Intelligence dwar it-theddid skont ISO 27001 għal NIS2 u DORA

Fis-07:42 ta’ Tlieta filgħodu, is-CISO ta’ fintech Ewropea jirċievi erba’ messaġġi qabel il-kafè.

L-ewwel wieħed huwa twissija minn CERT nazzjonali li tavża li vulnerabbiltà ta’ aċċess remot qed tiġi sfruttata b’mod attiv. It-tieni huwa bullettin tal-fornitur li jikkonferma li l-komponent affettwat jintuża fi ħdan servizz immaniġġjat ta’ trasferiment ta’ fajls. It-tielet huwa notifika minn Managed Detection and Response li tindika traffiku mhux tas-soltu ħiereġ minn subnet mhux tal-produzzjoni. Ir-raba’ huwa mingħand is-CFO: “Dan jaffettwa l-pakkett tagħna ta’ tħejjija għal DORA, u rridu ninnotifikaw lil xi ħadd taħt NIS2?”

Din hija l-problema tal-intelligence dwar it-theddid fl-2026. Mhijiex kwistjoni ta’ ġbir ta’ aktar feeds. Hija kwistjoni ta’ prova li intelligence rilevanti dwar it-theddid ċibernetiku tiġi riċevuta, ivverifikata, assenjata, trattata u konvertita f’evidenza dwar ir-riskju, is-sejbien, il-vulnerabbiltajiet, l-inċidenti, il-fornituri u l-bord.

Ħafna organizzazzjonijiet diġà jabbonaw għal avviżi tal-fornituri, twissijiet tas-CISA, aġġornamenti tal-ENISA, avviżi minn CERT nazzjonali, bullettini tal-ISAC, notifiki tas-sigurtà minn fornituri cloud, feeds tas-CVE, rapporti tal-MDR, databases dwar l-isfruttabbiltà u monitoraġġ tad-dark web. Madankollu, meta jasal avviż reali, it-timijiet xorta jaġixxu b’urġenza iżda mingħajr koordinazzjoni. Is-SOC jikteb regola ta’ sejbien. It-tim tal-infrastruttura jfittex f’inventarji tal-assi li jistgħu ma jkunux aġġornati. Il-funzjoni tal-konformità tistaqsi jekk l-avveniment jaffettwax NIS2 jew DORA. Il-maniġment irid tweġiba ċara qabel l-organizzazzjoni tkun taf jekk il-komponent vulnerabbli jinsabx fil-produzzjoni.

Il-problema mhijiex nuqqas ta’ data. Hija n-nuqqas ta’ mudell operattiv li jista’ jiġi awditjat.

Feed tat-theddid li ħadd ma juża mhuwiex kontroll. Avviż dwar vulnerabbiltà li ma jbiddilx il-prijorità tal-patches mhuwiex evidenza. Avviż minn fornitur li qatt ma jasal fir-reġistru tar-riskji mhuwiex sigurtà tal-katina tal-provvista. Twissija ta’ CSIRT li ma taġġornax il-monitoraġġ, it-triage tal-inċidenti jew ir-rappurtar lill-maniġment hija biss storbju fil-kaxxa tal-posta.

L-approċċ ta’ Clarysec huwa sempliċi: l-intelligence dwar it-theddid trid issir sistema operattiva għad-deċiżjonijiet tar-riskju. Trid tkun inkorporata fil-kamp ta’ applikazzjoni tal-ISMS, fil-valutazzjoni tar-riskju, fid-Dikjarazzjoni ta’ Applikabbiltà, fil-playbooks tal-inċidenti, fit-triage tal-vulnerabbiltajiet, fil-logging u l-monitoraġġ, fil-governanza tal-fornituri, fir-rappurtar lill-maniġment u fil-pakkett tal-evidenza tal-awditu.

Għaliex l-intelligence dwar it-theddid issa hija kontroll fil-livell tal-bord

NIS2 bidlet it-ton tal-governanza taċ-ċibersigurtà. Daħħlet ħafna fornituri SaaS, fornituri cloud, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ta’ sigurtà ġestiti, organizzazzjonijiet tal-infrastruttura diġitali u fornituri ta’ servizzi diġitali fil-kamp ta’ applikazzjoni bħala entitajiet essenzjali jew importanti, skont is-settur, id-daqs u d-deżinjazzjoni mill-Istat Membru.

NIS2 Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati għall-ġestjoni tar-riskji. Dawn jinkludu analiżi tar-riskju, ġestjoni tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, sigurtà fl-akkwist, fl-iżvilupp u fil-manutenzjoni inkluża l-ġestjoni u l-iżvelar tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika bażika u taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, politika tal-ġestjoni tal-assi, u MFA jew awtentikazzjoni kontinwa fejn xieraq.

NIS2 Article 20 jeħtieġ ukoll li l-korpi maniġerjali japprovaw il-miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni tagħhom u jirċievu taħriġ. Għal entitajiet essenzjali, il-multa amministrattiva massima tista’ tilħaq mill-inqas EUR 10 miljun jew 2 fil-mija tad-dħul annwali globali, skont liema jkun l-ogħla. Għal entitajiet importanti, tista’ tilħaq mill-inqas EUR 7 miljun jew 1.4 fil-mija.

Għall-intelligence dwar it-theddid, il-mistoqsija fil-livell tal-bord issir: kif nafu li t-theddid emerġenti qed ibiddel il-kontrolli tagħna qabel ma jsir inċident?

DORA żżid saff ieħor għall-entitajiet finanzjarji u għall-fornituri terzi rilevanti tal-ICT. Tapplika mis-17 ta’ Jannar 2025 u teħtieġ qafas tal-ġestjoni tar-riskju tal-ICT sod, komprensiv u dokumentat sew, integrat fis-sistema ġenerali tal-ġestjoni tar-riskju. Il-qafas ta’ DORA jistenna li l-organizzazzjonijiet jidentifikaw u jikklassifikaw funzjonijiet tan-negozju u assi appoġġati mill-ICT, jipproteġu u jipprevjenu, jiskopru attività anomala, jirrispondu u jirkupraw, jimmaniġġjaw backups u restawr, jitgħallmu minn inċidenti tal-ICT, jikkomunikaw waqt kriżijiet u jimmaniġġjaw ir-riskju tal-ICT ta’ partijiet terzi.

DORA teħtieġ ukoll ġestjoni, klassifikazzjoni u rappurtar ta’ inċidenti relatati mal-ICT. Articles 17, 18, and 19 ikopru l-proċessi tal-ġestjoni tal-inċidenti, il-klassifikazzjoni ta’ inċidenti relatati mal-ICT u ta’ theddid ċibernetiku, u r-rappurtar ta’ inċidenti maġġuri relatati mal-ICT. Article 10 jiffoka fuq is-sejbien ta’ attivitajiet anomali. Articles 6 to 11 jiddeskrivu l-qafas tal-ġestjoni tar-riskju tal-ICT, l-identifikazzjoni, il-protezzjoni, il-prevenzjoni, is-sejbien, ir-rispons u l-aspettattivi ta’ rkupru.

Fi kliem ċar, DORA tistenna reżiljenza konxja mit-theddid. Mhux reżiljenza statika. Mhux reżiljenza bbażata fuq politika annwali. Reżiljenza konxja mit-theddid.

ISO/IEC 27001:2022 jipprovdi l-magna tas-sistema ta’ ġestjoni li tgħaqqad dawn l-aspettattivi. Clauses 4.1 to 4.4 jeħtieġu li l-organizzazzjoni tifhem il-kuntest intern u estern tagħha, il-partijiet interessati, l-obbligi legali u regolatorji, il-kamp ta’ applikazzjoni tal-ISMS, id-dipendenzi u l-proċessi li jinteraġixxu. Clauses 6.1.1 to 6.1.3 jeħtieġu proċess ripetibbli ta’ valutazzjoni tar-riskju u trattament tar-riskju, għażla ta’ kontrolli, tqabbil mal-Anness A, Dikjarazzjoni ta’ Applikabbiltà, ippjanar tat-trattament u approvazzjoni tar-riskju residwu mis-sid tar-riskju.

L-intelligence dwar it-theddid għandha tkun hemm, mhux bħala dashboard fuq il-ġenb, iżda bħala input għall-kuntest, ir-riskju, l-għażla tal-kontrolli, it-trattament, il-monitoraġġ, ir-rieżami mill-maniġment u t-titjib kontinwu.

In-nassa tal-konformità: feeds tat-theddid mingħajr traċċabbiltà tad-deċiżjonijiet

L-aktar mudell komuni ta’ falliment huwa qarrieqi fis-sempliċità tiegħu: l-organizzazzjoni tirċievi intelligence dwar it-theddid iżda ma tistax turi kif din tbiddel id-deċiżjonijiet.

Katina dgħajfa ta’ evidenza ġeneralment tidher hekk:

Hawnhekk il-metodu ta’ implimentazzjoni ta’ Clarysec jgħin lill-organizzazzjonijiet jimxu minn “nirċievu intelligence” għal “noperazzjonalizzaw l-intelligence.”

F’Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awditur Zenith Blueprint, il-fażi Controls in Action tibdel b’mod espliċitu l-intelligence dwar it-theddid fi prattika li tista’ tiġi awditjata. Pass 22, Kontrolli organizzattivi, jgħid:

Stabbilixxi lista dokumentata ta’ sorsi ta’ intelligence dwar it-theddid (5.7), minn fornituri, ISACs jew sorsi miftuħa, u ddetermina kif l-intelligence tiġi vverifikata u integrata fit-teħid tad-deċiżjonijiet. Iddefinixxi min jirċievi aġġornamenti dwar it-theddid u kif jiġu applikati (eż., prijoritizzazzjoni tal-patches, taħriġ ta’ sensibilizzazzjoni). Oħloq briefing qasir dwar ix-xejriet tat-theddid biex jitqassam kull tliet xhur lill-partijiet interessati ewlenin.

Dik l-istruzzjoni hija l-pont bejn id-data dwar it-theddid u l-evidenza tal-konformità. Reġistru tal-intelligence dwar it-theddid mhuwiex biss lista ta’ sorsi. Juri r-rilevanza, is-sjieda, il-verifika, ir-routing, l-integrazzjoni u l-użu fin-negozju.

Il-loġika tal-kontrolli ta’ ISO 27001: il-katina tal-intelligence dwar it-theddid

ISO/IEC 27002:2022 control 5.7, Intelligence dwar it-theddid, jeħtieġ li l-organizzazzjonijiet jiġbru u janalizzaw informazzjoni relatata mat-theddid għas-sigurtà tal-informazzjoni u jużawha biex jipproduċu intelligence dwar it-theddid. F’Zenith Controls: il-gwida għall-konformità trasversali Zenith Controls, control 5.7 huwa kklassifikat bħala preventiv, detettiv u korrettiv. Jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà, huwa allinjat mal-kunċetti taċ-ċibersigurtà Identify, Detect u Respond, u jinsab fi ħdan il-ġestjoni tat-theddid u tal-vulnerabbiltajiet bħala kapaċità operattiva.

Din il-klassifikazzjoni hija importanti. L-intelligence dwar it-theddid tipprevjeni billi tinforma l-hardening, il-patching, it-taħriġ u l-kontrolli tal-fornituri. Tiskopri billi tifforma l-monitoraġġ, ir-regoli tas-SIEM u l-kompiti ta’ threat hunting. Tikkoreġi billi ttejjeb ir-rispons għall-inċidenti, il-lessons learned u t-trattament tar-riskju.

Zenith Controls jimmappja wkoll ISO/IEC 27002:2022 control 5.7 ma’ kontrolli ta’ appoġġ:

Il-konnessjoni mal-vulnerabbiltajiet hija partikolarment importanti. Zenith Controls jittratta control 8.8, Ġestjoni tal-vulnerabbiltajiet tekniċi, bħala preventiv u marbut direttament ma’ control 5.7 għaliex l-intelligence dwar it-theddid fid-dinja reali tinforma liema vulnerabbiltajiet qed jiġu sfruttati b’mod attiv. Jgħaqqad ukoll 8.8 ma’ 8.16, Attivitajiet ta’ monitoraġġ, għaliex tentattivi osservati ta’ sfruttament għandhom jeskalaw l-urġenza tal-patches.

Dan joħloq katina prattika ta’ intelligence dwar it-theddid:

1. Tasal intelligence esterna jew interna.
2. Ir-rilevanza tiġi vverifikata kontra assi, fornituri, ġeografija, settur, servizzi tan-negozju u data.
3. Ir-riskju jiġi aġġornat.
4. Il-prijoritajiet tal-patches u tal-konfigurazzjoni jinbidlu.
5. Il-loġika tas-sejbien tiġi rfinata.
6. Il-playbooks tal-inċidenti u l-limiti tal-klassifikazzjoni jiġu rieżaminati.
7. Id-dipendenzi fuq fornituri u cloud jiġu ċċekkjati.
8. Il-maniġment jirċievi rappurtar dwar ix-xejriet.
9. L-evidenza tinżamm għall-awdituri, ir-regolaturi u l-klijenti.

Politiki li jbiddlu l-intelligence f’imġiba b’responsabbiltà ċara

Il-politiki huma fejn il-loġika tal-kontrolli ssir responsabbiltà bbażata fuq ir-rwoli. Is-settijiet ta’ politiki ta’ Clarysec għall-SMEs u għall-intrapriżi jinkludu punti ta’ rabta għall-intelligence dwar it-theddid fil-ġestjoni tar-riskju, il-protezzjoni tal-endpoints, il-ġestjoni tal-vulnerabbiltajiet, il-logging, il-monitoraġġ u l-evidenza tal-awditu.

Għall-SMEs, il-Politika dwar il-protezzjoni tal-endpoints u l-malware Politika dwar il-protezzjoni tal-endpoints u l-malware - SME tistabbilixxi aspettattiva diretta fil-klawżola 5.4.1 tar-Rekwiżiti ta’ governanza:

Il-Fornitur ta’ Appoġġ tal-IT għandu jimmonitorja sorsi kredibbli ta’ intelligence dwar it-theddid (eż., CISA, ENISA, fornituri ewlenin tal-antivirus) u jiżgura li l-firem tas-sejbien jibqgħu aġġornati.

Il-valur ta’ din il-klawżola huwa l-assenjazzjoni. L-intelligence dwar it-theddid mhijiex “xi ħadd fl-IT għandu jiċċekkja t-twissijiet.” Hija obbligu espliċitu tal-fornitur.

Il-Politika dwar il-ġestjoni tal-vulnerabbiltajiet u l-patches Politika dwar il-ġestjoni tal-vulnerabbiltajiet u l-patches - SME issaħħaħ l-istess mudell fil-klawżola 4.2.1 tar-Rwoli u responsabbiltajiet:

Jimmonitorja s-sistemi għal vulnerabbiltajiet u patches disponibbli bl-użu ta’ twissijiet tal-fornituri, avviżi ta’ intelligence dwar it-theddid u notifiki tas-sistemi operattivi.

Tidentifika wkoll, fil-klawżola 6.2.1.3 tar-Rekwiżiti għall-implimentazzjoni tal-politika, it-tip ta’ sors li għandu jattiva azzjoni:

Avviżi fdati ta’ intelligence dwar it-theddid (eż., CISA, ENISA, twissijiet ta’ CERT nazzjonali).

Għall-intrapriżi, il-Politika dwar il-ġestjoni tal-vulnerabbiltajiet u l-patches Politika dwar il-ġestjoni tal-vulnerabbiltajiet u l-patches tgħid fil-klawżola 4.5.1 tar-Rwoli u responsabbiltajiet:

Immonitorja avviżi dwar it-theddid (eż., CVE, CISA KEV, bullettini tal-fornituri) u eskala vulnerabbiltajiet kritiċi.

Ir-rekwiżit ta’ eskalazzjoni huwa kruċjali. Vulnerabbiltà ssir urġenti meta l-isfruttabbiltà, l-espożizzjoni, il-kritikalità għan-negozju, is-sensittività tad-data u l-attività tat-theddid jikkonverġu.

Il-Politika dwar il-ġestjoni tar-riskju Politika dwar il-ġestjoni tar-riskju tinkorpora l-intelligence dwar it-theddid fl-analiżi. Il-klawżola 6.2.2 tar-Rekwiżiti għall-implimentazzjoni tal-politika tgħid:

L-analiżi għandha tikkunsidra l-effettività tal-kontrolli eżistenti, intelligence rilevanti dwar it-theddid, il-kritikalità tal-assi u s-severità tal-vulnerabbiltà.

Dik il-klawżola hija l-qalba ta’ intelligence dwar it-theddid lesta għall-awditu. Turi li l-analiżi tar-riskju mhijiex teorika.

Il-Politika tal-logging u l-monitoraġġ Politika tal-logging u l-monitoraġġ tbiddel l-intelligence f’sejbien. Il-klawżola 1.2 tal-Għan tagħha tgħid:

Ir-reġistrazzjoni tal-awditu, il-monitoraġġ u s-sejbien tat-theddid huma kritiċi għall-iskoperta ta’ anomaliji, ir-rispons għat-theddid, ir-rieżami forensiku, il-kapaċità li tintwera l-konformità u l-konformità legali. Din il-politika tiżgura li l-avvenimenti kollha ġġenerati mis-sistema jiġu rreġistrati, miżmuma u korrelati kif xieraq b’preċiżjoni sinkronizzata fil-ħin.

Fl-aħħar nett, il-Politika dwar l-awditu u l-monitoraġġ tal-konformità Politika dwar l-awditu u l-monitoraġġ tal-konformità tispjega għaliex id-dixxiplina tal-evidenza hija importanti. Il-klawżola 3.4 tal-Objettivi teħtieġ li l-organizzazzjoni tiġġenera evidenza:

Biex tiġġenera evidenza difensibbli u traċċa tal-awditu b’appoġġ għal mistoqsijiet regolatorji, proċedimenti legali jew talbiet ta’ assigurazzjoni għall-klijenti.

Meta NIS2, DORA, klijent jew awditur ISO jistaqsi x’kont taf, meta kont tafu, min iddeċieda u x’inbidel, din it-traċċa tal-evidenza hija d-differenza bejn assigurazzjoni matura u reazzjoni difensiva mgħaġġla.

Ibni r-reġistru tal-intelligence dwar it-theddid

Reġistru matur għandu żewġ saffi: governanza tas-sorsi u traċċar tal-avvenimenti. Il-governanza tas-sorsi tiddefinixxi x’tafda l-organizzazzjoni, min hu s-sid, kif jiġi vverifikat u x’azzjoni jista’ jattiva.

It-traċċar tal-avvenimenti jaqbad kif avviż speċifiku sar evidenza. Meta nerġgħu lura għax-xenarju tat-Tlieta filgħodu dwar it-trasferiment ta’ fajls, l-entrata fir-reġistru għandha taqbad biżżejjed informazzjoni biex tappoġġa d-deċiżjonijiet dwar ir-riskju, ir-rispons u l-konformità.

Din mhijiex burokrazija. Hija r-reġistrazzjoni fattwali li turi li l-organizzazzjoni tiegħek għandha proċess definit ta’ intake, verifika, triage, eskalazzjoni u evidenza.

Minn avviż għal evidenza tal-awditu: fluss tax-xogħol prattiku

Fluss tax-xogħol ta’ intelligence dwar it-theddid għandu jwieġeb sitt mistoqsijiet malajr: aħna esposti, kemm hu serju, x’irid jinbidel, min hu s-sid, għandna nirrapportaw, u liema evidenza għandha tinżamm?

1. Ivverifika l-espożizzjoni u l-impatt fuq in-negozju

Il-klawżoli 4.1 sa 4.4 ta’ ISO/IEC 27001:2022 jeħtieġu li l-ISMS jirrifletti l-kuntest, l-obbligi u d-dipendenzi reali tal-organizzazzjoni. L-ewwel kompitu mhuwiex patching bla għażla. Huwa l-verifika tal-espożizzjoni.

Staqsi:

• Inħaddmu t-teknoloġija affettwata?
• Hija aċċessibbli mill-internet?
• Tintuża minn servizz kritiku tan-negozju?
• Tipproċessa data personali?
• Titħaddem minn fornitur jew fornitur ta’ servizzi ġestiti?
• Hija rilevanti għal funzjoni kritika jew importanti taħt DORA?
• Hija rilevanti għal servizzi fil-kamp ta’ applikazzjoni ta’ NIS2?
• Hemm obbligi kuntrattwali ta’ notifika lill-klijenti?
• Il-logs huma disponibbli, kompleti u sinkronizzati fil-ħin?

Jekk data personali tista’ tkun affettwata, ir-responsabbiltà taħt GDPR tidħol ukoll fl-analiżi. GDPR jeħtieġ sigurtà xierqa tal-ipproċessar u responsabbiltà li tista’ tintwera, inkluża l-kapaċità li jiġi evalwat jekk seħħx ksur ta’ data personali u jekk hijiex meħtieġa notifika.

2. Aġġorna r-reġistru tar-riskji

Il-Politika dwar il-ġestjoni tar-riskju Politika dwar il-ġestjoni tar-riskju - SME tagħti regola sempliċi dwar iż-żmien fil-klawżola 5.1.3 tar-Rekwiżiti ta’ governanza:

Ir-riskji għandhom jiġu rieżaminati kull tliet xhur u aġġornati meta jseħħu avvenimenti sinifikanti.

Avviż kredibbli dwar sfruttament attiv huwa avveniment sinifikanti. L-aġġornament m’għandux jistenna r-rieżami trimestrali li jmiss.

Dan jgħaqqad direttament mal-klawżoli 6.1.1-6.1.3 ta’ ISO/IEC 27001:2022. L-organizzazzjoni tidentifika r-riskju, tanalizza l-probabbiltà u l-konsegwenzi, tipprijoritizza t-trattament, tagħżel il-kontrolli, iżżomm id-Dikjarazzjoni ta’ Applikabbiltà, toħloq pjan ta’ trattament u tikseb approvazzjoni għar-riskju residwu.

3. Ippreprijoritizza t-trattament tal-vulnerabbiltajiet bl-użu ta’ intelligence dwar exploit

Zenith Blueprint, fil-fażi Controls in Action, Pass 19, Kontrolli Teknoloġiċi I, jispjega għaliex il-ġestjoni tal-vulnerabbiltajiet hija parti ewlenija mill-iġjene ċibernetika:

Il-ġestjoni tal-vulnerabbiltajiet hija waħda mill-oqsma l-aktar kritiċi tal-iġjene ċibernetika moderna. Għalkemm firewalls u għodod tal-antivirus jipprovdu protezzjoni, jistgħu jiġu mdgħajfa jekk sistemi mhux patchjati jew servizzi kkonfigurati ħażin jitħallew esposti. Biex jilħqu dan il-kontroll, l-organizzazzjonijiet għandhom jimplimentaw proċess strutturat u ripetibbli għall-identifikazzjoni, l-evalwazzjoni u l-indirizzar tal-vulnerabbiltajiet.

CVSS waħdu mhuwiex biżżejjed. Vulnerabbiltà b’punteġġ medju taħt sfruttament attiv fuq sistema aċċessibbli mill-internet tista’ tkun aktar urġenti minn vulnerabbiltà b’punteġġ għoli moħbija f’laboratorju segmentat.

Dan jipproduċi deċiżjoni difensibbli. Jappoġġa wkoll NIS2 Article 21(2)(e) għall-ġestjoni tal-vulnerabbiltajiet, NIS2 Article 21(2)(g) għall-iġjene ċibernetika u l-aspettattivi ta’ DORA dwar il-ġestjoni tar-riskju tal-ICT.

4. Ikkonverti l-intelligence f’monitoraġġ u sejbien

L-intelligence dwar it-theddid trid tasal għall-logging u l-monitoraġġ. Il-Politika tal-logging u l-monitoraġġ Politika tal-logging u l-monitoraġġ - SME tgħid fil-klawżola 6.2.1 tar-Rekwiżiti għall-implimentazzjoni tal-politika:

L-għodod tas-sigurtà (eż., antivirus, firewalls, VPNs) għandhom jiġu kkonfigurati biex jiġġeneraw twissijiet għal xenarji definiti ta’ theddid, inkluż:

L-estratt jistabbilixxi b’mod ċar l-intenzjoni tal-kontroll: xenarji definiti ta’ theddid għandhom imexxu t-twissijiet.

Zenith Blueprint, fil-fażi Controls in Action, Pass 19, jiddeskrivi l-attivitajiet ta’ monitoraġġ b’dan il-mod:

Jekk il-logging huwa l-att li tirreġistra x’jiġri fl-ambjent tiegħek, il-monitoraġġ huwa l-att ta’ osservazzjoni, fehim u rispons għal dawk l-avvenimenti. Dan il-kontroll huwa dwar l-osservazzjoni attiva ta’ networks, sistemi u applikazzjonijiet biex tinstab attività mhux tas-soltu, mhux biss wara l-fatt, iżda f’ħin reali jew kważi f’ħin reali, fejn possibbli.

Għax-xenarju tat-trasferiment ta’ fajls, is-SOC jew il-fornitur tal-IT għandu:

• Iżid jew jivverifika IOCs mit-twissija CERT u mill-avviż tal-fornitur.
• Ifittex fil-logs għal mogħdijiet magħrufa ta’ exploit, uploads suspettużi, indikaturi ta’ web shell, eżekuzzjoni mhux tas-soltu ta’ proċessi u konnessjonijiet mhux mistennija li joħorġu.
• Jikkonferma li l-logs tal-awtentikazzjoni, tal-attività amministrattiva, tal-aċċess għall-fajls, tal-API u tan-network jinżammu.
• Jirfina twissijiet SIEM għax-xejra tal-exploit.
• Joħloq nota tal-każ li tispjega x’ġie mfittex, x’instab u min irreveda.
• Jeskala għall-klassifikazzjoni tal-inċidenti jekk l-indikaturi juru kompromess, espożizzjoni tad-data jew impatt fuq is-servizz.

Hawnhekk ir-rappurtar tal-inċidenti jsir prattiku. NIS2 Article 23 jeħtieġ rappurtar fi stadji ta’ inċidenti sinifikanti, inkluża twissija bikrija fi żmien 24 siegħa, notifika fi żmien 72 siegħa, aġġornamenti interim fuq talba u rapport finali mhux aktar tard minn xahar wara n-notifika. DORA teħtieġ li l-entitajiet finanzjarji jiskopru, jimmaniġġjaw, jikklassifikaw u jirrapportaw inċidenti maġġuri relatati mal-ICT permezz tal-proċess fi stadji definit mir-regolament u mill-istandards tekniċi relatati.

L-intelligence dwar it-theddid tgħin biex jiġi ddeterminat jekk l-organizzazzjoni għadhiex fil-fażi ta’ rispons għall-vulnerabbiltajiet, evalwazzjoni ta’ avveniment tas-sigurtà jew rappurtar regolatorju ta’ inċident.

Fluss tax-xogħol wieħed, obbligi multipli ta’ konformità

L-intelligence dwar it-theddid hija fluss tax-xogħol integrat ideali għall-konformità għaliex l-istess evidenza tappoġġa diversi reġimi.

NIST CSF 2.0 huwa partikolarment utli għall-komunikazzjoni eżekuttiva. Il-Funzjonijiet Ewlenin tiegħu, Govern, Identify, Protect, Detect, Respond u Recover, jibdlu intelligence teknika fi storja li tista’ tinqara mill-bord:

• Govern: is-sorsi ta’ intelligence dwar it-theddid, is-sidien u l-linji ta’ rappurtar huma definiti.
• Identify: l-assi, il-fornituri, is-servizzi tan-negozju u d-data affettwati huma mmappjati.
• Protect: il-patching, il-hardening, is-segmentazzjoni u l-firem tal-endpoints jiġu aġġornati.
• Detect: regoli tal-monitoraġġ, IOCs u kompiti ta’ threat hunting jiġu implimentati.
• Respond: il-playbooks tal-inċidenti, ir-regoli tat-triage u l-limiti tan-notifika jiġu rieżaminati.
• Recover: backups, prijoritajiet ta’ restawr u lessons learned jiġu vverifikati.

Dan ibiddel intelligence mhux ipproċessata dwar it-theddid ċibernetiku f’governanza tar-riskju.

Il-perspettiva tal-awditur: x’se jintalab

Proċess b’saħħtu ta’ intelligence dwar it-theddid għandu jiflaħ stili differenti ta’ awditjar. Awditur ISO, rieżaminatur ta’ NIS2, awtorità superviżorja ta’ DORA, valutatur ta’ NIST CSF, awditur orjentat lejn COBIT 2019, professjonist tal-ISACA jew rieżaminatur tal-privatezza jistgħu jużaw lingwa differenti, iżda kollha jikkonverġu fuq l-evidenza.

Zenith Controls jipprovdi l-interpretazzjoni ta’ konformità trasversali għal dawn id-diskussjonijiet. Għal control 8.16, Attivitajiet ta’ monitoraġġ, il-gwida tgħaqqad il-monitoraġġ mas-sigurtà u r-responsabbiltà għall-ksur taħt GDPR, mal-ġestjoni u r-rappurtar tal-inċidenti taħt NIS2, u mal-aspettattivi ta’ DORA għas-sejbien u r-rispons. Għal control 8.8, Ġestjoni tal-vulnerabbiltajiet tekniċi, tgħaqqad il-ġestjoni tal-vulnerabbiltajiet mas-sigurtà tal-ipproċessar taħt GDPR, NIS2 Article 21(2)(e) u l-ġestjoni proattiva tar-riskju tal-ICT taħt DORA.

Dik hija l-konverġenza tal-evidenza li l-awdituri jridu jaraw.

Rappurtar lill-maniġment: il-briefing trimestrali dwar ix-xejriet tat-theddid

Ir-reġistru tal-intelligence dwar it-theddid m’għandux jintemm fis-SOC. Zenith Blueprint jirrakkomanda briefing qasir trimestrali dwar ix-xejriet tat-theddid għall-partijiet interessati ewlenin. Clarysec tirrakkomanda rapport ta’ paġna waħda għall-maniġment b’ħames sezzjonijiet:

1. L-aqwa tliet xejriet ta’ theddid rilevanti skont l-impatt fuq in-negozju.
2. It-teknoloġiji jew il-fornituri l-aktar esposti.
3. Vulnerabbiltajiet kritiċi li ġew patchjati, mitigati jew aċċettati.
4. Titjib li sar fis-sejbien u fir-rispons.
5. Deċiżjonijiet meħtieġa mill-maniġment.

Briefing b’saħħtu lill-maniġment ma jelenkax 400 CVE. Jispjega l-moviment tar-riskju. Pereżempju:

• Ransomware immirat lejn fornituri ta’ servizzi ġestiti żied il-prijorità tar-rieżami tal-fornituri.
• Sfruttament ta’ pjattaformi ta’ trasferiment ta’ fajls attiva patching ta’ emerġenza u regola kumpensatorja tal-firewall.
• Attakki fuq identitajiet cloud wasslu għal rieżami tal-eċċezzjonijiet tal-MFA u hardening tal-aċċess kondizzjonali.
• Intelligence minn ISAC settorjali wasslet għal simulazzjonijiet ġodda ta’ phishing għat-timijiet tal-finanzi u tal-appoġġ.
• L-immappjar tal-funzjonijiet kritiċi taħt DORA żvela lakuna waħda fil-monitoraġġ fi fluss tax-xogħol ta’ parti terza.

Dan il-briefing jappoġġa r-responsabbiltà tal-maniġment taħt NIS2, il-governanza tar-riskju tal-ICT taħt DORA, ir-rieżami mill-maniġment ta’ ISO/IEC 27001:2022 u l-assigurazzjoni għall-klijenti.

Xejriet komuni ta’ falliment

Programmi ta’ intelligence dwar it-theddid ħafna drabi jidhru maturi fuq slides iżda dgħajfa taħt awditu. L-aktar xejriet komuni ta’ falliment huma:

• Wisq feeds u l-ebda kriterji ta’ verifika.
• L-ebda rabta bejn l-intelligence u l-inventarju tal-assi.
• L-ebda aġġornament dokumentat tar-riskju wara avviżi maġġuri.
• Prijorità tal-patches ibbażata biss fuq is-severità tal-iskaner.
• Avviżi tal-fornituri mmaniġġjati barra mill-ISMS.
• Regoli tas-SOC aġġornati mingħajr reġistri tat-tibdil.
• Limiti tal-inċidenti mhux allinjati mal-flussi tax-xogħol tar-rappurtar ta’ NIS2 jew DORA.
• Rappurtar lill-bord iffukat fuq il-volum tat-twissijiet minflok fuq ir-riskju għan-negozju.
• L-ebda evidenza li lessons learned bidlu l-kontrolli.
• L-ebda sid għall-manutenzjoni tar-reġistru tal-intelligence dwar it-theddid.

Is-soluzzjoni mhijiex li tixtri feed ieħor. Is-soluzzjoni hija integrazzjoni tal-kontrolli.

Lista ta’ kontroll ta’ 10 punti għall-kapaċità għall-2026

Uża din il-lista ta’ kontroll bħala rieżami intern prattiku.

Jekk it-tweġiba għal kwalunkwe minn dawn hija “le,” l-organizzazzjoni m’għandhiex sempliċement problema ta’ intelligence dwar it-theddid. Għandha problema ta’ integrazzjoni tal-ISMS.

Kif Clarysec tgħin tbiddel intelligence dwar it-theddid f’evidenza

Il-metodu ta’ Clarysec huwa mfassal għal organizzazzjonijiet li jeħtieġu sigurtà prattika u konformità kredibbli fl-istess ħin.

Zenith Blueprint jagħti r-rotta ta’ implimentazzjoni fi 30 pass, inkluż Pass 22 għar-reġistru tal-intelligence dwar it-theddid u Pass 19 għall-ġestjoni tal-vulnerabbiltajiet u l-attivitajiet ta’ monitoraġġ. Il-politiki ta’ Clarysec għall-intrapriżi u għall-SMEs ibiddlu dawk l-aspettattivi fi proċeduri bbażati fuq ir-rwoli għall-ġestjoni tar-riskju, il-ġestjoni tal-vulnerabbiltajiet, il-protezzjoni tal-endpoints, il-logging, il-monitoraġġ u l-evidenza tal-awditu. Zenith Controls imbagħad jipprovdi l-interpretazzjoni ta’ konformità trasversali, u juri kif il-kontrolli ISO/IEC 27002:2022 jgħaqqdu ma’ NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 u evidenza tal-awditu.

Għas-CISO tat-Tlieta filgħodu, it-tweġiba lis-CFO ssir ċara:

“Irċevejna l-avviż, ivverifikajna l-espożizzjoni, aġġornajna r-reġistru tar-riskji, ipprijoritizzajna l-patching abbażi ta’ sfruttament attiv, irfinajna l-monitoraġġ, iċċekkjajna d-dipendenza fuq il-fornitur, evalwajna l-limiti tar-rappurtar tal-inċidenti, infurmajna lill-maniġment u żammejna l-evidenza. M’aħniex qed naqtgħu bl-addoċċ. Qed insegwu l-ISMS tagħna.”

Hekk għandha tidher l-intelligence dwar it-theddid skont ISO 27001 għall-iġjene ċibernetika ta’ NIS2 u għall-evidenza tar-riskju tal-ICT taħt DORA fl-2026.

Passi li jmiss

Jekk l-organizzazzjoni tiegħek tirċievi intelligence dwar it-theddid iżda ma tistax turi kif din tbiddel id-deċiżjonijiet tar-riskju, il-kontrolli, is-sejbien, ir-rispons għall-inċidenti, il-ġestjoni tal-fornituri u l-evidenza regolatorja, ibda bi tliet azzjonijiet din il-ġimgħa:

1. Ibni jew aġġorna r-reġistru tal-intelligence dwar it-theddid tiegħek bl-użu ta’ Zenith Blueprint, fażi Controls in Action, Pass 22.
2. Immappa l-proċess attwali tiegħek kontra l-kontrolli ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 u 5.25 bl-użu ta’ Zenith Controls.
3. Allinja l-politiki tiegħek, speċjalment il-Politika dwar il-ġestjoni tar-riskju, il-Politika dwar il-ġestjoni tal-vulnerabbiltajiet u l-patches, il-Politika tal-logging u l-monitoraġġ u l-Politika dwar l-awditu u l-monitoraġġ tal-konformità, sabiex kull avviż ikun jista’ jsir evidenza difensibbli.

Clarysec tista’ tgħinek tbiddel feeds tat-theddid, avviżi, notifiki tal-fornituri, intelligence dwar vulnerabbiltajiet u sinjali ta’ sejbien f’mudell operattiv allinjat ma’ ISO/IEC 27001:2022, lest għal NIS2 u konxju minn DORA.

Niżżel it-toolkits ta’ Clarysec, itlob walkthrough, jew ibbukkja evalwazzjoni tat-tħejjija biex tara kif il-proċess attwali tiegħek ta’ intelligence dwar it-theddid jiflaħ quddiem awditur ISO, rieżaminatur ta’ NIS2, awtorità superviżorja ta’ DORA jew talba ta’ assigurazzjoni minn klijent.