Evidenza tat-TOMs tal-Artikolu 32 tal-GDPR b’ISO, NIS2 u DORA
L-email tasal fl-inbox tas-CISO bil-piż familjari ta’ opportunità kummerċjali li tista’ tbiddel il-kwart tal-kumpanija.
Prospett enterprise ewlieni jitlob evidenza ta’ “miżuri tekniċi u organizzattivi tal-Artikolu 32 tal-GDPR, immappjati ma’ ISO 27001:2022, NIS2 u DORA fejn applikabbli.” Fl-istess ħin, il-funzjoni legali tkun infurmat lill-bord dwar ir-responsabbiltà tal-maniġment taħt NIS2 u l-aspettattivi ta’ reżiljenza operattiva taħt DORA. L-istruzzjoni tal-bord tidher sempliċi: uri l-konformità, evita xogħol duplikat, u tittrasformax dan fi tliet proġetti separati.
Il-kumpanija għandha kontrolli. L-MFA hija attivata. Il-backups jaħdmu. L-iżviluppaturi jirrevedu l-kodiċi. It-tim tal-privatezza jżomm reġistri tal-ipproċessar. It-tim tal-infrastruttura jwettaq skannjar tal-vulnerabbiltajiet. Il-fornituri jiġu rieżaminati matul l-akkwist. Iżda meta l-prospett jitlob evidenza, it-tweġiba tinqasam f’biċċiet.
Ir-rapport tal-fornitur tal-identità jinsab f’post wieħed. Il-logs tal-backup jinsabu f’post ieħor. Ir-Reġistru tar-Riskji ma ġiex aġġornat mill-aħħar rilaxx tal-prodott. L-evidenza tas-sigurtà tal-fornituri tinsab f’emails tal-akkwist. In-noti tal-eżerċizzji tabletop tar-rispons għall-inċidenti jeżistu, iżda ħadd ma jista’ juri li l-lessons learned ġew inkorporati lura fit-trattament tar-riskju. Il-bord approva nefqa fuq is-sigurtà, iżda l-approvazzjoni mhijiex marbuta ma’ riskju tal-ICT jew ma’ deċiżjoni dokumentata dwar kontroll.
Din hija l-problema reali bil-miżuri tekniċi u organizzattivi tal-Artikolu 32 tal-GDPR, komunement imsejħa TOMs. Il-biċċa l-kbira tal-organizzazzjonijiet ma jfallux għax m’għandhomx kontrolli. Jfallu għax ma jistgħux juru li l-kontrolli huma bbażati fuq ir-riskju, approvati, implimentati, immonitorjati u mtejba.
Ir-responsabbiltà taħt il-GDPR tagħmel din l-aspettattiva espliċita. GDPR Article 5 jeħtieġ li d-data personali tkun protetta b’sigurtà xierqa kontra pproċessar mhux awtorizzat jew illegali u kontra telf, qerda jew ħsara aċċidentali. Article 5(2) jagħmel lill-kontrollur responsabbli biex juri l-konformità. Id-definizzjonijiet tal-GDPR huma importanti wkoll. Id-data personali hija kunċett wiesa’, l-ipproċessar ikopri kważi kull operazzjoni fuq id-data, il-psewdonimizzazzjoni hija salvagwardja rikonoxxuta, u ksur ta’ data personali jinkludi qerda, telf, alterazzjoni, żvelar mhux awtorizzat jew aċċess aċċidentali jew illegali.
Għalhekk, fajl ta’ evidenza tal-Artikolu 32 ma jistax ikun folder ta’ screenshots każwali. Għandu jkun sistema ħajja ta’ kontrolli.
L-approċċ ta’ Clarysec huwa li jittrasforma t-TOMs tal-Artikolu 32 tal-GDPR f’mekkaniżmu ta’ evidenza traċċabbli mibni fuq ISO/IEC 27001:2022 ISO/IEC 27001:2022, imsaħħaħ b’ġestjoni tar-riskju skont ISO/IEC 27005:2022, u b’referenzi inkroċjati għall-obbligi ta’ NIS2 u DORA fejn japplikaw. L-għan mhuwiex burokrazija għal rasha. L-għan huwa li l-organizzazzjoni tkun lesta għall-awditjar qabel ma klijent, awditur, regolatur jew membru tal-bord jistaqsi l-mistoqsija diffiċli.
Għaliex it-TOMs tal-Artikolu 32 tal-GDPR ifallu fil-prattika
Article 32 spiss jinftiehem ħażin bħala lista ta’ għodod tas-sigurtà: iċċifrar, backups, logging, kontroll tal-aċċess u rispons għall-inċidenti. Dawn il-miżuri huma importanti, iżda jkunu difensibbli biss meta jkunu xierqa għar-riskju u marbuta maċ-ċiklu tal-ħajja tad-data personali.
Għal kumpanija SaaS li tipproċessa data tal-impjegati tal-klijenti, “nużaw iċċifrar” mhuwiex biżżejjed. Awditur jista’ jistaqsi liema data jipproteġi l-iċċifrar, fejn huwa meħtieġ l-iċċifrar, kif jiġu ġestiti ċ-ċwievet, jekk il-backups humiex iċċifrati, jekk id-data tal-produzzjoni hijiex masked waqt l-ittestjar, min jista’ jevita l-kontrolli, u kif jiġu approvati l-eċċezzjonijiet.
Il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza enterprise ta’ Clarysec taqbad il-prinċipju operattiv:
“Implimenta miżuri tekniċi u organizzattivi (TOMs) li jipproteġu l-Kunfidenzjalità, l-Integrità u d-Disponibbiltà tal-informazzjoni personali (PII) tul iċ-ċiklu tal-ħajja tagħha.”
Sors: Politika dwar il-Protezzjoni tad-Data u l-Privatezza, Objettivi, klawżola tal-politika 3.3. Politika dwar il-Protezzjoni tad-Data u l-Privatezza
Il-frażi “tul iċ-ċiklu tal-ħajja tagħha” hija fejn ħafna programmi tat-TOMs jiddgħajfu. Id-data personali tista’ tkun protetta fl-ambjent ta’ produzzjoni iżda tiġi kkupjata f’sistemi ta’ analytics, logs, esportazzjonijiet ta’ appoġġ, ambjenti tat-test, backups, pjattaformi tal-fornituri u apparati tal-impjegati. Kull post joħloq riskju għas-sigurtà u għall-privatezza.
GDPR Article 6 jeħtieġ bażi legali għall-ipproċessar, inklużi kunsens, kuntratt, obbligu legali, interessi vitali, kompitu pubbliku jew interessi leġittimi. Meta d-data terġa’ tintuża għal għan ulterjuri, għandhom jiġu kkunsidrati l-kompatibbiltà u salvagwardji bħall-iċċifrar jew il-psewdonimizzazzjoni. Għal data b’riskju ogħla, il-piż tal-evidenza jiżdied. GDPR Article 9 jistabbilixxi limiti stretti fuq kategoriji speċjali ta’ data personali, bħad-data dwar is-saħħa, data bijometrika użata għall-identifikazzjoni u informazzjoni sensittiva oħra. Article 10 jirrestrinġi d-data dwar kundanni kriminali u reati.
Għall-SMEs, Clarysec jesprimi t-trattament tar-riskju b’lingwaġġ prattiku:
“Il-kontrolli għandhom jiġu implimentati biex inaqqsu r-riskji identifikati, inklużi l-iċċifrar, l-anonimizzazzjoni, ir-rimi sigur, u r-restrizzjonijiet fuq l-aċċess”
Sors: Politika dwar il-Protezzjoni tad-Data u l-Privatezza-sme, Trattament tar-riskju u eċċezzjonijiet, klawżola tal-politika 7.2.1. Politika dwar il-Protezzjoni tad-Data u l-Privatezza - SME
Din hija linja bażi b’saħħitha għat-TOMs. Biex issir lesta għall-awditjar, kull kontroll għandu jkun marbut ukoll ma’ riskju, sid, rekwiżit ta’ politika, oġġett ta’ evidenza u frekwenza ta’ rieżami.
ISO 27001:2022 huwa s-sinsla tal-evidenza għall-Artikolu 32
ISO 27001:2022 jaħdem tajjeb għall-Artikolu 32 tal-GDPR għaliex jittratta s-sigurtà bħala sistema ta’ ġestjoni, mhux bħala lista maqtugħa ta’ kontrolli. Jeħtieġ sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni, jew ISMS, imfassla biex tippreserva l-kunfidenzjalità, l-integrità u d-disponibbiltà permezz tal-ġestjoni tar-riskju.
L-ewwel pass kritiku huwa l-kamp ta’ applikazzjoni. Il-klawżoli 4.1 sa 4.4 ta’ ISO 27001:2022 jeħtieġu li l-organizzazzjoni tifhem kwistjonijiet interni u esterni, tidentifika partijiet interessati u rekwiżiti, tiddetermina liema rekwiżiti se jiġu indirizzati mill-ISMS, u tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS, inklużi l-interfaċċi u d-dipendenzi ma’ organizzazzjonijiet esterni. Għat-TOMs tal-Artikolu 32, il-kamp ta’ applikazzjoni tal-ISMS għandu jirrifletti l-ipproċessar tad-data personali, l-obbligi tal-klijenti, il-proċessuri, is-subprocessors, il-pjattaformi cloud, ix-xogħol remot, il-funzjonijiet ta’ appoġġ u l-ambjenti tal-prodott.
It-tieni pass huwa t-tmexxija. Il-klawżoli 5.1 sa 5.3 jeħtieġu impenn tal-ogħla tmexxija, politika tas-sigurtà tal-informazzjoni, riżorsi, rwoli u responsabbiltajiet, u rappurtar tal-prestazzjoni. Dan huwa importanti għaliex l-Artikolu 32 tal-GDPR, NIS2 u DORA kollha jiddependu fuq il-governanza. Kontroll mingħajr sjieda, finanzjament jew rieżami huwa evidenza dgħajfa.
Il-Politika tas-Sigurtà tal-Informazzjoni enterprise ta’ Clarysec tagħmel dan espliċitu:
“L-ISMS għandu jinkludi limiti definiti tal-kamp ta’ applikazzjoni, metodoloġija ta’ valutazzjoni tar-riskju, objettivi miżurabbli, u kontrolli dokumentati ġġustifikati fid-Dikjarazzjoni ta’ Applikabbiltà (SoA).”
Sors: Politika tas-Sigurtà tal-Informazzjoni, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola tal-politika 6.1.2. Politika tas-Sigurtà tal-Informazzjoni
L-istess politika tistabbilixxi l-aspettattiva tal-evidenza:
“Il-kontrolli kollha implimentati għandhom ikunu jistgħu jiġu awditjati, appoġġati minn proċeduri dokumentati u minn evidenza miżmuma tat-tħaddim tagħhom.”
Sors: Politika tas-Sigurtà tal-Informazzjoni, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola tal-politika 6.6.1.
Il-klawżoli 6.1.1 sa 6.1.3 ta’ ISO 27001:2022 imbagħad jeħtieġu valutazzjoni tar-riskju, trattament tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, approvazzjoni tar-riskju residwu u responsabbiltà tas-sid tar-riskju. Il-klawżola 6.2 teħtieġ objettivi miżurabbli. Il-klawżoli 7.5, 9.1, 9.2, 9.3 u 10.2 jeħtieġu informazzjoni dokumentata, monitoraġġ, awditjar intern, rieżami mill-maniġment u azzjoni korrettiva.
Għall-Artikolu 32 tal-GDPR, dan joħloq struttura difensibbli.
| Mistoqsija dwar evidenza tal-Artikolu 32 tal-GDPR | Tweġiba ta’ evidenza skont ISO 27001:2022 |
|---|---|
| Kif iddeċidejtu liema TOMs huma xierqa? | Kriterji ta’ valutazzjoni tar-riskju, Reġistru tar-Riskji, punteġġjar tal-probabbiltà u tal-impatt, Pjan ta’ Trattament tar-Riskju |
| Liema kontrolli japplikaw u għaliex? | Dikjarazzjoni ta’ Applikabbiltà b’ġustifikazzjonijiet għall-inklużjoni u l-esklużjoni |
| Min approva r-riskju residwu? | Approvazzjoni tas-sid tar-riskju u sign-off tal-maniġment |
| Il-kontrolli qegħdin joperaw? | Logs, tickets, reġistri tar-rieżami, riżultati tat-testijiet, rapporti ta’ monitoraġġ |
| Il-kontrolli jiġu rieżaminati? | Rapporti tal-awditjar intern, minuti tar-rieżami mill-maniġment, log tal-azzjonijiet korrettivi |
| Ir-riskji għad-data personali jiġu kkunsidrati? | Entrati tar-riskju tal-protezzjoni tad-data, rekwiżiti tal-privatezza fil-kamp ta’ applikazzjoni, DPIA jew valutazzjoni ekwivalenti fejn applikabbli |
ISO/IEC 27005:2022 isaħħaħ din l-istruttura. Jagħti parir lill-organizzazzjonijiet biex jidentifikaw rekwiżiti minn ISO 27001:2022 Annex A, regolamenti, kuntratti, standards settorjali, regoli interni u kontrolli eżistenti, u mbagħad idaħħluhom fil-valutazzjoni u t-trattament tar-riskju. Jeħtieġ ukoll kriterji tar-riskju u kriterji ta’ aċċettazzjoni li jqisu fatturi legali, regolatorji, operattivi, tal-fornituri, teknoloġiċi u umani, inkluża l-privatezza.
Il-Politika tal-Ġestjoni tar-Riskju ta’ Clarysec hija allinjata direttament:
“Għandu jinżamm proċess formali tal-ġestjoni tar-riskju skont ISO/IEC 27005 u ISO 31000, li jkopri l-identifikazzjoni tar-riskju, l-analiżi, l-evalwazzjoni, it-trattament, il-monitoraġġ u l-komunikazzjoni.”
Sors: Politika tal-Ġestjoni tar-Riskju, Rekwiżiti ta’ governanza, klawżola tal-politika 5.1. Politika tal-Ġestjoni tar-Riskju
Għall-SMEs, l-istess rekwiżit isir sempliċi u azzjonabbli:
“Kull entrata tar-riskju għandha tinkludi: deskrizzjoni, probabbiltà, impatt, punteġġ, sid, u pjan ta’ trattament.”
Sors: Politika tal-Ġestjoni tar-Riskju-sme, Rekwiżiti ta’ governanza, klawżola tal-politika 5.1.2. Politika tal-Ġestjoni tar-Riskju - SME
Dik is-sentenza hija test rapidu tal-kapaċità li tintwera l-konformità waqt awditu. Jekk riskju m’għandux sid jew pjan ta’ trattament, għadu mhuwiex riskju lest bħala evidenza.
Il-pont ta’ Clarysec: riskju, SoA, kontrolli u regolamenti
Zenith Blueprint: An Auditor’s 30-Step Roadmap ta’ Clarysec Zenith Blueprint jittratta l-konformità bħala xogħol ta’ traċċabbiltà. Fil-fażi tal-Ġestjoni tar-Riskju, Step 13 jiffoka fuq l-ippjanar tat-trattament tar-riskju u d-Dikjarazzjoni ta’ Applikabbiltà. Jispjega li l-organizzazzjonijiet għandhom jimmappjaw il-kontrolli mar-riskji, iżidu referenzi għall-kontrolli ta’ Annex A fl-entrati tat-trattament tar-riskju, jagħmlu referenzi inkroċjati għal regolamenti esterni, u jiksbu approvazzjoni mill-maniġment.
Il-Zenith Blueprint huwa dirett dwar ir-rwol tas-SoA:
“Is-SoA hija effettivament dokument ta’ konnessjoni: torbot il-valutazzjoni/trattament tar-riskju tiegħek mal-kontrolli attwali li għandek. Meta timlieha, tivverifika wkoll jekk tliftx xi kontrolli.”
Sors: Zenith Blueprint: An Auditor’s 30-Step Roadmap, fażi tal-Ġestjoni tar-Riskju, Step 13: Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà (SoA). Zenith Blueprint
Step 14 tal-Zenith Blueprint iżid is-saff tar-referenzi inkroċjati regolatorji. Jagħti parir lill-organizzazzjonijiet biex jiddokumentaw kif ir-rekwiżiti tal-GDPR, NIS2 u DORA huma koperti minn politiki u kontrolli. Għall-GDPR, jenfasizza l-protezzjoni tad-data personali fil-valutazzjonijiet u t-trattamenti tar-riskju, inkluż l-iċċifrar bħala miżura teknika u r-rispons għall-ksur bħala parti mill-ambjent tal-kontroll. Għal NIS2, jenfasizza l-valutazzjoni tar-riskju, is-sigurtà tan-network, il-kontroll tal-aċċess, l-immaniġġjar tal-inċidenti u l-kontinwità tan-negozju. Għal DORA, jindika l-ġestjoni tar-riskju tal-ICT, ir-rispons għall-inċidenti, ir-rappurtar u s-sorveljanza ta’ partijiet terzi tal-ICT.
Dan huwa l-qalba tal-metodu ta’ Clarysec: ISMS wieħed, Reġistru tar-Riskji wieħed, SoA waħda, librerija waħda tal-evidenza, diversi riżultati ta’ konformità.
Zenith Controls: The Cross-Compliance Guide Zenith Controls jappoġġa dan billi jgħin lill-organizzazzjonijiet jużaw is-suġġetti ta’ kontroll ta’ ISO/IEC 27002:2022 ISO/IEC 27002:2022 bħala ankri għal konformità trasversali. Għall-Artikolu 32 tal-GDPR, l-aktar ankri importanti spiss jinkludu Privatezza u Protezzjoni tal-PII, kontroll 5.34; Rieżami indipendenti tas-Sigurtà tal-Informazzjoni, kontroll 5.35; u Użu tal-Kriptografija, kontroll 8.24.
| Ankru ta’ kontroll ISO/IEC 27002:2022 f’Zenith Controls | Għaliex huwa importanti għat-TOMs tal-Artikolu 32 | Eżempji ta’ evidenza |
|---|---|---|
| 5.34 Privatezza u Protezzjoni tal-PII | Jorbot il-kontrolli tas-sigurtà tal-informazzjoni mal-immaniġġjar tad-data personali u l-obbligi tal-privatezza | Inventarju tad-data, valutazzjoni tar-riskju tal-privatezza, skeda ta’ żamma, reġistri tad-DPA, rieżamijiet tal-aċċess |
| 5.35 Rieżami indipendenti tas-Sigurtà tal-Informazzjoni | Juri assigurazzjoni oġġettiva, awditabbiltà u titjib | Rapport tal-awditjar intern, evalwazzjoni esterna, log tal-azzjonijiet korrettivi, rieżami mill-maniġment |
| 8.24 Użu tal-Kriptografija | Jipproteġi l-kunfidenzjalità u l-integrità tad-data fi tranżitu, maħżuna u fil-backups | Standard tal-iċċifrar, reġistri tal-ġestjoni taċ-ċwievet, evidenza tal-iċċifrar tad-diska, konfigurazzjoni TLS, iċċifrar tal-backups |
NIS2 jittrasforma t-TOMs f’kwistjoni ta’ ċibersigurtà fil-livell tal-bord
Ħafna organizzazzjonijiet jittrattaw it-TOMs tal-GDPR bħala responsabbiltà tat-tim tal-privatezza. NIS2 ibiddel il-konverżazzjoni.
NIS2 japplika għal ħafna entitajiet medji u kbar f’setturi elenkati, u f’xi każijiet irrispettivament mid-daqs. Is-setturi diġitali u teknoloġiċi koperti jinkludu fornituri ta’ servizzi tal-cloud computing, fornituri ta’ ċentri tad-data, networks għat-twassil tal-kontenut, fornituri tas-servizz DNS, reġistri TLD, fornituri ta’ servizzi ta’ fiduċja, fornituri ta’ komunikazzjonijiet elettroniċi pubbliċi, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ta’ sigurtà ġestiti, swieq online, magni tat-tiftix u pjattaformi tan-networking soċjali. L-applikabbiltà għal SMEs tas-SaaS u tat-teknoloġija tiddependi fuq is-settur, id-daqs, id-deżinjazzjoni mill-Istat Membru u l-impatt sistemiku jew transkonfinali.
NIS2 Article 20 iqiegħed ir-responsabbiltà taċ-ċibersigurtà fuq il-korpi maniġerjali. Dawn għandhom japprovaw il-miżuri tal-ġestjoni tar-riskju taċ-ċibersigurtà, iwettqu sorveljanza tal-implimentazzjoni u jagħmlu taħriġ. Entitajiet essenzjali jistgħu jiffaċċjaw multi amministrattivi ta’ mill-inqas EUR 10 miljun jew mill-inqas 2 fil-mija tad-dħul annwali dinji. Entitajiet importanti jistgħu jiffaċċjaw multi ta’ mill-inqas EUR 7 miljun jew mill-inqas 1.4 fil-mija.
NIS2 Article 21 huwa direttament rilevanti għat-TOMs tal-Artikolu 32 għaliex jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati. Dawn il-miżuri għandhom iqisu l-istat tal-arti, standards Ewropej u internazzjonali, l-ispiża, l-espożizzjoni, id-daqs, il-probabbiltà, is-severità u l-impatt soċjetali jew ekonomiku. L-oqsma meħtieġa jinkludu analiżi tar-riskju, politiki tas-sigurtà, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u żvilupp siguri, immaniġġjar tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-Riżorsi Umani, kontroll tal-aċċess, ġestjoni tal-assi, MFA jew awtentikazzjoni kontinwa, u komunikazzjonijiet siguri fejn xieraq.
NIS2 Article 23 iżid rappurtar tal-inċidenti f’fażijiet: twissija bikrija fi żmien 24 siegħa, notifika ta’ inċident fi żmien 72 siegħa, aġġornamenti interim fejn mitluba, u rapport finali mhux aktar tard minn xahar wara n-notifika ta’ 72 siegħa. Jekk ksur ta’ data personali jikkwalifika wkoll bħala inċident sinifikanti taħt NIS2, il-fajl tal-evidenza tiegħek għandu jappoġġa kemm id-deċiżjonijiet ta’ rappurtar dwar il-privatezza kif ukoll dawk taċ-ċibersigurtà.
DORA jgħolli l-livell għar-reżiljenza finanzjarja u l-fornituri tal-ICT
DORA japplika mis-17 ta’ Jannar 2025 u joħloq qafas regolatorju għas-settur finanzjarju dwar ir-reżiljenza operattiva diġitali. Ikopri l-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti maġġuri relatati mal-ICT, l-ittestjar tar-reżiljenza operattiva, il-qsim ta’ intelligence dwar theddid ċibernetiku u vulnerabbiltajiet, riskju ta’ partijiet terzi tal-ICT, rekwiżiti kuntrattwali għall-fornituri tal-ICT, sorveljanza fuq fornituri kritiċi ta’ servizzi tal-ICT minn partijiet terzi, u superviżjoni.
Għal entitajiet finanzjarji identifikati wkoll taħt ir-regoli nazzjonali ta’ NIS2, DORA jopera bħala l-att legali tal-Unjoni speċifiku għas-settur għad-dmirijiet li jikkoinċidu fil-ġestjoni tar-riskju taċ-ċibersigurtà u r-rappurtar tal-inċidenti. Fil-prattika, l-entitajiet finanzjarji koperti għandhom jipprijoritizzaw DORA għal dawk l-oqsma li jikkoinċidu filwaqt li jżommu koordinazzjoni mal-awtoritajiet kompetenti ta’ NIS2 u s-CSIRTs fejn rilevanti.
Għall-evidenza tal-Artikolu 32 tal-GDPR, DORA huwa importanti b’żewġ modi. L-ewwel, kumpaniji fintech jistgħu jkunu direttament fil-kamp ta’ applikazzjoni bħala entitajiet finanzjarji, inklużi istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, fornituri ta’ servizzi ta’ informazzjoni dwar kontijiet, istituzzjonijiet tal-flus elettroniċi, ditti tal-investiment, fornituri ta’ servizzi tal-kriptoassi, postijiet tan-negozjar u fornituri ta’ servizzi ta’ crowdfunding. It-tieni, fornituri tas-SaaS, cloud, data, software u servizzi ġestiti jistgħu jiġu ttrattati minn klijenti finanzjarji bħala fornituri ta’ servizzi tal-ICT minn partijiet terzi għaliex DORA jiddefinixxi s-servizzi tal-ICT b’mod wiesa’.
DORA Article 5 jeħtieġ governanza u kontrolli interni għall-ġestjoni tar-riskju tal-ICT, bil-korp maniġerjali jiddefinixxi, japprova, iwettaq sorveljanza u jibqa’ responsabbli għall-arranġamenti tar-riskju tal-ICT. Article 6 jeħtieġ qafas dokumentat tal-ġestjoni tar-riskju tal-ICT, inklużi strateġiji, politiki, proċeduri, protokolli tal-ICT u għodod biex jipproteġu l-informazzjoni u l-assi tal-ICT. Article 17 jeħtieġ proċess ta’ ġestjoni tal-inċidenti relatati mal-ICT li jkopri sejbien, ġestjoni, notifika, reġistrazzjoni, kawża ewlenija, indikaturi ta’ twissija bikrija, klassifikazzjoni, rwoli, komunikazzjonijiet, eskalazzjoni u rispons. Article 19 jeħtieġ li inċidenti maġġuri relatati mal-ICT jiġu rrappurtati lill-awtoritajiet kompetenti.
DORA Articles 28 u 30 jagħmlu r-riskju ta’ partijiet terzi tal-ICT qasam ta’ kontroll regolat. L-entitajiet finanzjarji jibqgħu responsabbli għall-konformità meta jużaw servizzi tal-ICT. Jeħtieġu strateġija tar-riskju ta’ partijiet terzi, reġistri kuntrattwali, evalwazzjonijiet tal-kritiċità, diliġenza dovuta, rieżami tar-riskju ta’ konċentrazzjoni, drittijiet ta’ awditjar u spezzjoni, attivaturi ta’ terminazzjoni, strateġiji ta’ ħruġ u dispożizzjonijiet kuntrattwali li jkopru postijiet tad-data, disponibbiltà, awtentiċità, integrità, kunfidenzjalità, assistenza fl-inċidenti, irkupru, livelli tas-servizz u kooperazzjoni mal-awtoritajiet.
Għall-Artikolu 32, dan ifisser li l-fornituri huma parti mill-fajl tat-TOMs. Ma tistax turi s-sigurtà tal-ipproċessar jekk proċessuri kritiċi, pjattaformi cloud, fornituri ta’ analytics, għodod ta’ appoġġ u fornituri tal-ICT ma jkunux ikkontrollati.
Bini prattiku ta’ evidenza għall-Artikolu 32 f’ġimgħa
Fajl b’saħħtu ta’ evidenza jibda b’xenarju wieħed ċar tar-riskju.
Uża dan l-eżempju: “Aċċess mhux awtorizzat għad-data personali tal-klijenti fl-applikazzjoni tal-produzzjoni.”
Oħloq jew aġġorna l-entrata tar-riskju. Inkludi deskrizzjoni, probabbiltà, impatt, punteġġ, sid u pjan ta’ trattament. Assenja s-sid lill-Kap tal-Inġinerija, lill-Maniġer tas-Sigurtà jew lil rwol ekwivalenti responsabbli. Ikklassifika l-probabbiltà fuq il-bażi tal-mudell tal-aċċess, is-superfiċje ta’ attakk esposta, vulnerabbiltajiet magħrufa u inċidenti preċedenti. Ikklassifika l-impatt fuq il-bażi tal-volum tad-data personali, is-sensittività, il-kuntratti tal-klijenti, il-konsegwenzi tal-GDPR u impatt possibbli fuq is-servizz taħt NIS2 jew DORA.
Agħżel trattamenti bħal MFA għal aċċess privileġġjat, kontroll ta’ aċċess ibbażat fuq ir-rwoli, rieżamijiet tal-aċċess kull tliet xhur, iċċifrar tad-data maħżuna, TLS, skannjar tal-vulnerabbiltajiet, logging, twissijiet, backup sigur, proċeduri ta’ rispons għall-inċidenti u masking tad-data f’ambjenti mhux ta’ produzzjoni.
Imbagħad immappja r-riskju mas-SoA. Żid referenzi għal ISO/IEC 27002:2022 bħal 5.34 Privatezza u Protezzjoni tal-PII, 8.24 Użu tal-Kriptografija, 5.15 Kontroll tal-Aċċess, 5.18 Drittijiet tal-Aċċess, 8.13 Backup tal-Informazzjoni, 8.15 Logging, 8.16 Attivitajiet ta’ Monitoraġġ, 8.8 Ġestjoni tal-Vulnerabbiltajiet Tekniċi, 8.25 Ċiklu ta’ ħajja tal-iżvilupp sigur u 8.10 Tħassir tal-Informazzjoni fejn applikabbli. Żid noti li juru kif dawn il-kontrolli jappoġġaw GDPR Article 32, NIS2 Article 21 u l-ġestjoni tar-riskju tal-ICT ta’ DORA fejn rilevanti.
Għall-immappjar regolatorju, żomm l-ismijiet tal-kontrolli preċiżi u evita li timponi ekwivalenza falza.
| Kontroll ISO/IEC 27002:2022 | Isem il-kontroll | Għaliex inkluż | Immappjar regolatorju |
|---|---|---|---|
| 8.24 | Użu tal-Kriptografija | Jipproteġi l-kunfidenzjalità u l-integrità tad-data personali fi tranżitu, maħżuna u fil-backups | GDPR Art. 32; NIS2 Art. 21(2)(h) |
| 5.20 | Indirizzar tas-sigurtà tal-informazzjoni fi ftehimiet mal-fornituri | Jiżgura li l-obbligi tas-sigurtà tal-fornituri jkunu definiti b’mod kuntrattwali u jistgħu jiġu infurzati | Kontrolli tal-proċessuri tal-GDPR; NIS2 Art. 21(2)(d); DORA Art. 28 u Art. 30 |
| 5.24 | Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni | Jistabbilixxi tħejjija għas-sejbien, l-eskalazzjoni, l-evalwazzjoni u r-rappurtar | Responsabbiltà għall-ksur taħt il-GDPR; NIS2 Art. 23; DORA Art. 17 u Art. 19 |
| 8.13 | Backup tal-Informazzjoni | Jappoġġa d-disponibbiltà, ir-restawr u r-reżiljenza wara tfixkil jew telf ta’ data | GDPR Art. 32; NIS2 Art. 21(2)(c); aspettattivi ta’ kontinwità tal-ICT taħt DORA |
| 8.10 | Tħassir tal-Informazzjoni | Jappoġġa r-rimi sigur, l-applikazzjoni taż-żamma u l-minimizzazzjoni tad-data | Limitazzjoni tal-ħażna tal-GDPR u Art. 32; rekwiżiti kuntrattwali tal-klijenti |
Issa ibni l-folder tal-evidenza. Il-Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs ta’ Clarysec tagħti regola sempliċi:
“L-evidenza kollha għandha tinħażen f’folder ċentralizzat tal-awditjar.”
Sors: Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità-sme, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola tal-politika 6.2.1. Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità - SME
Għal dan ix-xenarju wieħed tar-riskju, il-folder għandu jkun fih:
| Oġġett ta’ evidenza | X’għandu jinħażen | Għaliex huwa importanti |
|---|---|---|
| Entrata tar-riskju | Deskrizzjoni tar-riskju, sid, punteġġ, pjan ta’ trattament u deċiżjoni dwar riskju residwu | Turi għażla tat-TOMs ibbażata fuq ir-riskju |
| Estratt tas-SoA | Kontrolli applikabbli u noti dwar GDPR, NIS2, DORA | Juri traċċabbiltà mir-riskju għall-kontroll |
| Rieżami tal-aċċess | Utenti rieżaminati, deċiżjonijiet, tneħħijiet u eċċezzjonijiet | Juri t-tħaddim tal-kontroll tal-aċċess |
| Rapport tal-MFA | Esportazzjoni li turi l-applikazzjoni tal-MFA għal aċċess privileġġjat | Jappoġġa l-evidenza tal-awtentikazzjoni |
| Evidenza tal-iċċifrar | Reġistru tal-konfigurazzjoni, nota tal-arkitettura jew reġistru tal-ġestjoni taċ-ċwievet | Jappoġġa l-kunfidenzjalità u l-integrità |
| Reġistru tal-vulnerabbiltajiet | L-aħħar skannjar, tickets ta’ rimedjazzjoni u eċċezzjonijiet aċċettati | Jappoġġa t-tnaqqis tar-riskju tekniku |
| Prova tal-logging | Kampjun ta’ avveniment SIEM, regola ta’ twissija u setting taż-żamma | Jappoġġa s-sejbien u l-investigazzjoni |
| Test tal-backup | Riżultat tat-test tar-restawr u reġistru tal-kopertura tal-backup | Jappoġġa d-disponibbiltà u r-reżiljenza |
| Eżerċizzju tal-inċidenti | Noti ta’ tabletop, log ta’ inċident tat-test jew reġistru tal-lessons learned | Jappoġġa t-tħejjija għar-rispons |
| Approvazzjoni tal-maniġment | Minuti tal-laqgħa, sign-off jew reġistru ta’ aċċettazzjoni tar-riskju | Jappoġġa r-responsabbiltà u l-proporzjonalità |
L-evidenza tal-aċċess m’għandhiex tieqaf ma’ screenshots. Il-Politika dwar il-Kontroll tal-Aċċess-sme żżid rekwiżit operattiv utli:
“Il-maniġer tal-IT għandu jiddokumenta r-riżultati tar-rieżami u l-azzjonijiet korrettivi.”
Sors: Politika dwar il-Kontroll tal-Aċċess-sme, Rekwiżiti ta’ governanza, klawżola tal-politika 5.5.3. Politika dwar il-Kontroll tal-Aċċess - SME
L-evidenza tal-backup għandha turi l-irkuprabbiltà, mhux biss xogħlijiet ta’ backup li rnexxew. Il-Politika dwar il-Backup u r-Restawr-sme tiddikjara:
“It-testijiet ta’ restawr jitwettqu mill-inqas kull tliet xhur, u r-riżultati jiġu dokumentati biex tiġi vverifikata l-irkuprabbiltà”
Sors: Politika dwar il-Backup u r-Restawr-sme, Rekwiżiti ta’ governanza, klawżola tal-politika 5.3.3. Politika dwar il-Backup u r-Restawr - SME
Dan jagħtik ċiklu sħiħ ta’ evidenza: ir-regolament joħloq ir-rekwiżit, ir-riskju jispjega għaliex huwa importanti, is-SoA tagħżel il-kontroll, il-politika tiddefinixxi t-tħaddim, u l-evidenza miżmuma turi li l-kontroll jaħdem.
Kontrolli fl-azzjoni: it-trasformazzjoni tal-politika f’evidenza operattiva
Il-fażi Controls in Action tal-Zenith Blueprint, Step 19, tiffoka fuq il-verifika teknika. Tirrakkomanda rieżami tal-konformità tas-sigurtà tal-endpoint, ġestjoni tal-identità u tal-aċċess, konfigurazzjonijiet tal-awtentikazzjoni, sigurtà tal-kontroll tas-sors, kapaċità u disponibbiltà, ġestjoni tal-vulnerabbiltajiet u tal-patches, linji bażi siguri, protezzjoni kontra l-malware, tħassir u minimizzazzjoni tad-data, masking u data tat-test, DLP, backup u restawr, ridondanza, logging u monitoraġġ, u sinkronizzazzjoni tal-ħin.
Għat-TOMs tal-Artikolu 32 tal-GDPR, Step 19 huwa fejn il-lingwa astratta tal-kontroll issir prova. Fajl b’saħħtu ta’ evidenza għandu juri li:
- L-iċċifrar tal-endpoint huwa attivat u mmonitorjat.
- Utenti privileġġjati għandhom MFA.
- Il-proċessi ta’ dħul, trasferiment u tluq jiġu rrikonċiljati mar-reġistri tar-Riżorsi Umani.
- Il-kontijiet ta’ servizz huma dokumentati u ristretti.
- Ir-repożitorji tal-kodiċi għandhom kontroll tal-aċċess u jitwettaq skannjar tas-sigrieti.
- L-iskannjar ta’ vulnerabbiltajiet jitwettaq u jiġi segwit sal-azzjoni ta’ rimedju.
- Id-data tal-produzzjoni ma tiġix ikkoppjata b’mod każwali f’ambjenti tat-test.
- Il-politiki ta’ tħassir sigur u taż-żamma jiġu applikati.
- It-twissijiet tad-DLP jiġu rieżaminati.
- It-testijiet tar-restawr minn backup juru l-irkuprabbiltà.
- Il-logs huma ċentralizzati, miżmuma u jistgħu jiġu rieżaminati.
- Is-sinkronizzazzjoni tal-ħin tappoġġa investigazzjoni affidabbli tal-inċidenti.
Il-punt ewlieni huwa r-rabta. Rapport tal-patches mingħajr referenza għal riskju, politika u SoA huwa artefatt tal-IT. Rapport tal-patches marbut mal-Artikolu 32 tal-GDPR, NIS2 Article 21, il-ġestjoni tar-riskju tal-ICT ta’ DORA u pjan ta’ trattament tar-riskju skont ISO 27001:2022 huwa evidenza lesta għall-awditjar.
Fajl wieħed ta’ evidenza, diversi perspettivi ta’ awditjar
L-istess evidenza tat-TOMs tinqara b’modi differenti minn partijiet interessati differenti. Rieżaminatur tal-privatezza jista’ jiffoka fuq data personali, ħtieġa, proporzjonalità u responsabbiltà. Awditur ta’ ISO 27001 jista’ jiffoka fuq il-kamp ta’ applikazzjoni, it-trattament tar-riskju, is-SoA u l-evidenza tat-tħaddim. Awtorità ta’ NIS2 tista’ tiffoka fuq is-sorveljanza tal-maniġment, il-miżuri ta’ Article 21 u t-tħejjija għar-rappurtar taħt Article 23. Superviżur ta’ DORA jew klijent finanzjarju jista’ jiffoka fuq il-governanza tar-riskju tal-ICT, l-ittestjar tar-reżiljenza u d-dipendenzi fuq partijiet terzi.
Clarysec juża Zenith Controls bħala l-gwida ta’ konformità trasversali għal din it-traduzzjoni.
| Udjenza | X’se tistaqsi | Kif għandha twieġeb l-evidenza |
|---|---|---|
| Rieżaminatur tal-privatezza tal-GDPR | It-TOMs huma xierqa għar-riskju tad-data personali u tista’ tintwera r-responsabbiltà? | Reġistru tar-Riskji, inventarju tad-data, kontrolli tal-privatezza, reġistri taż-żamma, restrizzjonijiet fuq l-aċċess, evidenza tal-iċċifrar u reġistri tal-evalwazzjoni tal-ksur |
| Awditur ta’ ISO 27001:2022 | L-ISMS għandu kamp ta’ applikazzjoni definit, huwa bbażat fuq ir-riskju, implimentat, immonitorjat u mtejjeb? | Kamp ta’ applikazzjoni, metodoloġija tar-riskju, SoA, awditjar intern, rieżami mill-maniġment u azzjonijiet korrettivi |
| Rieżaminatur ta’ NIS2 | Il-miżuri taċ-ċibersigurtà huma approvati, proporzjonati u jkopru l-oqsma ta’ Article 21? | Approvazzjoni tal-bord, politiki tas-sigurtà, immaniġġjar tal-inċidenti, kontinwità, riskju tal-fornituri, taħriġ, MFA u ġestjoni tal-vulnerabbiltajiet |
| Superviżur ta’ DORA jew klijent finanzjarju | Ir-riskju tal-ICT huwa ggvernat, ittestjat u reżiljenti, inkluż ir-riskju ta’ partijiet terzi tal-ICT? | Qafas tar-riskju tal-ICT, strateġija ta’ reżiljenza, proċess tal-inċidenti, evidenza tal-ittestjar, reġistru tal-fornituri u pjanijiet ta’ ħruġ |
| Valutatur orjentat lejn NIST | L-organizzazzjoni tista’ tidentifika, tipproteġi, tiskopri, tirrispondi u tirkupra b’evidenza ripetibbli? | Inventarju tal-assi u tad-data, kontrolli ta’ protezzjoni, reġistri ta’ monitoraġġ, logs tar-rispons u testijiet ta’ rkupru |
| Awditur ta’ COBIT 2019 jew ISACA | Il-governanza hija responsabbli, imkejla u allinjata mal-objettivi tal-intrapriża? | Rwoli, rappurtar tal-maniġment, aptit għar-riskju, metriċi tal-prestazzjoni, riżultati tal-assigurazzjoni u azzjonijiet ta’ titjib |
Dan jipprevjeni xogħol ta’ konformità duplikat. Minflok tibni pakketti separati ta’ evidenza għal GDPR, NIS2 u DORA, ibni fajl wieħed ta’ evidenza tal-kontrolli u ttikkettja kull oġġett skont l-obbligi li jappoġġa.
Lakuni komuni fil-programmi tat-TOMs tal-Artikolu 32
L-aktar lakuna komuni hija l-orfanizzazzjoni tal-kontrolli. Kumpanija għandha kontroll, bħall-iċċifrar, iżda ma tistax tispjega liema riskju jittratta, liema politika teħtieġu, min għandu s-sjieda tiegħu jew kif jiġi rieżaminat.
It-tieni lakuna hija evidenza dgħajfa tal-fornituri. Taħt il-GDPR, il-proċessuri u s-subprocessors huma rilevanti. Taħt NIS2, is-sigurtà tal-katina tal-provvista hija parti mill-ġestjoni tar-riskju taċ-ċibersigurtà. Taħt DORA, ir-riskju ta’ partijiet terzi tal-ICT huwa qasam regolat b’reġistri, diliġenza dovuta, salvagwardji kuntrattwali, drittijiet ta’ awditjar u ppjanar tal-ħruġ. Spreadsheet tal-fornituri mhijiex biżżejjed jekk id-dipendenzi kritiċi ma jkunux evalwati skont ir-riskju u kkontrollati.
It-tielet lakuna hija l-evidenza tal-inċidenti. L-organizzazzjonijiet spiss ikollhom pjan ta’ rispons għall-inċidenti iżda l-ebda prova li l-klassifikazzjoni, l-eskalazzjoni, ir-rappurtar lill-awtorità u l-komunikazzjoni mal-klijenti ġew ittestjati. NIS2 u DORA jgħollu l-aspettattivi hawnhekk, u l-evalwazzjoni tal-ksur ta’ data personali taħt il-GDPR għandha tiġi integrata fl-istess fluss tax-xogħol.
Ir-raba’ lakuna hija l-prova tal-backup. Xogħol ta’ backup li jirnexxi ma jurix l-irkuprabbiltà. Test ta’ restawr dokumentat jagħmilha.
Il-ħames lakuna hija r-rieżami mill-maniġment. It-TOMs tal-Artikolu 32 għandhom ikunu proporzjonati għar-riskju. Jekk il-maniġment qatt ma jirrieżamina riskji, inċidenti, kwistjonijiet tal-fornituri, baġit, sejbiet tal-awditjar u riskju residwu, il-proporzjonalità ssir diffiċli biex tintwera.
It-toolkit finali lest għall-awditjar
Il-fażi Audit, Review and Improvement tal-Zenith Blueprint, Step 30, tipprovdi l-lista ta’ kontroll finali għat-tħejjija. Tinkludi l-kamp ta’ applikazzjoni u l-kuntest tal-ISMS, il-politika tas-sigurtà tal-informazzjoni ffirmata, dokumenti tal-valutazzjoni u t-trattament tar-riskju, SoA, politiki u proċeduri ta’ Annex A, reġistri tat-taħriġ, reġistri operattivi, rapport tal-awditjar intern, log tal-azzjonijiet korrettivi, minuti tar-rieżami mill-maniġment, evidenza tat-titjib kontinwu u reġistri tal-obbligi ta’ konformità.
Il-Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità enterprise ta’ Clarysec tiddikjara l-għan ta’ din id-dixxiplina:
“Li tiġġenera evidenza difensibbli u traċċa ta’ awditjar b’appoġġ għal mistoqsijiet regolatorji, proċeduri legali, jew talbiet ta’ assigurazzjoni mill-klijenti.”
Sors: Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità, Objettivi, klawżola tal-politika 3.4. Politika dwar il-Monitoraġġ tal-Awditjar u l-Konformità
Fajl matur ta’ evidenza tat-TOMs tal-Artikolu 32 għandu jinkludi:
| Kategorija ta’ evidenza | Kontenut minimu lest għall-awditjar |
|---|---|
| Governanza | Kamp ta’ applikazzjoni tal-ISMS, approvazzjoni tal-politika, rwoli, objettivi, minuti tar-rieżami mill-maniġment |
| Riskju | Metodoloġija tar-riskju, Reġistru tar-Riskji, pjan ta’ trattament, approvazzjonijiet tar-riskju residwu |
| SoA | Kontrolli applikabbli, esklużjonijiet, ġustifikazzjonijiet u mmappjar regolatorju |
| Privatezza | Inventarju tad-data, kontrolli tal-PII, evidenza taż-żamma, DPIA jew valutazzjoni tar-riskju tal-privatezza fejn applikabbli |
| Kontrolli tekniċi | MFA, rieżamijiet tal-aċċess, iċċifrar, ġestjoni tal-vulnerabbiltajiet, logging, monitoraġġ u evidenza ta’ żvilupp sigur |
| Reżiljenza | Kopertura tal-backup, testijiet ta’ restawr, pjanijiet ta’ kontinwità, eżerċizzji tal-inċidenti u metriċi ta’ rkupru |
| Assigurazzjoni tal-fornituri | Reġistru tal-fornituri, diliġenza dovuta, klawżoli kuntrattwali, monitoraġġ, drittijiet ta’ awditjar u ppjanar tal-ħruġ |
| Titjib | Awditi interni, azzjonijiet korrettivi, lessons learned u rieżamijiet tal-effettività tal-kontrolli |
Passi li jmiss: ibni evidenza tat-TOMs tal-Artikolu 32 ma’ Clarysec
Jekk għandek bżonn turi miżuri tekniċi u organizzattivi tal-Artikolu 32 tal-GDPR, tibdiex billi tiġbor screenshots każwali. Ibda bit-traċċabbiltà.
- Iddefinixxi l-kamp ta’ applikazzjoni tal-ISMS u l-limiti tal-ipproċessar tad-data personali.
- Identifika rekwiżiti tal-GDPR, NIS2, DORA, kuntrattwali u tal-klijenti.
- Ibni kriterji tar-riskju bl-użu ta’ ISO/IEC 27005:2022 u aptit għar-riskju approvat mill-maniġment.
- Oħloq jew aġġorna r-Reġistru tar-Riskji.
- Immappja kull trattament mal-kontrolli ta’ ISO 27001:2022 u mas-SoA.
- Uża Zenith Controls biex tagħmel referenzi inkroċjati bejn il-kontrolli tal-privatezza, tal-kontrolli kriptografiċi, tal-fornituri, tal-inċidenti u tar-rieżami indipendenti fost l-aspettattivi ta’ konformità.
- Segwi Zenith Blueprint Step 13 u Step 14 biex torbot ir-riskji, il-kontrolli u l-obbligi regolatorji.
- Uża Zenith Blueprint Step 19 biex tivverifika l-kontrolli tekniċi fit-tħaddim.
- Uża Zenith Blueprint Step 30 biex tgħaqqad il-fajl finali tal-evidenza lest għall-awditjar.
- Aħżen l-evidenza kollha b’mod ċentrali, ittikkettjaha skont ir-riskju u t-tema tal-kontroll, u żomm l-azzjonijiet korrettivi viżibbli.
Clarysec jista’ jgħinek tikkonverti GDPR Article 32 minn obbligu ta’ konformità vag f’sistema ta’ evidenza difensibbli u bbażata fuq ir-riskju, allinjata ma’ ISO 27001:2022, NIS2 u DORA.
Ibda bil-Zenith Blueprint, saħħu bil-politiki ta’ Clarysec, u uża Zenith Controls biex tagħmel kull TOM traċċabbli, ittestjabbli u lest għall-awditjar.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
