisq. Setting ta’ debug li tħalla attivat. Dipendenza minsija wara migrazzjoni.”
Hekk eżatt kif ftuħ temporanju fil-firewall isir mogħdija permanenti għall-attakk.
Kif tidher segmentazzjoni tajba tan-netwerk
Programm matur ta’ segmentazzjoni għandu erba’ saffi.
L-ewwel, għandu mudell ta’ zoning. Iż-żoni mhumiex subnets arbitrarji. Huma konfini ta’ fiduċja allinjati mal-funzjoni tan-negozju u s-sensittività tad-data, bħal DMZ aċċessibbli mill-internet, saff tal-applikazzjoni tal-produzzjoni, saff tad-database tal-produzzjoni, netwerk tal-utenti korporattivi, netwerk ta’ ġestjoni privileġġjata, ambjent tal-iżvilupp, ambjent tat-test, netwerk tal-backup, Wi‑Fi għall-mistiedna, żona OT jew IoT u żona ta’ aċċess minn partijiet terzi.
It-tieni, għandu matriċi tal-flussi. Għal kull par ta’ żoni, l-organizzazzjoni tiddokumenta s-sors, id-destinazzjoni, il-protokoll, il-port, l-applikazzjoni, is-sid tan-negozju, is-sid tas-sistema, it-tip ta’ data, il-ġustifikazzjoni u r-rekwiżit ta’ logging permessi.
It-tielet, għandu sjieda tar-regoli. Kull regola tal-firewall, regola ta’ grupp tas-sigurtà fil-cloud jew politika ta’ perimetru definit mis-software għandu jkollha sid, data ta’ skadenza jew ta’ riċertifikazzjoni, ticket tat-tibdil marbut u ġustifikazzjoni tan-negozju. “Any to any” għandu jitqies bħala sejba sakemm ma jkunx formalment aċċettat bħala riskju, limitat fiż-żmien u appoġġjat minn kontrolli kumpensatorji.
Ir-raba’, għandu rieżami rikorrenti. Rieżami jfisser aktar minn sempliċi esportazzjoni ta’ rule base tal-firewall darba fis-sena. Jinkludi riċertifikazzjoni mis-sid, tqabbil mat-traffiku osservat, identifikazzjoni ta’ regoli mhux użati, verifika ta’ eċċezzjonijiet temporanji, rieżami tal-espożizzjoni għall-internet, ittestjar tas-segmentazzjoni u rikonċiljazzjoni mal-inventarju tal-assi.
Il-Politika tas-Sigurtà tan-Netwerk [P-NS] ta’ Clarysec tistabbilixxi b’mod ċar l-aspettattiva għall-intrapriża:
“It-traffiku kollu bejn iż-żoni għandu jkun ikkontrollat minn firewalls jew soluzzjonijiet ta’ perimetru definit mis-software, b’konfigurazzjonijiet espliċiti ta’ ċaħda awtomatika b’mod predefinit.”
Mill-Politika tal-Intrapriża, Politika tas-Sigurtà tan-Netwerk, taqsima “Rekwiżiti ta’ governanza,” klawżola 5.2.
L-istess politika torbot it-tibdil fil-firewall direttament mal-ġestjoni tat-tibdil:
“Kull tibdil fis-settijiet tar-regoli tal-firewall, fit-tabelli tar-routing jew fil-konfigurazzjonijiet tal-gruppi tas-sigurtà għandu jsegwi l-Politika tal-Ġestjoni tat-Tibdil (P5) tal-organizzazzjoni, inklużi pjanijiet ta’ treġġigħ lura u reġistrazzjoni tal-awditjar.”
Mill-Politika tal-Intrapriża, Politika tas-Sigurtà tan-Netwerk, taqsima “Rekwiżiti ta’ governanza,” klawżola 5.4.
Għall-SMEs, il-Network Security Policy-sme [P-NS-SME] ta’ Clarysec tipprovdi l-istess prinċipju f’termini operattivi:
“Regoli ta’ ċaħda awtomatika għandhom jiġu applikati għall-konnessjonijiet kollha deħlin sakemm ma jkunux meħtieġa u approvati b’mod espliċitu”
Mill-Politika għall-SMEs, Network Security Policy-sme, taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.1.2.
U għas-segmentazzjoni b’mod speċifiku:
“It-traffiku bejn is-segmenti għandu jiġi ffiltrat, u l-aċċess bejn is-segmenti għandu jsegwi l-prinċipju tal-inqas privileġġ”
Mill-Politika għall-SMEs, Network Security Policy-sme, taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.2.3.
Dawn il-klawżoli tal-politika jippermettu lill-awditur isegwi t-traċċa mir-riskju għall-kontroll, mill-kontroll għar-regola, mir-regola għall-approvazzjoni, u mill-approvazzjoni sal-logs.
Pakkett wieħed ta’ evidenza għal ISO 27001, NIS2, DORA u GDPR
L-iżball li jagħmlu ħafna timijiet huwa li jibnu pakketti separati ta’ evidenza: wieħed għal ISO/IEC 27001:2022, wieħed għal NIS2, wieħed għal GDPR, wieħed għall-klijenti DORA, u wieħed għall-assigurazzjoni ċibernetika.
Approċċ aħjar huwa li jinbena pakkett wieħed ta’ evidenza għall-governanza tas-segmentazzjoni u tal-firewall li jiġi mmappjat bejn oqfsa differenti.
Zenith Controls: Il-gwida għall-konformità trasversali [ZC] jimmappja l-kontroll ISO/IEC 27002:2022 8.22 Segregation of Networks bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà, allinjat mal-kunċett taċ-ċibersigurtà Protect u mal-kapaċità operattiva tas-sigurtà tas-sistemi u tan-netwerk. Jorbot 8.22 ma’ 8.20 Network Security, 8.21 Security of Network Services, 8.7 Protection Against Malware, 8.27 Secure System Architecture and Engineering Principles, u 8.31 Separation of Development, Test and Production Environments.
Il-gwida tispjega r-rilevanza ta’ NIS2 għas-segmentazzjoni b’dan il-mod:
“Is-segregazzjoni tan-netwerks hija rispons dirett għal dawn l-obbligi, billi tnaqqas l-uċuħ tal-attakk u tipprevjeni moviment laterali bejn sistemi f’netwerk.”
Dik is-sentenza tiddeskrivi għaliex il-programmi ta’ iġjene ċibernetika ta’ NIS2 m’għandhomx jittrattaw is-segmentazzjoni bħala fakultattiva. It-trażżin tar-ransomware mhuwiex biss dwar il-protezzjoni tal-endpoint. Huwa dwar il-limitazzjoni tal-moviment laterali meta l-prevenzjoni tfalli.
Għal GDPR, Zenith Controls jimmappja 8.22 ma’ Article 32 u Recital 49, u jinnota li d-dijagrammi tan-netwerk u l-politiki ta’ zoning isiru evidenza ewlenija tal-konformità. Għal DORA, Zenith Controls jimmappja s-sigurtà tan-netwerk u s-segregazzjoni mal-ġestjoni tar-riskju tal-ICT u t-trażżin tal-inċidenti. It-testijiet tas-segmentazzjoni jistgħu jappoġġjaw evidenza ta’ reżiljenza tal-ICT, speċjalment meta juru li kompromess f’żona waħda ma jistax jiċċaqlaq liberament lejn servizzi finanzjarji kritiċi, repożitorji ta’ data personali jew sistemi ta’ ġestjoni privileġġjata.
| Artifact ta’ evidenza | Użu għal ISO/IEC 27001:2022 u ISO/IEC 27002:2022 | Użu għal NIS2 | Użu għal DORA | Użu għal GDPR |
|---|---|---|---|---|
| Dijagramma tal-Arkitettura tas-Sigurtà tan-Netwerk | Tappoġġja l-kamp ta’ applikazzjoni tal-ISMS, il-kontroll operattiv, 8.20 u 8.22 | Turi miżuri tekniċi għas-sigurtà tan-netwerk u tas-sistemi tal-informazzjoni | Turi l-interkonnessjonijiet tal-ICT u d-dipendenzi tas-servizzi kritiċi | Turi konfini ta’ protezzjoni madwar sistemi ta’ data personali |
| Matriċi taż-żoni u tal-flussi | Turi segregazzjoni bbażata fuq ir-riskju u l-prinċipju tal-inqas privileġġ | Tappoġġja l-iġjene ċibernetika u l-evalwazzjoni tal-effettività | Tappoġġja l-klassifikazzjoni tal-assi u d-dipendenzi tal-ICT | Tappoġġja l-miżuri tekniċi u r-responsabbiltà taħt Article 32 |
| Reġistri tar-rieżami tar-regoli tal-firewall | Evidenza tal-monitoraġġ tal-kontrolli u tat-titjib kontinwu | Turi li l-miżuri jiġu rieżaminati u mhumiex statiċi | Tappoġġja r-rieżami tar-riskju tal-ICT u l-ittestjar tar-reżiljenza | Turi sigurtà kontinwa tal-ipproċessar |
| Tickets tat-tibdil għar-regoli tal-firewall | Jappoġġjaw 8.32 ġestjoni tat-tibdil | Jappoġġjaw manutenzjoni sigura u traċċabbiltà | Jappoġġjaw tibdil ikkontrollat tal-ICT u reżiljenza | Juru li tibdiliet li jaffettwaw sistemi ta’ data personali ġew evalwati għar-riskju |
| Reġistru tal-Eċċezzjonijiet | Jappoġġja trattament tar-riskju u aċċettazzjoni tar-riskju residwu | Juri sorveljanza maniġerjali fuq devjazzjonijiet | Jappoġġja t-tolleranza għar-riskju u l-governanza | Juri responsabbiltà għal espożizzjoni temporanja |
| Logs ta’ traffiku mblukkat u permess bejn iż-żoni | Jappoġġjaw logging, monitoraġġ u effettività tal-kontrolli | Jappoġġjaw sejbien u rispons għall-inċidenti | Jappoġġjaw klassifikazzjoni u rappurtar tal-inċidenti | Jappoġġjaw evalwazzjoni ta’ ksur u preservazzjoni tal-evidenza |
Din it-tabella mhijiex biss immappjar tal-konformità. Hija pjan direzzjonali għall-ġbir tal-evidenza.
Ir-rieżami tar-regoli tal-firewall li jaħdem tassew
Rieżami tar-regoli tal-firewall ifalli meta jistaqsi biss, “Din ir-regola għadha meħtieġa?” Is-sidien tar-regoli spiss jgħidu iva għax jibżgħu li jkissru xi ħaġa.
Rieżami aħjar jistaqsi sitt mistoqsijiet:
- Liema servizz tan-negozju tappoġġja din ir-regola?
- Liema sid tal-assi u sid tad-data approvaw il-fluss?
- Id-destinazzjoni tinsab fiż-żona korretta għad-data u l-funzjoni?
- Ir-regola hija aktar permissiva milli jeħtieġ it-traffiku osservat?
- Il-logging huwa attivat għal flussi b’riskju għoli?
- Ir-regola għandha data ta’ rieżami, data tal-iskadenza jew reġistru ta’ eċċezzjoni?
Il-Network Security Policy-sme teħtieġ rieżami perjodiku:
“Il-Fornitur ta’ Appoġġ tal-IT għandu jwettaq rieżami annwali tar-regoli tal-firewall, tal-arkitettura tan-netwerk u tal-konfigurazzjonijiet mingħajr fili”
Mill-Politika għall-SMEs, Network Security Policy-sme, taqsima “Rekwiżiti ta’ governanza,” klawżola 5.6.1.
Ir-rieżami annwali huwa l-linja bażi, mhux il-limitu massimu. Regoli b’riskju għoli jeħtieġu riċertifikazzjoni aktar frekwenti.
| Kategorija tar-regola | Eżempju | Frekwenza tar-rieżami | Aspettattiva tal-approvazzjoni |
|---|---|---|---|
| Dħul mill-internet lejn il-produzzjoni | API pubblika lejn gateway tal-applikazzjoni | Kull tliet xhur jew wara rilaxx maġġuri | Sid tas-servizz, sigurtà, approvatur tat-tibdil |
| Aċċess bejn iż-żoni għad-database tal-produzzjoni | Saff tal-app lejn saff tad-database | Kull tliet xhur | Sid tal-applikazzjoni u sid tad-data |
| Aċċess amministrattiv | Jump box lejn ports tal-ġestjoni tas-server | Kull xahar jew kull tliet xhur | Sid tal-infrastruttura u delegat tas-CISO |
| Aċċess minn partijiet terzi | VPN tal-fornitur lejn subnet ta’ appoġġ | Kull xahar jew f’mument importanti tal-kuntratt | Sid tal-fornitur u sigurtà |
| Eċċezzjoni temporanja | Aċċess ta’ emerġenza waqt migrazzjoni | Qabel l-iskadenza, massimu ta’ 90 jum | Maniġer tal-ISMS jew CISO |
| Regola interna standard b’riskju baxx | Server ta’ monitoraġġ lejn endpoints immaniġġjati | Annwali | Sid tas-servizz |
Il-Politika tas-Sigurtà tan-Netwerk hija espliċita dwar l-eċċezzjonijiet:
“It-talba għandha tiġi rieżaminata u approvata mill-Maniġer tal-ISMS jew mis-CISO u rreġistrata fir-Reġistru tal-Eċċezzjonijiet tal-ISMS, b’perjodu massimu ta’ approvazzjoni ta’ 90 jum, li jista’ jiġġedded wara rivalutazzjoni.”
Mill-Politika tal-Intrapriża, Politika tas-Sigurtà tan-Netwerk, taqsima “Trattament tar-riskju u eċċezzjonijiet,” klawżola 7.3.
Għall-SMEs, il-Network Security Policy-sme teħtieġ li t-talbiet għal eċċezzjoni jinkludu l-fatti minimi korretti:
“It-talba għandha tinkludi l-ġustifikazzjoni, il-kamp ta’ applikazzjoni, id-durata u l-kontrolli kumpensatorji (eż. allowlisting tal-IP, logging)”
Mill-Politika għall-SMEs, Network Security Policy-sme, taqsima “Trattament tar-riskju u eċċezzjonijiet,” klawżola 7.3.3.
Dik il-klawżola tibdel l-immaniġġjar tal-eċċezzjonijiet minn chat informali għal trattament tar-riskju li jista’ jiġi awditjat.
Eżempju prattiku: tneħħija ta’ regola riskjuża tad-database tal-produzzjoni
Assumi li kumpanija ssib ir-regola li ġejja waqt ir-rieżami:
| Qasam | Valur attwali |
|---|---|
| Sors | VLAN tal-utenti korporattivi |
| Destinazzjoni | Subnet tad-database tal-produzzjoni |
| Port | TCP 5432 |
| Azzjoni | Ippermetti |
| Kumment | Aċċess temporanju għall-migrazzjoni tar-rappurtar |
| Maħluqa | 14-il xahar ilu |
| Sid | Mhux magħruf |
| Logging | Diżattivat |
Din hija sejba klassika tal-awditjar. Tikser il-prinċipju tal-inqas privileġġ, m’għandhiex sid ċar, m’għandhiex skadenza, m’għandhiex ġustifikazzjoni attwali u m’għandhiex logging. Toħloq ukoll espożizzjoni taħt GDPR Article 32 jekk id-database tal-produzzjoni jkun fiha data personali tal-klijenti.
Il-proċess ta’ rimedju għandu joħloq evidenza, mhux sempliċement ineħħi regola ħażina.
| Pass | Azzjoni | Referenza ta’ Clarysec | Evidenza tal-awditjar maħluqa |
|---|---|---|---|
| 1. Immappja r-regola mal-mudell taż-żoni | Ikkonferma jekk utenti korporattivi qatt għandhomx jilħqu s-subnet tad-database tal-produzzjoni | Zenith Blueprint, Kontrolli fl-Azzjoni Pass 20 | Noti aġġornati tar-rieżami tal-arkitettura u klassifikazzjoni taż-żona |
| 2. Oħloq jew aġġorna r-reġistru tal-fluss | Iddokumenta s-sors, id-destinazzjoni, il-port, it-tip ta’ data, is-sid, il-ġustifikazzjoni u r-riskju | Zenith Controls, immappjar 8.22 | Entrata fil-matriċi taż-żoni u tal-flussi |
| 3. Iftaħ ticket tat-tibdil | Ipproponi t-tneħħija jew is-sostituzzjoni b’mogħdija kkontrollata għal servizz ta’ rappurtar | Politika tas-Sigurtà tan-Netwerk, klawżola 5.4 | Reġistru tat-tibdil b’analiżi tar-riskju, pjan tat-test u pjan ta’ treġġigħ lura |
| 4. Iddeċiedi t-trattament | Neħħi r-regola wiesgħa jew ibdilha b’replika read-only, bastjun, allowlisting tal-IP u logging | Politika tas-Sigurtà tan-Netwerk, klawżola 7.3 | Deċiżjoni ta’ trattament tar-riskju jew eċċezzjoni limitata fiż-żmien |
| 5. Attiva l-logging għall-flussi approvati | Ibgħat avvenimenti tal-firewall bejn iż-żoni b’riskju għoli lejn il-monitoraġġ | Logging and Monitoring Policy, klawżola 6.1.1.6 | Reġistri SIEM, regoli ta’ twissija u screenshots tal-monitoraġġ |
| 6. Ivverifika s-segmentazzjoni | Ittestja li s-subnet tad-database ma jistax jintlaħaq ħlief permezz ta’ mogħdijiet approvati | Zenith Blueprint, Pass 20 | Riżultat tat-test tas-segmentazzjoni u għeluq tar-rimedju |
Il-Politika tal-Illoggjar u l-Monitoraġġ [P-LM] ta’ Clarysec tinkludi komunikazzjonijiet esterni u attivaturi tar-regoli tal-firewall bħala avvenimenti rilevanti għal-log:
“Komunikazzjonijiet esterni u attivaturi tar-regoli tal-firewall”
Mill-Politika tal-Intrapriża, Politika tal-Illoggjar u l-Monitoraġġ, taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.1.1.6.
Għal regoli bejn iż-żoni b’riskju għoli, l-attivaturi tal-firewall għandhom jiġu mgħoddija lis-SIEM jew lill-pjattaforma ta’ monitoraġġ, bi twissijiet għal hosts sors, volumi jew twieqi ta’ ħin mhux tas-soltu.
Il-politika għall-SMEs teħtieġ ukoll dixxiplina fit-tibdil:
“It-tibdil kollu fil-konfigurazzjonijiet tan-netwerk (regoli tal-firewall, ACLs tas-switches, tabelli tar-routing) għandu jsegwi proċess dokumentat tal-ġestjoni tat-tibdil”
Mill-Politika għall-SMEs, Network Security Policy-sme, taqsima “Rekwiżiti għall-implimentazzjoni tal-politika,” klawżola 6.9.1.
Tindif wieħed ta’ din ir-regola joħloq evidenza għall-kontroll operattiv ISO/IEC 27001:2022, ISO/IEC 27002:2022 8.20, 8.22 u 8.32, għall-iġjene ċibernetika ta’ NIS2, għal GDPR Article 32 u għall-ġestjoni tar-riskju tal-ICT skont approċċ konformi ma’ DORA.
Cloud, SaaS u netwerks ibridi għandhom jiġu inklużi
Is-segmentazzjoni moderna mhijiex biss VLANs u firewalls fiżiċi. Tinkludi gruppi tas-sigurtà AWS, gruppi tas-sigurtà tan-netwerk Azure, politiki tan-netwerk Kubernetes, tabelli tar-routing cloud, allowlists tal-amministraturi SaaS, endpoints privati, VPNs, SD-WAN, proxies konxji tal-identità u kontrolli ta’ perimetru definit mis-software.
Għal fornitur SaaS jew servizz diġitali rregolat, ir-rieżami tar-regoli tal-firewall għandu jinkludi mill-inqas:
- Load balancers u gateways tal-applikazzjonijiet aċċessibbli mill-internet
- Gruppi tas-sigurtà cloud u ACLs tan-netwerk
- Tabelli tar-routing ta’ subnets privati
- Mogħdijiet ta’ peering u transit gateway
- Mogħdijiet tal-VPN u tal-amministrazzjoni remota
- Interfaċċi amministrattivi u management planes
- Ingress ta’ Kubernetes u politiki tan-netwerk
- Aċċess ta’ CI/CD runners lejn il-produzzjoni
- Kopertura ta’ logging għal flussi b’riskju għoli miċħuda u permessi
- Aċċess ta’ appoġġ minn partijiet terzi u mogħdijiet break-glass
Jekk grupp tas-sigurtà fil-cloud jippermetti traffiku deħlin tad-database minn firxa wiesgħa ta’ IP korporattiv, ittrattah bħallikieku kien regola tal-firewall. Jeħtieġ sjieda, ġustifikazzjoni, approvazzjoni, rieżami, logging u skadenza.
Hawnhekk ukoll l-istandards ISO ta’ appoġġ isaħħu l-istorja. ISO/IEC 27017 jappoġġja ċ-ċarezza dwar ir-responsabbiltajiet tas-sigurtà tal-cloud. ISO/IEC 27033 jipprovdi gwida aktar profonda dwar l-arkitettura tas-sigurtà tan-netwerk, DMZs, żoni ta’ segmentazzjoni, filtrazzjoni tat-traffiku u komunikazzjonijiet siguri bejn netwerks. ISO/IEC 27701 isaħħaħ il-governanza tal-privatezza fejn informazzjoni li tidentifika persuna tiċċaqlaq bejn netwerks. ISO/IEC 27035 jappoġġja t-trażżin tal-inċidenti, u ISO/IEC 27005 jappoġġja l-għażla tas-segmentazzjoni bħala trattament tar-riskju għal aċċess mhux awtorizzat, tixrid ta’ malware u moviment laterali.
Kif l-awdituri jittestjaw l-istess kontroll b’mod differenti
Wieħed mill-punti b’saħħithom ta’ Zenith Controls huwa li jispjega kif metodoloġiji differenti ta’ awditjar jeżaminaw l-istess kontroll. L-evidenza tista’ terġa’ tintuża, iżda l-mistoqsijiet ikunu differenti.
| Lenti tal-awditjar | Mistoqsija probabbli | L-aħjar evidenza |
|---|---|---|
| Awditur ISO/IEC 27001:2022 | Is-segmentazzjoni ġiet magħżula, implimentata u rieżaminata abbażi tar-riskju? | Valutazzjoni tar-riskju, SoA, politika tan-netwerk, dijagrammi, reġistri tar-rieżami |
| Awditur fuq stil ISO/IEC 27007 | Ir-regoli tal-firewall u l-iskemi tal-VLAN implimentati jaqblu mal-politika dokumentata? | Kampjuni tar-regoli tal-firewall, ACLs tar-routers, disinn tal-VLAN, intervisti mal-amministraturi |
| Approċċ ta’ awditjar taċ-ċertifikazzjoni ISO/IEC 27006-1:2024 | Il-konfini kritiċi tan-netwerk jiġu awditjati b’kompetenza xierqa u ppjanar ibbażat fuq ir-riskju? | Pjan tal-Awditjar, kampjunar tekniku, evidenza tal-gruppi tas-sigurtà tal-cloud, riżultati tat-testijiet |
| Awditur orjentat lejn NIST | Il-konfini u l-flussi tal-informazzjoni jiġu applikati u mmonitorjati? | Regoli tal-firewall, ACLs, testijiet tas-segmentazzjoni, reġistri tal-monitoraġġ |
| Awditur COBIT 2019 | Is-sigurtà tan-netwerk hija mmexxija b’governanza, immonitorjata u rrappurtata? | Matriċi tas-sjieda, KPIs, rappurtar maniġerjali, Reġistru tar-Riskji |
| Awditur ISACA ITAF | Il-kontrolli ġenerali tal-IT qed joperaw b’mod konsistenti? | Tickets tat-tibdil, approvazzjonijiet ta’ eċċezzjonijiet, logs, kampjuni ta’ riċertifikazzjoni tar-regoli |
| Awtorità superviżorja GDPR | Is-sistemi ta’ data personali kienu protetti b’miżuri tekniċi xierqa? | Mapep tal-fluss tad-data, iżolament taż-żona PII, mogħdijiet tal-aċċess, logs tal-firewall |
| Valutatur iffukat fuq DORA | Is-segmentazzjoni tappoġġja r-reżiljenza tal-ICT u t-trażżin tal-inċidenti? | Mappa tad-dipendenzi tal-assi tal-ICT, flussi tal-funzjonijiet kritiċi, playbooks tal-inċidenti, reġistri tal-ittestjar |
Valutatur iffukat fuq DORA jista’ jistaqsi jekk kompromess f’gateway tal-pagamenti jistax jippermetti pivot lejn databases tal-klijenti. Awtorità kompetenti ta’ NIS2 tista’ tistaqsi jekk ransomware fuq workstation amministrattiva jistax jilħaq sistemi ewlenin tat-twassil tas-servizz. Awtorità GDPR tista’ tistaqsi x’restrizzjonijiet fil-livell tan-netwerk ipproteġew sistemi li jipproċessaw data personali. Awditur ISO jista’ sempliċement jitlob il-valutazzjoni tar-riskju, is-SoA, il-politika, il-proċedura u l-evidenza li r-rieżamijiet saru.
L-aħjar programmi jwieġbu għal dan kollu bl-istess artifacts.
Metriċi li jagħmlu s-segmentazzjoni viżibbli għat-tmexxija
NIS2 u DORA t-tnejn isaħħu r-responsabbiltà maniġerjali. ISO/IEC 27001:2022 jeħtieġ tmexxija, objettivi, rwoli, riżorsi, rappurtar u titjib kontinwu. Dan ifisser li s-segmentazzjoni teħtieġ metriċi li t-tmexxija tista’ tifhem.
Metriċi maniġerjali utli jinkludu:
- Perċentwal tar-regoli tal-firewall b’sid assenjat
- Perċentwal tar-regoli b’ġustifikazzjoni tan-negozju dokumentata
- Għadd ta’ regoli temporanji skaduti
- Għadd ta’ regoli b’sors, destinazzjoni jew servizz “any”
- Għadd ta’ servizzi esposti għall-internet skont il-kritikalità
- Perċentwal ta’ flussi bejn iż-żoni b’riskju għoli b’logging attivat
- Għadd ta’ tibdiliet ta’ emerġenza fil-firewall kull tliet xhur
- Perċentwal ta’ regoli kkampjunati mqabbla ma’ tickets tat-tibdil approvati
- Għadd ta’ fallimenti fit-testijiet tas-segmentazzjoni
- Mean time to remediate għal regoli riskjużi jew mhux użati
- Għadd ta’ eċċezzjonijiet eqdem minn 90 jum
- Għadd ta’ regoli ta’ aċċess minn partijiet terzi rieżaminati u riċertifikati
Il-Politika tas-Sigurtà tan-Netwerk tidentifika “Effettività tal-kontrolli tar-regoli tal-firewall” bħala konsiderazzjoni ta’ konformità u infurzar fit-taqsima “Infurzar u konformità,” klawżola 8.2.2. Dik il-frażi hija importanti għaliex l-eżistenza tar-regoli mhijiex biżżejjed. Ir-regoli għandhom ikunu effettivi, rieżaminati u allinjati mar-riskju attwali.
Ibni l-pakkett ta’ evidenza tas-segmentazzjoni għall-2026
Pakkett prattiku ta’ evidenza għas-segmentazzjoni u r-rieżami tar-regoli tal-firewall għandu jkun lest qabel ma l-awditur jistaqsih.
Bħala minimu, żomm:
- Dijagramma attwali tal-arkitettura tan-netwerk, inklużi żoni cloud u ibridi
- Standard tal-klassifikazzjoni taż-żoni, inklużi s-sensittività u l-livell ta’ fiduċja
- Matriċi tal-flussi għal servizzi kritiċi u sistemi ta’ data personali
- Esportazzjoni tar-regoli tal-firewall u tal-gruppi tas-sigurtà fil-cloud
- Reġistru tas-sidien tar-regoli u tar-riċertifikazzjoni
- Proċedura tar-rieżami tal-firewall u kalendarju tar-rieżami
- Reġistri tat-tibdil għal modifiki kkampjunati tal-firewall
- Reġistru tal-Eċċezzjonijiet b’approvazzjonijiet, skadenza u kontrolli kumpensatorji
- Riżultati tat-testijiet tas-segmentazzjoni u reġistri tar-rimedju
- Evidenza ta’ logging u monitoraġġ għal flussi b’riskju għoli
- Playbooks tal-inċidenti li juru trażżin skont iż-żona
- Metriċi ta’ rappurtar maniġerjali u minuti tal-laqgħat
Immappja din l-evidenza mal-klawżoli ISO/IEC 27001:2022 u mal-oqsma tal-kontroll ta’ Annex A. Imbagħad agħmel cross-reference tagħha ma’ NIS2 Article 21, GDPR Article 32, ir-rekwiżiti tal-ġestjoni tar-riskju tal-ICT u tal-ittestjar ta’ DORA, ir-riżultati ta’ NIST CSF 2.0 bħal GOVERN, PROTECT, DETECT u RESPOND, u l-prattiki ta’ governanza COBIT.
NIST CSF 2.0 huwa partikolarment utli bħala saff ta’ komunikazzjoni għall-bord. Il-funzjoni GOVERN tiegħu tiffoka fuq rekwiżiti legali, regolatorji u kuntrattwali, aptit għar-riskju, rwoli, politiki u sorveljanza. Ir-riżultati operattivi tiegħu jindirizzaw ġestjoni tal-konfigurazzjoni, logging, monitoraġġ, protezzjoni tad-data, rispons għall-inċidenti u rkupru. Dan jgħin lit-tmexxija tifhem ir-riskju mingħajr ma taqra ACLs tal-firewall.
Sejbiet komuni li Clarysec jara fl-awditi tas-segmentazzjoni
Fost fornituri SaaS, fintech, fornituri ta’ servizzi ġestiti u SMEs regolati, l-istess sejbiet jidhru ripetutament:
- Netwerk ċatt bejn endpoints tal-utenti u servizzi ta’ produzzjoni
- Databases tal-produzzjoni li jistgħu jintlaħqu minn netwerks tal-iżvilupp jew korporattivi
- Gruppi tas-sigurtà cloud wiesgħa kkupjati minn templates qodma
- Regoli temporanji tal-fornituri mingħajr skadenza
- Tibdil fil-firewall magħmul barra mill-proċess tat-tibdil
- Regoli mingħajr sid jew ġustifikazzjoni tan-negozju
- Logging diżattivat fuq regoli allow b’riskju għoli
- Wi‑Fi għall-mistiedna mhux iżolat kompletament
- Interfaċċi amministrattivi li jistgħu jintlaħqu minn netwerks ġenerali
- Dijagrammi li ma jaqblux mar-routing attwali
- Nuqqas ta’ evidenza li r-rieżamijiet tar-regoli tlestew
- Nuqqas ta’ ttestjar tas-segmentazzjoni wara tibdiliet maġġuri fl-arkitettura
- Nuqqas ta’ immappjar bejn sistemi ta’ data personali u żoni tan-netwerk
- Nuqqas ta’ rappurtar maniġerjali dwar l-espożizzjoni tan-netwerk
Dawn is-sejbiet mhumiex biss dgħufijiet tekniċi. Jdgħajfu l-kapaċità tal-organizzazzjoni li tipprova l-iġjene ċibernetika ta’ NIS2, ir-reżiljenza operattiva ta’ DORA u r-responsabbiltà taħt GDPR Article 32.
Minn tindif reattiv għal kontroll difensibbli
Is-segmentazzjoni tan-netwerk u r-rieżami tar-regoli tal-firewall huma fejn l-arkitettura tas-sigurtà tiltaqa’ mar-realtà tal-awditjar. Jekk tista’ turi mudell ta’ zoning ibbażat fuq ir-riskju, flussi kkontrollati bejn iż-żoni, tibdiliet approvati fil-firewall, eċċezzjonijiet limitati fiż-żmien, evidenza ta’ logging u verifika perjodika, tista’ twieġeb għal firxa wiesgħa ta’ mistoqsijiet ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST u COBIT b’narrattiva waħda koerenti.
Clarysec jista’ jgħinek tibni dik in-narrattiva.
Uża Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur biex tistruttura l-vjaġġ tal-implimentazzjoni, speċjalment Kontrolli fl-Azzjoni Pass 20 għas-sigurtà tan-netwerk u s-segmentazzjoni, u Pass 21 għall-ġestjoni tat-tibdil. Uża Zenith Controls: Il-gwida għall-konformità trasversali biex timmappja l-kontrolli ISO/IEC 27002:2022 8.20, 8.22 u 8.32 mal-aspettattivi tal-awditjar ta’ NIS2, DORA, GDPR, NIST u COBIT. Ibbaza r-regoli operattivi tiegħek fuq il-Politika tas-Sigurtà tan-Netwerk, il-Network Security Policy-sme u l-Politika tal-Illoggjar u l-Monitoraġġ ta’ Clarysec.
Il-pass li jmiss tiegħek huwa sempliċi u ta’ valur għoli: agħżel servizz kritiku wieħed, bħal produzzjoni tal-klijenti, ipproċessar tal-pagamenti jew ġestjoni tal-identità, u wettaq rieżami ta’ kampjun ta’ 10 regoli din il-ġimgħa. Għal kull regola, ikkonferma s-sid, il-ġustifikazzjoni, is-sors, id-destinazzjoni, il-port, il-logging, it-ticket tat-tibdil u l-iskadenza. Jekk ma tistax tipprova dawk is-seba’ fatti, għandek il-bidu tal-pjan ta’ titjib tas-segmentazzjoni tiegħek għall-2026.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
