Evidenza tat-taħriġ ISO 27001:2022 għal NIS2 u DORA
Huma d-09:12 ta’ filgħodu nhar ta’ Tlieta fi Frar 2026. Analista tal-finanzi f’FinTech li qed tikber malajr tirċievi email li tidher li ġejja mingħand is-CFO, u titlob rieżami urġenti ta’ fajl ta’ ħlas lil fornitur. Il-fajl mehmuż jiftaħ paġna konvinċenti ta’ login ta’ Microsoft. L-analista tieqaf ftit, tiftakar is-simulazzjoni ta’ phishing u l-modulu dwar il-frodi fil-ħlasijiet tax-xahar ta’ qabel, u tirrapporta l-email permezz tal-portal tas-sigurtà minflok ma ddaħħal il-kredenzjali.
Għas-CISO, dik id-deċiżjoni waħda hija kontroll li qed jaħdem fil-prattika.
Għall-awditur, l-istorja waħedha mhijiex biżżejjed.
It-talba għall-evidenza tasal ġimgħa wara: “Ipprovdi evidenza ta’ programm komprensiv u bbażat fuq ir-rwoli ta’ għarfien u taħriġ dwar is-sigurtà tal-informazzjoni, inklużi metriċi tal-effettività u reġistri li juru kopertura għall-persunal kollu, inkluż il-maniġment.”
Dik is-sentenza tbiddel il-konverżazzjoni. Spreadsheet li turi “Lest” ħdejn 97 fil-mija tal-impjegati m’għadhiex biżżejjed. L-awditur jistaqsi min ħarreġ lill-analista, meta ġie assenjat it-taħriġ, jekk kienx obbligatorju, jekk kienx ibbażat fuq ir-rwol, jekk il-finanzi rċevewx għarfien addizzjonali dwar il-frodi fil-ħlasijiet, jekk ġewx inklużi impjegati ġodda u kuntratturi, jekk il-maniġment approvax il-programm, jekk it-taħriġ inbidilx wara l-aħħar kampanja ta’ phishing, u jekk inżammux ir-reġistri tat-tlestija.
Fl-2026, l-evidenza tat-taħriġ ta’ għarfien dwar is-sigurtà tinsab fl-intersezzjoni ta’ ISO/IEC 27001:2022, NIS2, DORA, GDPR u NIST CSF 2.0. M’għadhiex eżerċizzju annwali tar-Riżorsi Umani. Hija governanza tal-bord, trattament tar-riskju, tħejjija għall-inċidenti, responsabbiltà legali u evidenza għall-awditu.
Clarysec jittratta l-għarfien dwar is-sigurtà bħala sistema operattiva ta’ evidenza, mhux bħala sett ta’ slajds. Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awditur Zenith Blueprint, Zenith Controls: il-gwida għall-konformità trasversali Zenith Controls, Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME, u Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni jgħaqqdu t-taħriġ ibbażat fuq ir-rwoli mal-ISMS, l-obbligi regolatorji, ir-rispons għall-inċidenti, l-aċċess tal-fornituri u r-rieżami mill-maniġment.
Għaliex it-taħriġ ġeneriku ta’ għarfien dwar is-sigurtà jfalli fl-2026
Il-bidla regolatorja hija ċara. NIS2 jagħmel iċ-ċibersigurtà responsabbiltà tal-maniġment għall-entitajiet essenzjali u importanti. Article 20 jeħtieġ li l-korpi maniġerjali japprovaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jirċievu taħriġ. Article 21 jinkludi l-iġjene ċibernetika bażika u t-taħriġ fiċ-ċibersigurtà bħala parti mil-linja bażi meħtieġa għall-ġestjoni tar-riskju. Għal fornituri tal-cloud, fornituri ta’ ċentri tad-data, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi tas-sigurtà ġestiti, fornituri DNS, reġistri TLD, swieq online u magni tat-tiftix, it-taħriġ sar kwistjoni fil-livell tal-bord.
DORA jgħolli l-livell għall-entitajiet finanzjarji u għall-fornituri tal-ICT li jaqdu s-settur finanzjarju. Japplika mis-17 ta’ Jannar 2025 u jeħtieġ li l-entitajiet finanzjarji jżommu qafas intern ta’ governanza u kontroll għall-ġestjoni tar-riskju tal-ICT. Il-korpi maniġerjali għandhom jissorveljaw ir-riskju tal-ICT, il-baġits, l-awditi, l-arranġamenti ma’ partijiet terzi, il-kontinwità tan-negozju, il-pjanijiet ta’ rispons u rkupru, u r-reżiljenza operattiva diġitali. DORA Articles 17 sa 19 jeħtieġu wkoll li inċidenti relatati mal-ICT jiġu skoperti, ikklassifikati, eskalati, komunikati u rrappurtati. It-taħriġ huwa dak li jagħmel dawn il-proċeduri eżegwibbli taħt pressjoni.
ISO/IEC 27001:2022 jagħti lill-organizzazzjonijiet is-sinsla tas-sistema ta’ ġestjoni. Klawżoli 4 sa 10 ikopru l-kuntest, il-partijiet interessati, it-tmexxija, il-valutazzjoni tar-riskju, it-trattament tar-riskju, il-kompetenza, l-għarfien, l-informazzjoni dokumentata, l-evalwazzjoni tal-prestazzjoni u t-titjib. L-istandard jista’ jiġi skalat bejn setturi u daqsijiet differenti, u għalhekk Clarysec jużah bħala l-mudell operattiv għall-allinjament integrat ma’ ISO, NIS2, DORA, GDPR u NIST ISO/IEC 27001:2022.
GDPR iżid is-saff tar-responsabbiltà. L-organizzazzjonijiet għandhom juru li d-data personali tiġi pproċessata b’mod legali, ġust, sigur u b’miżuri tekniċi u organizzattivi xierqa. Impjegati li jimmaniġġjaw data personali, jamministraw sistemi, jibnu software, jappoġġjaw klijenti jew jinvestigaw inċidenti jeħtieġu taħriġ dwar il-privatezza u l-eskalazzjoni ta’ ksur.
NIST CSF 2.0 isaħħaħ l-istess direzzjoni. Il-funzjoni GOVERN tiegħu tgħaqqad rekwiżiti legali, regolatorji, kuntrattwali, tal-privatezza u tal-partijiet interessati mar-rwoli, ir-responsabbiltajiet, il-politiki, ir-riżorsi, is-sorveljanza u l-ġestjoni tar-riskju tal-intrapriża. Il-Profili ta’ NIST CSF jgħinu wkoll fit-traduzzjoni tal-obbligi tat-taħriġ fi pjanijiet ta’ titjib tal-istat attwali u tal-istat fil-mira.
Ir-riżultat huwa sempliċi: taħriġ ta’ għarfien dwar is-sigurtà lest għall-awditu għandu jipprova li n-nies jafu r-responsabbiltajiet tagħhom, li t-taħriġ huwa adattat għar-rwol u għar-riskju, u li l-evidenza hija kompluta biżżejjed għall-awdituri, ir-regolaturi, il-klijenti u l-maniġment.
Il-problema tal-awditu: “ħarriġna lil kulħadd” mhijiex evidenza
Ħafna organizzazzjonijiet ifallu fl-awditi mhux għax ma għamlux taħriġ, iżda għax ma jistgħux jippruvaw li t-taħriġ ġie mfassal, assenjat, lest, rieżaminat u mtejjeb.
Pakkett dgħajjef ta’ evidenza normalment jinkludi PDF annwali wieħed, spreadsheet tat-tlestija mingħajr dati, l-ebda evidenza tal-integrazzjoni inizjali, l-ebda kopertura tal-kuntratturi, l-ebda taħriġ għal utenti privileġġjati, l-ebda taħriġ għall-maniġment, l-ebda modulu bbażat fuq ir-rwoli għall-iżviluppaturi jew għall-finanzi, l-ebda rabta mal-valutazzjoni tar-riskju u l-ebda prova li t-taħriġ ġie aġġornat wara inċidenti jew bidla regolatorja.
L-awdituri ma jridux poster motivazzjonali. Iridu katina ta’ evidenza.
Il-politika SME ta’ Clarysec tagħmel din l-istennija espliċita. Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME, Objettivi, klawżola 3.3, teħtieġ li l-organizzazzjonijiet:
“Jistabbilixxu reġistri dokumentati tat-tlestija biex juru konformità mar-rekwiżiti legali, kuntrattwali u tal-awditu.”
L-istess politika SME tbiddel it-taħriġ f’informazzjoni dokumentata miżmuma. Ir-Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.3.2, tgħid:
“Spreadsheet ċentrali jew Sistema ta’ Informazzjoni tar-Riżorsi Umani għandha żżomm dawn ir-reġistri għal minimu ta’ tliet snin.”
Għal ambjenti ta’ intrapriża, Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni, Għan, klawżola 1.2, tistabbilixxi stennija aktar strutturata:
“Din il-politika tappoġġja ISO/IEC 27001 Clause 7.3 u Annex A Control 6.3 billi teħtieġ qafas strutturat u bbażat fuq ir-riskju għall-għarfien u t-taħriġ, adattat għar-rwoli organizzazzjonali u t-theddid li jevolvi.”
Dik il-frażi hija importanti: strutturat, infurmat mir-riskju, adattat għar-rwol u konxju mit-theddid. Hija d-differenza bejn teatrin ta’ għarfien u kompetenza difensibbli.
Ibda bir-rwoli, mhux bil-korsijiet
L-iżball l-aktar komuni huwa li jinxtara l-kontenut qabel jiġu definiti r-responsabbiltajiet. Fi programm integrat ta’ konformità, l-ewwel mistoqsija t-tajba mhijiex “Liema pjattaforma ta’ taħriġ għandna nużaw?” Il-mistoqsija t-tajba hija “Liema rwoli joħolqu, jimmaniġġjaw, japprovaw, jipproċessaw, jassiguraw jew jirkupraw assi tal-informazzjoni?”
ISO/IEC 27001:2022 Clause 5.3 jeħtieġ assenjazzjoni u komunikazzjoni tar-responsabbiltajiet u l-awtoritajiet għar-rwoli tas-sigurtà tal-informazzjoni. Clause 7.2 jeħtieġ kompetenza għal persuni li jwettqu xogħol taħt il-kontroll tal-organizzazzjoni, ibbażata fuq edukazzjoni, taħriġ jew esperjenza. Clause 7.3 jeħtieġ għarfien tal-politika tas-sigurtà tal-informazzjoni, il-kontribut għall-effettività tal-ISMS u l-implikazzjonijiet tan-nuqqas ta’ konformità.
F’Zenith Blueprint, Fondazzjoni u tmexxija tal-ISMS, Pass 5: Komunikazzjoni, għarfien u kompetenza, Clarysec jittraduċi dan f’lingwa ta’ implimentazzjoni:
“Identifika l-kompetenzi meħtieġa: iddetermina x’għarfien u ħiliet huma meħtieġa għal rwoli differenti fl-ISMS tiegħek.”
Il-Blueprint jagħti eżempji prattiċi: il-persunal tal-IT jista’ jkollu bżonn konfigurazzjoni sigura tas-servers, l-iżviluppaturi jeħtieġu kodifikazzjoni sigura, ir-Riżorsi Umani jeħtieġu mmaniġġjar sigur tad-data personali u l-persunal ġenerali jeħtieġ għarfien dwar il-phishing. Jenfasizza wkoll ir-reġistri:
“Żomm reġistri tal-kompetenza: Clause 7.2 jistenna li żżomm informazzjoni dokumentata bħala evidenza tal-kompetenza.”
Dan ifisser li l-programm ta’ taħriġ għandu jibda b’matriċi bejn ir-rwol u r-riskju.
| Grupp ta’ rwoli | Fokus tat-taħriġ | Evidenza li għandha tinżamm | Valur ta’ konformità |
|---|---|---|---|
| L-impjegati kollha | Phishing, iġjene tal-passwords, MFA, użu aċċettabbli, sigurtà tal-apparat, rappurtar tal-inċidenti | Rapport tat-tlestija, punteġġ tal-kwiżż, rikonoxximent tal-politika, verżjoni tal-kontenut | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Eżekuttivi u bord | Governanza tar-riskju ċibernetiku, dmirijiet taħt NIS2 Article 20, sorveljanza DORA, aptit għar-riskju, deċiżjonijiet waqt kriżi | Reġistru tal-attendenza, pakkett għall-bord, minuti, approvazzjoni tal-programm | NIS2 Article 20, DORA Article 5, evidenza tat-tmexxija ISO/IEC 27001:2022 |
| Żviluppaturi | Kodifikazzjoni sigura, OWASP Top 10, SDLC sigur, sigurtà tal-API, immaniġġjar tal-vulnerabbiltajiet, għodod ta’ ġestjoni tas-sigrieti | Tlestija tal-modulu, riżultati tal-laboratorju, lista ta’ kontroll għall-kodifikazzjoni sigura, evidenza tar-rimedjazzjoni | ISO/IEC 27002:2022 controls 8.25 u 8.28, aspettattivi DORA dwar ir-riskju tal-ICT |
| IT u amministraturi tas-sistema | Ġestjoni tal-aċċess privileġġjat (PAM), logging, ġestjoni tal-vulnerabbiltajiet, restawr minn backup, kontroll tat-tibdil, hardening | Reġistru tat-tlestija, rabta mar-rieżami tal-aċċess, parteċipazzjoni f’eżerċizzju tabletop | ISO/IEC 27002:2022 controls 8.8 u 8.13, tħejjija għar-reżiljenza DORA |
| Riżorsi Umani | Kunfidenzjalità, integrazzjoni inizjali u proċedura ta’ tluq, proċess dixxiplinari, immaniġġjar ta’ data ta’ kategorija speċjali | Reġistru tat-taħriġ tar-Riżorsi Umani, lista ta’ kontroll tal-integrazzjoni inizjali, rikonoxximent tal-politika | Responsabbiltà taħt GDPR, kontrolli tar-riżorsi umani ISO/IEC 27002:2022 |
| Finanzi | Frodi fil-ħlasijiet, impersonazzjoni tal-fornitur, segregazzjoni tad-dmirijiet, eskalazzjoni ta’ talbiet suspettużi | Tlestija ta’ modulu mmirat, riżultati tas-simulazzjonijiet ta’ phishing | Tnaqqis tar-riskju ta’ frodi, tħejjija għall-inċidenti taħt NIS2 u DORA |
| Appoġġ lill-klijenti | Verifika tal-identità, immaniġġjar sigur tat-tickets, protezzjoni tad-data personali, mogħdijiet ta’ eskalazzjoni | Tlestija tal-modulu skont ir-rwol, kampjun ta’ rieżami tat-tickets, rikonoxximent tal-privatezza | Responsabbiltà tal-proċessur taħt GDPR, assigurazzjoni għall-klijenti |
| Dawk li jirrispondu għall-inċidenti | Klassifikazzjoni, eskalazzjoni, preservazzjoni tal-evidenza, skadenzi tan-notifika regolatorja, lezzjonijiet meħuda | Reġistru tal-eżerċizzju, rapport tax-xenarju, assenjazzjoni tar-rwoli, task tracker għall-azzjonijiet | NIS2 Article 23, DORA Articles 17 sa 19, kontrolli tal-inċidenti ISO/IEC 27002:2022 |
| Kuntratturi b’aċċess għas-sistemi | Użu aċċettabbli, kanal tar-rappurtar, immaniġġjar tad-data, kundizzjonijiet tal-aċċess | Rikonoxximent tal-kuntrattur, reġistru tal-integrazzjoni inizjali, rabta mal-approvazzjoni tal-aċċess | Assigurazzjoni tal-fornituri, governanza tal-aċċess, konformità kuntrattwali |
Din il-matriċi mhijiex biss skeda ta’ taħriġ. Hija mappa ta’ konformità li turi għaliex popolazzjonijiet differenti jirċievu taħriġ differenti.
Qabbad it-taħriġ mal-katina tal-kontrolli
F’Zenith Controls, ISO/IEC 27002:2022 control 6.3, Information Security Awareness, Education and Training, huwa kkategorizzat bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà. Il-kunċett taċ-ċibersigurtà tiegħu huwa Protect, il-kapaċità operattiva tiegħu hija s-Sigurtà tar-Riżorsi Umani, u l-oqsma tas-sigurtà tiegħu huma l-Governanza u l-Ekosistema.
L-interpretazzjoni ta’ konformità trasversali ta’ Zenith Controls hija diretta:
“Control 6.3 jindirizza l-mandat ta’ NIS2 għal taħriġ u għarfien dwar is-sigurtà billi jimplimenta programm strutturat ta’ għarfien li jkopri l-iġjene ċibernetika, theddid emerġenti u r-responsabbiltajiet tal-persunal.”
L-istess immappjar jgħaqqad ISO/IEC 27002:2022 control 6.3 mal-aspettattivi tal-GDPR għall-impjegati li jimmaniġġjaw data personali, it-taħriġ fis-sigurtà tal-ICT taħt DORA adattat għar-rwoli, u NIST SP 800-53 Rev.5 AT-2, AT-3 u AT-4 għat-taħriġ fil-litteriżmu u l-għarfien, taħriġ ibbażat fuq ir-rwol u reġistri tat-taħriġ.
Il-punt ewlieni huwa li control 6.3 ma jeżistix waħdu. Zenith Controls jgħaqqdu ma’ ISO/IEC 27002:2022 control 5.2, Information Security Roles and Responsibilities, għax ir-rwoli jiddefinixxu min għandu bżonn liema taħriġ. Jgħaqqdu wkoll ma’ control 6.8, Information Security Event Reporting, għax l-impjegati ma jistgħux jirrappurtaw dak li ma jagħrfux. Jgħaqqdu wkoll ma’ control 5.36, Compliance with Policies, Rules and Standards for Information Security, għax il-konformità tiddependi fuq li n-nies ikunu jafu r-regoli.
Dan joħloq katina prattika ta’ kontrolli:
- Iddefinixxi r-responsabbiltajiet.
- Assenja taħriġ bażiku u taħriġ ibbażat fuq ir-rwoli.
- Ipprova t-tlestija.
- Ittestja l-fehim.
- Immonitorja l-konformità.
- Ikkoreġi l-lakuni.
- Daħħal il-lezzjonijiet meħuda fit-trattament tar-riskju u fir-rieżami mill-maniġment.
Dan huwa importanti għal NIS2 għax Article 21 jeħtieġ analiżi tar-riskju, politiki, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, akkwist u manutenzjoni siguri, evalwazzjoni tal-effettività tal-kontrolli, iġjene ċibernetika u taħriġ, kontrolli kriptografiċi, sigurtà tar-Riżorsi Umani, kontroll tal-aċċess, politika tal-ġestjoni tal-assi, u MFA jew awtentikazzjoni sigura fejn xieraq.
Huwa importanti għal DORA għax il-governanza, il-ġestjoni tal-inċidenti, ir-rispons u l-irkupru, ir-riskju ta’ partijiet terzi u l-ittestjar tar-reżiljenza jaħdmu biss jekk in-nies ikunu jafu x’għandhom jagħmlu qabel iseħħ l-inċident.
Ibni pakkett ta’ evidenza lest għall-awditu
Pakkett matur ta’ evidenza fih aktar minn logs tal-attendenza. Juri governanza, disinn, twassil, tlestija, effettività u titjib. Clarysec jirrakkomanda struttura ta’ sitt folders.
| Folder tal-evidenza | X’fih | Għaliex huwa importanti |
|---|---|---|
| 01 Governanza | Politika approvata, objettivi tat-taħriġ, approvazzjoni tal-maniġment, baġit, pjan annwali | Juri l-impenn u s-sorveljanza tat-tmexxija |
| 02 Immappjar tar-rwoli | Inventarju tar-rwoli, matriċi tal-kompetenzi, regoli tal-assenjazzjoni tat-taħriġ, kamp ta’ applikazzjoni tal-kuntratturi | Jipprova disinn ibbażat fuq ir-riskju u fuq ir-rwoli |
| 03 Kontenut tat-taħriġ | Settijiet ta’ slajds tal-korsijiet, moduli tal-LMS, mudelli tal-phishing, bullettini tas-sigurtà, storja tal-verżjonijiet | Juri x’ġie mgħallem fil-fatt lin-nies |
| 04 Reġistri tat-tlestija | Esportazzjonijiet tal-LMS, reġistri tal-HRIS, logs tal-attendenza, riżultati tal-kwiżż, rikonoxximenti | Juri parteċipazzjoni u informazzjoni dokumentata miżmuma |
| 05 Evidenza tal-effettività | Metriċi tas-simulazzjonijiet ta’ phishing, riżultati tal-intervisti, xejriet tar-rappurtar tal-inċidenti, riżultati ta’ tabletop | Juri jekk it-taħriġ biddilx l-imġiba |
| 06 Titjib | Azzjonijiet korrettivi, moduli aġġornati, lezzjonijiet meħuda, inputs għar-rieżami mill-maniġment | Juri titjib kontinwu |
Il-politika għall-intrapriżi ta’ Clarysec teħtieġ integrazzjoni inizjali, taħriġ ta’ aġġornament annwali u moduli bbażati fuq ir-rwoli. Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni, Rekwiżiti ta’ governanza, klawżola 5.1.1.2, tgħid:
“Inkludi onboarding, taħriġ ta’ aġġornament annwali u moduli ta’ taħriġ ibbażati fuq ir-rwoli”
L-istess politika tassenja s-sjieda tal-evidenza. Rekwiżiti ta’ governanza, klawżoli 5.3.1 u 5.3.1.1, jgħidu:
“Is-CISO jew id-delegat għandu jżomm:”
“Reġistri tat-tlestija għal kull utent”
Għall-SMEs, il-politika SME żżid ritmu prammatiku. Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.1.1, tgħid:
“Il-materjal għandu jkun prattiku, adattat għar-rwol u aġġornat kull sena.”
Tkopri wkoll taħriġ skattat minn tibdil. Klawżola 6.5.1 tgħid:
“Meta r-rwoli tax-xogħol jinbidlu jew jiġu introdotti sistemi, jista’ jkun meħtieġ taħriġ immirat ta’ għarfien (eż., qsim sigur ta’ fajls, rekwiżiti ġodda ta’ protezzjoni tad-data u minimizzazzjoni tad-data).”
Dik il-klawżola hija partikolarment importanti fl-2026 għax il-migrazzjoni lejn il-cloud, għodod tal-AI, integrazzjonijiet ġodda tal-ħlasijiet, proċessuri ġodda u bidliet fir-rappurtar regolatorju jistgħu jbiddlu r-riskju aktar malajr minn ċiklu annwali.
Pjan ta’ salvataġġ ta’ ġimgħa qabel l-awditu
Ikkunsidra fornitur SaaS jew FinTech ta’ 180 persuna li qed jipprepara għal awditu ta’ sorveljanza ISO/IEC 27001:2022, diliġenza dovuta tal-klijenti taħt DORA, rieżami tar-responsabbiltà taħt GDPR u mistoqsijiet tal-klijenti mmexxija minn NIS2. Is-CISO għandu ġimgħa biex ibiddel reġistri ġeneriċi tat-tlestija f’pakkett ta’ evidenza difensibbli.
Jum 1: Ikkonferma l-kamp ta’ applikazzjoni u l-obbligi
Uża ISO/IEC 27001:2022 Clauses 4.1 sa 4.4 biex tikkonferma l-kuntest, il-partijiet interessati u l-kamp ta’ applikazzjoni tal-ISMS. Aqbad l-impenji kuntrattwali tal-klijenti, l-obbligi taħt GDPR bħala kontrollur jew proċessur, l-aspettattivi NIS2 minn klijenti kritiċi u t-talbiet ta’ diliġenza dovuta dwar fornituri tal-ICT relatati ma’ DORA.
Imbagħad ittraduċi dawk l-obbligi fi ħtiġijiet ta’ taħriġ. GDPR jeħtieġ li l-persunal li jimmaniġġja data personali jifhem il-kunfidenzjalità, il-minimizzazzjoni, iż-żamma u l-eskalazzjoni ta’ ksur. NIS2 jeħtieġ iġjene ċibernetika, taħriġ tal-impjegati u sorveljanza tal-maniġment. Klijenti mmexxija minn DORA jistennew evidenza li timijiet li jappoġġjaw servizzi kritiċi jifhmu l-eskalazzjoni tal-inċidenti, ir-reżiljenza, il-kontroll tal-aċċess, il-backup u l-irkupru, u l-koordinazzjoni ma’ partijiet terzi.
Jum 2: Ibni l-matriċi bbażata fuq ir-rwoli
Uża l-gwida f’Zenith Blueprint u l-immappjar f’Zenith Controls għal ISO/IEC 27002:2022 controls 5.2 u 6.3. Inkludi impjegati, kuntratturi, utenti privileġġjati, żviluppaturi, timijiet ta’ appoġġ, Riżorsi Umani, finanzi, eżekuttivi u dawk li jirrispondu għall-inċidenti.
Qabbad kull rwol mas-sistemi u r-riskji. L-iżviluppaturi jirċievu kodifikazzjoni sigura u mmaniġġjar tal-vulnerabbiltajiet. It-timijiet ta’ appoġġ jirċievu verifika tal-identità u mmaniġġjar sigur tat-tickets. Il-finanzi jirċievu taħriġ dwar frodi fil-ħlasijiet u verifika ta’ tibdil tal-fornituri. L-eżekuttivi jirċievu taħriġ dwar governanza, responsabbiltà legali, aptit għar-riskju u teħid ta’ deċiżjonijiet waqt kriżi.
Jum 3: Allinja l-politika u l-assenjazzjonijiet
Adotta jew aġġorna l-politika xierqa ta’ Clarysec. Uża l-politika SME għal mudell operattiv ħafif, jew il-politika għall-intrapriżi għal governanza aktar b’saħħitha u sjieda tal-evidenza. Ikkonferma li l-politika tinkludi integrazzjoni inizjali, aġġornamenti annwali, moduli bbażati fuq ir-rwoli, żamma tal-evidenza, kopertura tal-kuntratturi u taħriġ skattat mit-tibdil.
Ippubblika l-politika, iġbor ir-rikonoxximenti u qabbad il-moduli tat-taħriġ mal-familji tax-xogħol fl-HRIS jew fl-LMS.
Jum 4: Wassal taħriġ immirat
Tħarriġx lil kulħadd fuq kollox. Ħarreġ lil kulħadd fuq kontrolli bażiċi, imbagħad assenja moduli speċifiċi għar-rwol.
Il-modulu bażiku għandu jkopri phishing u inġinerija soċjali, iġjene tal-passwords u MFA, użu aċċettabbli, immaniġġjar sigur tal-informazzjoni, kanali għar-rappurtar tal-inċidenti, rappurtar ta’ apparat mitluf u bażijiet tal-protezzjoni tad-data.
Il-moduli speċifiċi għar-rwol għandhom ikopru SDLC sigur għall-iżviluppaturi, aċċess privileġġjat u restawr minn backup għall-IT, data tal-impjegati għar-Riżorsi Umani, frodi fil-ħlasijiet għall-finanzi, klassifikazzjoni tal-inċidenti għal dawk li jirrispondu, u governanza NIS2 u DORA għall-eżekuttivi.
Jum 5: Esporta u vverifika l-evidenza
Oħloq il-pakkett ta’ evidenza b’sitt folders. Esporta r-rapporti tat-tlestija, il-punteġġi tal-kwiżż, in-numri tal-verżjoni tal-korsijiet, ir-rikonoxximenti tal-politika u l-iskedi tat-taħriġ. Identifika t-taħriġ mhux lest u iftaħ azzjonijiet korrettivi.
Imbagħad ittestja l-fehim permezz ta’ intervisti. Staqsi impjegati minn dipartimenti differenti:
- X’taħriġ dwar is-sigurtà lestejt?
- Kif tirrapporta email suspettuża?
- X’tagħmel jekk titlef laptop?
- Fejn tista’ ssib il-politika tas-sigurtà tal-informazzjoni?
- Liema data personali timmaniġġja fir-rwol tiegħek?
Irreġistra r-riżultati bħala kampjun tal-awditu intern. L-awdituri spiss jużaw intervisti biex jivverifikaw jekk l-għarfien ġiex assorbit, mhux biss imwassal.
Jum 6: Qabbad it-taħriġ mar-rispons għall-inċidenti
Uża t-taħriġ dwar ir-rappurtar tal-inċidenti bħala pont lejn ISO/IEC 27002:2022 control 6.8, NIS2 Article 23 u DORA Articles 17 sa 19.
NIS2 Article 23 jeħtieġ rappurtar fi stadji għal inċidenti sinifikanti, inkluża twissija bikrija fi żmien 24 siegħa minn meta jkun hemm għarfien, notifika fi żmien 72 siegħa u rapport finali fi żmien xahar. DORA jeħtieġ li inċidenti maġġuri relatati mal-ICT jiġu klassifikati, eskalati, komunikati u rrappurtati tul iċ-ċiklu tal-ħajja meħtieġ tar-rappurtar.
L-impjegati m’għandhomx għalfejn jimmemorizzaw skadenzi legali, iżda għandhom jirrappurtaw inċidenti suspettati malajr biżżejjed biex l-organizzazzjoni tkun tista’ tissodisfahom.
F’Zenith Blueprint, Kontrolli fil-prattika, Pass 16: Kontrolli tar-riżorsi umani II, Clarysec jgħid:
“Sistema effettiva ta’ rispons għall-inċidenti ma tibdiex bl-għodod, iżda bin-nies.”
Din mhijiex gwida artab. Hija reżiljenza operattiva.
Jum 7: Ipprepara n-narrattiva tal-awditu
In-narrattiva finali għall-awditu għandha tkun qasira u sostnuta mill-evidenza:
“Identifikajna l-ħtiġijiet tat-taħriġ abbażi tar-rwoli tal-ISMS, l-obbligi legali u kuntrattwali, ir-riżultati tal-valutazzjoni tar-riskju u l-aċċess għas-sistemi. Assenjajna moduli bażiċi u bbażati fuq ir-rwoli permezz tal-LMS. Żammejna reġistri tat-tlestija, punteġġi tal-kwiżż, verżjonijiet tal-kontenut u rikonoxximenti. Ittestjajna l-effettività permezz ta’ simulazzjonijiet ta’ phishing, intervisti u metriċi tar-rappurtar tal-inċidenti. In-nuqqas ta’ tlestija jiġi segwit bħala azzjoni korrettiva. Il-maniġment jirrevedi l-programm kull sena u wara bidliet sinifikanti.”
Sostnuta bl-evidenza, dik in-narrattiva tista’ tiflaħ mistoqsijiet tal-awditu ISO/IEC 27001:2022, skrutinju tal-governanza NIS2, diliġenza dovuta tal-klijenti taħt DORA, rieżami tar-responsabbiltà taħt GDPR u evalwazzjoni tal-kontrolli skont stil NIST.
Immappjar ta’ konformità trasversali għat-taħriġ ta’ għarfien dwar is-sigurtà
L-għarfien dwar is-sigurtà spiss jiġi kklassifikat ħażin bħala kompitu tar-Riżorsi Umani. Fil-prattika, huwa kontroll ta’ konformità trasversali li jolqot il-governanza, il-ġestjoni tar-riskju, il-privatezza, ir-rispons għall-inċidenti, l-assigurazzjoni tal-fornituri u r-reżiljenza.
| Qafas jew regolament | Rilevanza tat-taħriġ | Punt ta’ implimentazzjoni ta’ Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetenza, għarfien, tmexxija, assenjazzjoni tar-rwoli, informazzjoni dokumentata, monitoraġġ, awditu intern u titjib | Zenith Blueprint Pass 5 u Pass 15, klawżoli tal-politika dwar integrazzjoni inizjali, aġġornamenti annwali, taħriġ ibbażat fuq ir-rwoli u evidenza |
| ISO/IEC 27002:2022 | Control 6.3 għarfien, edukazzjoni u taħriġ, marbut ma’ 5.2 rwoli, 6.8 rappurtar tal-avvenimenti u 5.36 monitoraġġ tal-konformità | Zenith Controls jimmappja attributi, kontrolli relatati, aspettattivi tal-awditu u allinjament bejn oqfsa |
| NIS2 | Taħriġ tal-maniġment, taħriġ tal-impjegati fiċ-ċibersigurtà, iġjene ċibernetika, tħejjija għall-inċidenti u responsabbiltà tal-governanza | Modulu tal-bord, linja bażi għall-impjegati, modulu tar-rappurtar tal-inċidenti, evidenza tal-approvazzjoni tal-maniġment |
| DORA | Governanza tal-ICT, sorveljanza tal-maniġment, tagħlim u evoluzzjoni, eskalazzjoni tal-inċidenti, ittestjar tar-reżiljenza u aspettattivi ta’ partijiet terzi | Taħriġ għall-eżekuttivi, moduli għar-rwoli tal-ICT, taħriġ għal dawk li jirrispondu għall-inċidenti, pakkett ta’ evidenza għall-fornituri |
| GDPR | Responsabbiltà, ipproċessar sigur, għarfien tar-rwoli tal-privatezza, għarfien tal-ksur u mmaniġġjar tad-data personali | Taħriġ dwar il-privatezza għar-Riżorsi Umani, appoġġ, bejgħ, inġinerija u timijiet tal-inċidenti |
| NIST CSF 2.0 | Funzjoni GOVERN, rwoli, politiki, obbligi legali, sorveljanza, profili u ppjanar tat-titjib | Profil tat-taħriġ attwali u fil-mira, reġistru tal-lakuni u pjan ta’ azzjoni prijoritizzat |
| NIST SP 800-53 Rev.5 | Taħriġ ta’ għarfien, taħriġ ibbażat fuq ir-rwoli u reġistri tat-taħriġ | Immappjar ma’ AT-2, AT-3 u AT-4 permezz ta’ Zenith Controls |
| Assigurazzjoni infurmata minn COBIT 2019 | Objettivi ta’ governanza, responsabbiltà, kapaċità, metriċi tal-prestazzjoni u rappurtar lill-maniġment | KPIs tat-taħriġ, sjieda tar-rwoli, rieżami mill-maniġment u għeluq tal-azzjonijiet korrettivi |
NIST CSF 2.0 huwa partikolarment utli għal organizzazzjonijiet li għandhom jispjegaw il-maturità lil partijiet interessati mhux ISO. Il-metodu tal-Profili Organizzazzjonali tiegħu jappoġġja l-ippjanar tal-istat attwali u tal-istat fil-mira. Pereżempju, Current Profile jista’ jgħid li jeżisti għarfien bażiku iżda t-taħriġ tal-iżviluppaturi fil-kodifikazzjoni sigura mhuwiex komplut. Target Profile jista’ jeħtieġ li l-iżviluppaturi kollha jlestu taħriġ fil-kodifikazzjoni sigura, l-iżvelar tal-vulnerabbiltajiet u l-ġestjoni tas-sigrieti sal-Q3.
Kif l-awdituri u r-regolaturi jittestjaw l-evidenza tat-taħriġ
Reviżuri differenti jistaqsu mistoqsijiet differenti, iżda kollha jittestjaw l-istess verità: l-organizzazzjoni taf x’għandhom jagħmlu n-nies, u tista’ tipprova li n-nies huma ppreparati biex jagħmluh?
Awditur ta’ ISO/IEC 27001:2022 jgħaqqad l-evidenza tat-taħriġ ma’ Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 u 10.2, flimkien mal-kontrolli tal-Anness A. Stenna mistoqsijiet dwar kif ġew iddeterminati r-rekwiżiti tal-kompetenza, kif l-impjegati jafu l-politika tas-sigurtà tal-informazzjoni, kif jitħarrġu impjegati ġodda u kuntratturi, kif jiġi mmaniġġjat in-nuqqas ta’ tlestija, kif it-taħriġ ibbażat fuq ir-rwoli jintrabat mal-valutazzjoni tar-riskju u mad-Dikjarazzjoni ta’ Applikabbiltà, u kif tiġi evalwata l-effettività.
Zenith Controls jinnota li awdituri li jużaw ISO/IEC 19011:2018 jirrevedu l-kurrikulu, l-iskedi, il-materjal, ir-reġistri tal-attendenza, iċ-ċertifikati tat-tlestija u l-kompetenza tat-trainer. Jinnota wkoll li awdituri ISO/IEC 27007:2020 jistgħu jużaw intervisti biex jiddeterminaw jekk l-impjegati jafux kif jirrappurtaw inċidenti u jiftakrux il-messaġġi ewlenin tat-taħriġ.
Rieżami ffukat fuq NIS2 iħares lil hinn mir-rati tat-tlestija. Jistaqsi jekk il-korp maniġerjali approvax u ssorveljax il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jekk il-maniġment irċeviex taħriġ, jekk it-taħriġ tal-persunal fl-iġjene ċibernetika huwiex regolari u jekk ir-rappurtar tal-inċidenti huwiex mifhum. Article 21 jeħtieġ ukoll proċeduri biex tiġi evalwata l-effettività tal-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, għalhekk il-metriċi tal-phishing, ix-xejriet tar-rappurtar tal-inċidenti u s-sejbiet tal-awditu jsiru evidenza tal-effettività tal-kontrolli.
Rieżami DORA, speċjalment minn klijent finanzjarju li jivvaluta fornitur tal-ICT, jiffoka fuq ir-reżiljenza operattiva. Stenna mistoqsijiet dwar persunal li jappoġġja servizzi finanzjarji kritiċi, reġistri tat-taħriġ għal timijiet li jimmaniġġjaw sistemi tal-ħlas, taħriġ tal-maniġment dwar ir-riskju ta’ partijiet terzi tal-ICT, klassifikazzjoni tal-inċidenti taħt DORA Article 18 u taħriġ tal-kuntratturi għall-aċċess għall-ambjent tal-klijent.
Rieżami GDPR jiffoka fuq ir-responsabbiltà. L-organizzazzjoni għandha turi li l-persunal li jimmaniġġja data personali jifhem l-ipproċessar legali, il-kunfidenzjalità, il-minimizzazzjoni, iż-żamma, l-immaniġġjar sigur u l-eskalazzjoni ta’ ksur. Għal SaaS, FinTech u fornituri ta’ servizzi ġestiti, l-evidenza tat-taħriġ hija parti mill-prova li r-rekwiżiti tal-privatezza huma inkorporati fl-imġiba operattiva.
Metriċi li jippruvaw l-effettività tal-kontrolli
It-tlestija hija meħtieġa, iżda mhijiex biżżejjed. Dashboard aktar b’saħħtu għall-2026 juri jekk it-taħriġ tejjibx l-imġiba.
| Metrika | X’turi | Interpretazzjoni tal-awditu |
|---|---|---|
| Tlestija skont ir-rwol | Jekk il-popolazzjonijiet assenjati lestewx il-moduli meħtieġa | Konformità u kopertura bażiċi |
| Tlestija ta’ impjegati ġodda fil-mira | Jekk il-kontrolli tal-integrazzjoni inizjali jaħdmux | Maturità tar-Riżorsi Umani u tal-governanza tal-aċċess |
| Tlestija tat-taħriġ ta’ utenti privileġġjati | Jekk utenti b’riskju għoli humiex ippreparati | Prijoritizzazzjoni bbażata fuq ir-riskju |
| Rata ta’ klikks u rapportar fis-simulazzjonijiet tal-phishing | Jekk l-imġiba hijiex qed titjieb | Effettività tal-għarfien |
| Rapporti ta’ inċidenti mill-impjegati | Jekk in-nies jagħrfux u jirrappurtaw avvenimenti | Rabta mat-tħejjija għall-inċidenti |
| Ħin minn email suspettuża għar-rapport | Jekk ir-rappurtar jappoġġjax skadenzi regolatorji | Tħejjija għal NIS2 u DORA |
| Nuqqas ripetut ta’ tlestija | Jekk l-infurzar u l-eskalazzjoni jaħdmux | Monitoraġġ tal-konformità |
| Aġġornamenti tat-taħriġ wara inċidenti jew bidliet | Jekk il-lezzjonijiet meħuda jwasslux għal titjib | Titjib kontinwu |
Dawn il-metriċi jappoġġjaw ISO/IEC 27001:2022 Clause 9.1 għall-monitoraġġ u l-kejl, Clause 9.2 għall-awditu intern, Clause 10.1 għat-titjib kontinwu u Clause 10.2 għan-nuqqas ta’ konformità u azzjoni korrettiva. ISO/IEC 27002:2022 control 5.36 isaħħaħ li l-konformità mal-politiki, ir-regoli u l-istandards għandha tiġi mmonitorjata, evalwata u rimedjata.
Sejbiet komuni li Clarysec jara fl-awditi
L-istess dgħufijiet jidhru ripetutament.
L-organizzazzjonijiet iħarrġu lill-impjegati iżda jinsew lill-eżekuttivi. Taħt NIS2 u DORA, it-taħriġ tal-maniġment huwa parti mill-governanza, mhux bonus ta’ maturità.
L-organizzazzjonijiet iwasslu taħriġ annwali iżda jinjoraw bidliet fir-rwoli. Inġinier tal-appoġġ li jgħaddi għal DevOps jeħtieġ taħriġ dwar aċċess privileġġjat, logging, backup u eskalazzjoni tal-inċidenti.
L-organizzazzjonijiet jinkludu lill-impjegati iżda jinsew lill-kuntratturi. Zenith Blueprint Pass 15 jagħti parir li t-taħriġ jiġi estiż għal kuntratturi jew partijiet terzi li għandhom aċċess għal sistemi jew data.
L-organizzazzjonijiet jgħallmu r-rappurtar tal-inċidenti iżda joħolqu biża’. Jekk il-persunal jemmen li se jiġi kkastigat talli kklikkja link tal-phishing, jista’ jibqa’ sieket. Zenith Blueprint Pass 16 jenfasizza kanali sempliċi ta’ rappurtar, rappurtar appoġġjat mill-għarfien u kultura bla ħtija.
L-organizzazzjonijiet ma jistgħux jippruvaw il-kontroll tal-verżjonijiet tal-kontenut. Jekk awditur jistaqsi x’lesti l-impjegati f’Marzu, is-sett attwali ta’ slajds fuq SharePoint mhuwiex biżżejjed. Żomm il-verżjoni li ġiet ikkunsinnata.
L-organizzazzjonijiet jonqsu milli jgħaqqdu t-taħriġ mat-trattament tar-riskju. Jekk ransomware, frodi fil-ħlasijiet, konfigurazzjoni ħażina tal-cloud jew tnixxija ta’ data huma riskju ewlieni, il-pjan tat-taħriġ għandu juri trattament immirat għar-rwoli rilevanti.
Fejn jidħol Clarysec
Clarysec jgħin lill-organizzazzjonijiet jibnu programm difensibbli wieħed minflok ħames binarji ta’ konformità skonnessi.
Il-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME tagħti lill-organizzazzjonijiet iżgħar linja bażi prattika: aspettattivi bbażati fuq ir-rwoli, reġistri dokumentati, aġġornamenti annwali, taħriġ skattat mit-tibdil u żamma għal mill-inqas tliet snin.
Il-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni għall-intrapriżi tagħti lil organizzazzjonijiet akbar governanza aktar b’saħħitha: għarfien strutturat u infurmat mir-riskju, integrazzjoni inizjali, aġġornamenti annwali, moduli bbażati fuq ir-rwoli, sjieda tas-CISO tar-reġistri u tħejjija għal spezzjonijiet regolatorji taħt GDPR, DORA u NIS2.
Zenith Blueprint jgħid lit-timijiet tal-implimentazzjoni x’għandhom jagħmlu f’sekwenza. Pass 5 jibni l-kompetenza u l-għarfien fil-fondazzjoni tal-ISMS. Pass 15 joperazzjonalizza ISO/IEC 27002:2022 control 6.3 b’taħriġ annwali, moduli speċifiċi għar-rwol, integrazzjoni inizjali, simulazzjonijiet ta’ phishing, evidenza tal-parteċipazzjoni, bullettini mmirati, taħriġ tal-kuntratturi u tisħiħ tal-imġiba. Pass 16 jgħaqqad l-għarfien mar-rappurtar tal-inċidenti mmexxi mill-persunal.
Zenith Controls jagħti lit-timijiet tal-konformità l-crosswalk. Jgħaqqad ISO/IEC 27002:2022 control 6.3 mar-rwoli, ir-rappurtar tal-avvenimenti, il-monitoraġġ tal-konformità, ir-riskji tal-fattur uman taħt ISO/IEC 27005:2024, l-aspettattivi tat-taħriġ taħt GDPR, NIS2 Article 21, it-taħriġ tal-ICT taħt DORA, il-kontrolli ta’ għarfien ta’ NIST u l-metodoloġiji tal-awditu. Jgħaqqad ukoll control 5.2 mar-responsabbiltajiet tal-governanza u control 5.36 mal-monitoraġġ tal-konformità u l-azzjoni korrettiva.
Flimkien, dawn ir-riżorsi jippermettu lis-CISO jispjega mhux biss x’taħriġ seħħ, iżda għaliex seħħ, min talbu, liema riskju ttratta, kif ġie evidenzjat u kif jitjieb.
Agħmel l-evidenza tat-taħriġ dwar is-sigurtà lesta għall-awditu issa
Jekk l-evidenza attwali tiegħek hija spreadsheet, sett ta’ slajds u tama li l-impjegati jiftakru l-email tar-rappurtar, issa huwa ż-żmien li timmaturaha.
Ibda b’erba’ azzjonijiet din il-ġimgħa:
- Oħloq matriċi tat-taħriġ ibbażat fuq ir-rwoli marbuta mar-responsabbiltajiet tal-ISMS, l-aċċess għas-sistemi u l-obbligi regolatorji.
- Adotta jew aġġorna l-politika ta’ għarfien ta’ Clarysec billi tuża Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME jew Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni.
- Ibni l-pakkett ta’ evidenza b’sitt folders għall-governanza, l-immappjar tar-rwoli, il-kontenut, it-tlestija, l-effettività u t-titjib.
- Uża Zenith Blueprint u Zenith Controls biex timmappja l-evidenza tat-taħriġ mal-aspettattivi tal-awditu ta’ ISO/IEC 27001:2022, NIS2, DORA, GDPR u NIST.
L-għarfien dwar is-sigurtà għandu valur meta jbiddel l-imġiba. L-evidenza tal-konformità għandha valur meta tipprova dik l-imġiba b’mod konsistenti.
Clarysec jgħinek tibni t-tnejn.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
