⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
MT EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV NL PL PT RO SK SL SV
Compliance

Lil hinn mill-għafsa tal-id: kif tikkontrolla s-sigurtà tal-fornituri b’ISO 27001 u GDPR

Igor Petreski
12 min read
#ISO 27001:2022 #GDPR #Ġestjoni tal-fornituri #Ġestjoni tar-riskju #Protezzjoni tad-data #NIS2 #DORA

Il-fornituri tiegħek huma estensjoni tan-negozju tiegħek, iżda huma wkoll estensjoni tas-superfiċje tal-attakk tiegħek. Sigurtà dgħajfa tal-fornituri tista’ twassal għal ksur tad-data, multi regolatorji u tfixkil operattiv, għalhekk ġestjoni robusta mhijiex negozjabbli. Din il-gwida tipprovdi triq prattika biex tikkontrolla s-sigurtà tal-fornituri permezz ta’ ISO 27001:2022 u biex tissodisfa l-obbligi relatati mal-proċessuri taħt il-GDPR permezz ta’ kuntratti u sorveljanza effettivi.

X’inhu f’riskju

Fl-ekosistema tan-negozju interkonnessa tal-lum, l-ebda organizzazzjoni ma taħdem f’iżolament. Tiddependi fuq netwerk ta’ fornituri għal kollox, minn hosting fil-cloud u żvilupp tas-software sa analitika tal-marketing u pproċessar tal-pagi. Għalkemm din l-esternalizzazzjoni żżid l-effiċjenza, tintroduċi wkoll riskju sinifikanti. Kull darba li tagħti lil parti terza aċċess għad-data, għas-sistemi jew għall-infrastruttura tiegħek, tkun qed tafdaha żżomm l-istess standards ta’ sigurtà tiegħek. Meta dik il-fiduċja tkun żbaljata, il-konsegwenzi jistgħu jkunu serji u jmorru ferm lil hinn minn tfixkil sempliċi tas-servizz. Ksur li joriġina mill-katina tal-provvista tiegħek xorta jibqa’ ksur tiegħek, u l-impatt operattiv, finanzjarju u reputazzjonali jaqa’ direttament fuqek.

Il-pajsaġġ regolatorju, b’mod partikolari fl-Ewropa, ma jħalli l-ebda lok għal ambigwità. Il-GDPR, taħt l-Artikolu 28, jagħmilha ċara b’mod espliċitu li l-kontrolluri tad-data huma responsabbli għall-azzjonijiet tal-proċessuri tagħhom. Dan ifisser li għandek obbligu legali li twettaq diliġenza dovuta u tiżgura li kwalunkwe fornitur li jimmaniġġja data personali jipprovdi garanziji suffiċjenti dwar il-pożizzjoni tas-sigurtà tiegħu. Sempliċiment li tiffirma kuntratt mhuwiex biżżejjed; irid ikollok Ftehim dwar l-Ipproċessar tad-Data (DPA) formali u dokumentat li jistabbilixxi miżuri speċifiċi ta’ sigurtà, obbligi ta’ kunfidenzjalità, protokolli għan-notifika ta’ ksur u drittijiet ta’ awditjar. Nuqqas f’dan ir-rigward jista’ jwassal għal multi sostanzjali, iżda l-ħsara ma tieqafx hemm. Regolamenti bħal NIS2 u DORA qed iwessgħu dawn l-aspettattivi, billi jeħtieġu valutazzjonijiet tar-riskju kkoordinati u obbligi kuntrattwali tas-sigurtà tul il-katina tal-provvista kollha tal-ICT, speċjalment fis-setturi kritiċi u finanzjarji.

Ikkunsidra negozju żgħir tal-kummerċ elettroniku li jqabbad ditta terza tal-marketing biex timmaniġġja l-kampanji tal-email lill-klijenti tiegħu. Id-ditta tal-marketing taħżen il-lista tal-klijenti fuq server fil-cloud ikkonfigurat ħażin. Attur ta’ theddid jiskopri l-vulnerabbiltà, jesfiltra d-data personali ta’ eluf ta’ klijenti u jippubblikaha online. Għan-negozju tal-kummerċ elettroniku, l-impatt ikun immedjat u katastrofiku. Jaffaċċja investigazzjoni taħt il-GDPR, multi potenzjali, telf ta’ fiduċja tal-klijenti li jista’ jieħu snin biex jerġa’ jinbena, u l-piż operattiv tal-ġestjoni tar-rispons għall-inċidenti u tal-proċess tan-notifika. Il-kawża ewlenija ma kinitx difett fis-sistemi tiegħu stess, iżda nuqqas li jivverifika kif xieraq lill-fornitur u jorbtuh kuntrattwalment ma’ standards speċifiċi ta’ sigurtà. Dan ix-xenarju jenfasizza verità kritika: is-sigurtà tal-informazzjoni tiegħek hija b’saħħitha daqs l-aktar fornitur dgħajjef tiegħek.

Kif jidher kontroll tajjeb

Il-kisba ta’ sigurtà robusta tal-fornituri mhijiex kwistjoni ta’ ħitan impenetrabbli; hija kwistjoni ta’ qafas trasparenti u bbażat fuq ir-riskju għall-ġestjoni tar-relazzjonijiet ma’ partijiet terzi. Programm matur, allinjat ma’ ISO 27001:2022, jittrasforma l-ġestjoni tal-fornituri minn formalità tal-akkwist għal funzjoni strateġika tas-sigurtà. Jibda mill-prinċipji stabbiliti fil-kontroll A.5.19, li jiffoka fuq it-twaqqif u ż-żamma ta’ politika ċara għall-ġestjoni tas-sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri. Dan ifisser li l-fornituri kollha ma jiġux ittrattati bl-istess mod. Minflok, jiġu kklassifikati f’livelli skont il-livell ta’ riskju li jintroduċu, billi jitqiesu fatturi bħas-sensittività tad-data li jkollhom aċċess għaliha, il-kritiċità tas-servizz li jipprovdu u l-integrazzjoni tagħhom mas-sistemi ewlenin tiegħek.

Dan l-approċċ ibbażat fuq ir-riskju jinforma direttament ir-rekwiżiti kuntrattwali meħtieġa mill-kontroll A.5.20, li jittratta l-indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri. Għal fornitur b’riskju għoli, bħal fornitur ta’ infrastruttura cloud, il-ftehim ikun komprensiv. Jispeċifika kontrolli tekniċi bħal standards tal-iċċifrar, jeħtieġ awditi tas-sigurtà regolari, jiddefinixxi skadenzi stretti għan-notifika ta’ ksur, u jiżgura d-dritt tiegħek li tivverifika l-konformità tiegħu. Għal fornitur b’riskju baxx, bħal servizz tat-tindif tal-uffiċċji, ir-rekwiżiti jistgħu jkunu sempliċi daqs klawżola ta’ kunfidenzjalità. L-għan huwa li jiġi żgurat li kull relazzjoni ma’ fornitur tkun irregolata minn obbligi ta’ sigurtà ċari, infurzabbli u proporzjonati mar-riskju involut. Dan il-proċess strutturat jiżgura li s-sigurtà tkun konsiderazzjoni ewlenija mill-mument li jiġi kkunsidrat fornitur ġdid, u mhux ħsieb tardiv wara li jiġi ffirmat il-kuntratt. Il-librerija komprensiva tagħna ta’ kontrolli tgħin tiddefinixxi dawn il-miżuri speċifiċi għal livelli differenti ta’ fornituri.1

Immaġina startup fintech li qed tikber u li timmaniġġja data finanzjarja sensittiva. Il-programm tagħha tas-sigurtà tal-fornituri huwa mudell ta’ effiċjenza. Meta tqabbad fornitur cloud ġdid biex jospita l-applikazzjoni ewlenija tagħha, il-fornitur jiġi kklassifikat bħala “riskju kritiku”. Dan jattiva proċess rigoruż ta’ diliġenza dovuta, inkluż rieżami taċ-ċertifikat ISO 27001 tiegħu u tar-rapport SOC 2. Id-DPA jiġi eżaminat mit-timijiet legali u tas-sigurtà biex jiġi żgurat li jissodisfa r-rekwiżiti tal-GDPR dwar ir-residenza tad-data u l-ġestjoni tas-sottoproċessuri. Min-naħa l-oħra, meta tqabbad aġenzija lokali tad-disinn għal proġett ta’ marketing ta’ darba, l-aġenzija tiġi kklassifikata bħala “riskju baxx”. Hija tiffirma biss Ftehim ta’ Nuqqas ta’ Żvelar standard u tingħata aċċess biss għal assi tal-marka mhux sensittivi. Dan l-approċċ metodiku u f’livelli jippermetti lill-istartup tiffoka r-riżorsi tagħha fuq l-ogħla riskji filwaqt li żżomm l-aġilità.

Triq prattika

Il-bini ta’ programm durabbli tas-sigurtà tal-fornituri jeħtieġ approċċ strutturat u f’fażijiet li jintegra s-sigurtà fiċ-ċiklu tal-ħajja kollu tal-fornitur, mill-għażla sat-terminazzjoni kkontrollata tar-relazzjoni. Mhuwiex proġett ta’ darba iżda proċess tan-negozju kontinwu li jallinja d-dipartimenti tal-akkwist, legali u tal-IT. Billi taqsam l-implimentazzjoni f’passi maniġġabbli, tista’ tibni momentum u turi valur malajr mingħajr ma tgħabbi żżejjed lit-timijiet tiegħek. Din it-triq tiżgura li r-rekwiżiti tas-sigurtà jiġu definiti, li l-kuntratti jkunu robusti u li l-monitoraġġ ikun kontinwu, u toħloq sistema ta’ kontroll li tissodisfa lill-awdituri u tnaqqas ir-riskju b’mod reali. Il-gwida tagħna għall-implimentazzjoni tal-ISMS, il-Zenith Blueprint, tipprovdi pjan dettaljat ta’ proġett għat-twaqqif ta’ dawn il-proċessi fundamentali.2

Il-fażi inizjali tiffoka fuq it-tqegħid tal-pedamenti. Dan jinvolvi li tifhem il-pajsaġġ eżistenti tal-fornituri tiegħek u tiddefinixxi r-regoli tal-impenn għar-relazzjonijiet futuri kollha. Ma tistax tipproteġi dak li ma tafx bih, għalhekk il-ħolqien ta’ inventarju komprensiv tal-fornituri attwali kollha huwa l-ewwel pass essenzjali. Dan il-proċess spiss jikxef dipendenzi u riskji li qabel ma kinux dokumentati. Ladarba jkollok viżibbiltà, tista’ tiżviluppa l-politiki u l-proċeduri li jirregolaw il-programm, u tiżgura li kulħadd fl-organizzazzjoni jifhem ir-rwol tiegħu fiż-żamma tas-sigurtà tal-katina tal-provvista.

  • Ġimgħa 1: skoperta u pedament tal-politika
    • Iġbor inventarju sħiħ tal-fornituri attwali kollha, b’indikazzjoni tas-servizzi li jipprovdu u tad-data li jkollhom aċċess għaliha.
    • Żviluppa metodoloġija ta’ valutazzjoni tar-riskju biex tikklassifika l-fornituri f’livelli (eż. għoli, medju, baxx) abbażi tas-sensittività tad-data, il-kritiċità tas-servizz u l-aċċess għas-sistemi.
    • Abbozza politika formali tas-sigurtà tal-fornituri li tiddefinixxi r-rekwiżiti għal kull livell ta’ riskju.
    • Oħloq kwestjonarju standardizzat tas-sigurtà u mudell għal Ftehimiet dwar l-Ipproċessar tad-Data (DPAs) allinjat mal-Artikolu 28 tal-GDPR.

Bil-politiki fundamentali fis-seħħ, il-fażi li jmiss tiffoka fuq l-inkorporazzjoni ta’ dawn ir-rekwiżiti ġodda fil-flussi tax-xogħol tal-akkwist u legali tiegħek. Hawnhekk il-programm jgħaddi mit-teorija għall-prattika. Huwa kritiku li jiġi żgurat li l-ebda fornitur ġdid ma jkun jista’ jiġi integrat mingħajr ma jgħaddi mir-rieżami tas-sigurtà xieraq. Dan jeħtieġ kollaborazzjoni mill-qrib mat-timijiet li jimmaniġġjaw il-kuntratti u l-ħlasijiet tal-fornituri. Billi tagħmel is-sigurtà punt ta’ kontroll obbligatorju fil-proċess tal-akkwist, tipprevjeni relazzjonijiet riskjużi milli jinħolqu mill-bidu u tiżgura li l-ftehimiet kollha jkun fihom il-protezzjonijiet legali meħtieġa.

  • Ġimgħa 2: integrazzjoni u diliġenza dovuta
    • Integra l-proċess tar-rieżami tas-sigurtà fil-fluss tax-xogħol eżistenti tiegħek tal-akkwist u tal-integrazzjoni tal-fornituri.
    • Ibda evalwa fornituri ġodda permezz tal-kwestjonarju tas-sigurtà u l-metodoloġija tar-riskju tiegħek.
    • Aħdem mat-tim legali tiegħek biex tiżgura li l-kuntratti ġodda kollha, speċjalment dawk li jinvolvu data personali, jinkludu d-DPA standard u l-klawżoli tas-sigurtà tiegħek.
    • Ibda l-proċess ta’ evalwazzjoni retrospettiva tal-fornituri eżistenti tiegħek b’riskju għoli u rrimedja kwalunkwe lakuna kuntrattwali.

It-tielet fażi tittrasferixxi l-enfasi lejn monitoraġġ u rieżami kontinwi. Is-sigurtà tal-fornituri mhijiex attività li “tissettjaha u tinsieha”. Il-pajsaġġ tat-theddid jinbidel, is-servizzi tal-fornituri jevolvu, u l-pożizzjoni tas-sigurtà tagħhom stess tista’ tiddeterjora maż-żmien. Programm matur jinkludi mekkaniżmi għal sorveljanza kontinwa biex jiġi żgurat li l-fornituri jibqgħu konformi mal-obbligi kuntrattwali tagħhom tul ir-relazzjoni kollha. Dan jinvolvi kuntatti regolari, rieżami ta’ rapporti tal-awditjar u proċess ċar għall-ġestjoni ta’ kwalunkwe tibdil fis-servizzi li jipprovdu.

  • Ġimgħa 3: monitoraġġ u ġestjoni tat-tibdil
    • Stabbilixxi skeda għal rieżamijiet perjodiċi tal-fornituri b’riskju għoli (eż. kull sena). Din għandha tinkludi talbiet għal ċertifikazzjonijiet aġġornati jew rapporti tal-awditjar.
    • Iddefinixxi proċess formali għall-ġestjoni tat-tibdil fis-servizzi tal-fornituri. Kwalunkwe bidla sinifikanti, bħall-introduzzjoni ta’ sottoproċessur ġdid jew tibdil fil-post tal-ipproċessar tad-data, għandha tattiva rivalutazzjoni tar-riskju.
    • Implimenta sistema għat-traċċar tal-prestazzjoni tal-fornituri kontra ftehimiet dwar livelli ta’ servizz (SLAs) tas-sigurtà u rekwiżiti kuntrattwali.

Fl-aħħar nett, il-programm irid ikun ippreparat biex jimmaniġġja inċidenti u biex jagħlaq relazzjoni ma’ fornitur b’mod sigur. Tkun kemm tkun bir-reqqa d-diliġenza dovuta tiegħek, l-inċidenti xorta jistgħu jseħħu. Pjan ta’ rispons għall-inċidenti definit tajjeb li jinkludi lill-fornituri tiegħek huwa kruċjali għal reazzjoni rapida u effettiva. Daqstant importanti huwa proċess sigur għat-terminazzjoni kkontrollata tar-relazzjoni. Meta jintemm kuntratt, trid tiżgura li d-data kollha tiegħek tiġi rritornata jew meqruda b’mod sigur u li l-aċċess kollu għas-sistemi tiegħek jiġi revokat, mingħajr ma jitħallew lakuni fis-sigurtà.

  • Ġimgħa 4: rispons għall-inċidenti u terminazzjoni kkontrollata tar-relazzjoni
    • Integra l-fornituri fil-pjan ta’ rispons għall-inċidenti tiegħek, billi tiċċara r-rwoli, ir-responsabbiltajiet u l-protokolli ta’ komunikazzjoni tagħhom f’każ ta’ ksur tas-sigurtà.
    • Żviluppa lista ta’ kontroll formali għat-terminazzjoni kkontrollata tar-relazzjoni mal-fornitur. Din trid tinkludi passi għar-ritorn jew il-qerda tad-data, ir-revoka tal-aċċess fiżiku u loġiku kollu, u s-saldu finali tal-kontijiet.
    • Wettaq test tal-pjan ta’ komunikazzjoni dwar inċidenti tal-fornituri biex tiżgura li jaħdem kif mistenni.
    • Ibda applika l-proċess ta’ terminazzjoni kkontrollata għal kwalunkwe relazzjoni ma’ fornitur li tkun qed tintemm.

Politiki li jagħmlu l-kontroll sostenibbli

Pjan prattiku ta’ implimentazzjoni huwa essenzjali, iżda mingħajr politiki ċari u infurzabbli, anke l-aħjar proċessi jiddgħajfu taħt pressjoni. Il-politiki huma s-sinsla tal-programm tas-sigurtà tal-fornituri tiegħek, u jittraduċu għanijiet strateġiċi f’regoli konkreti li jiggwidaw id-deċiżjonijiet ta’ kuljum. Huma jipprovdu ċarezza lill-impjegati tiegħek, jistabbilixxu aspettattivi mhux ambigwi għall-fornituri tiegħek, u joħolqu rekord awditjabbli tal-qafas ta’ governanza tiegħek. Politika miktuba tajjeb tneħħi l-inċertezza u tiżgura li d-diliġenza dovuta tas-sigurtà tiġi applikata b’mod konsistenti fl-organizzazzjoni kollha, mit-tim tal-akkwist li jinnegozja kuntratt ġdid sat-tim tal-IT li jipprovdi aċċess għal konsulent minn parti terza.

Il-pedament ta’ dan il-qafas huwa l-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri.3 Dan id-dokument iservi bħala l-awtorità ċentrali għall-kwistjonijiet kollha tas-sigurtà relatati mal-fornituri. Jiddefinixxi formalment l-impenn tal-organizzazzjoni għall-ġestjoni tar-riskji tal-katina tal-provvista u jiddeskrivi ċ-ċiklu tal-ħajja kollu ta’ relazzjoni ma’ fornitur mill-perspettiva tas-sigurtà. Jistabbilixxi l-metodoloġija tal-klassifikazzjoni f’livelli tar-riskju, jispeċifika r-rekwiżiti minimi tas-sigurtà għal kull livell, u jassenja rwoli u responsabbiltajiet ċari. Din il-politika tiżgura li s-sigurtà mhijiex żieda fakultattiva iżda komponent obbligatorju ta’ kull involviment ma’ fornitur, u tipprovdi l-awtorità meħtieġa biex tiġi infurzata l-konformità u jiġu miċħuda fornituri li jonqsu milli jissodisfaw l-istandards tiegħek.

Pereżempju, kumpanija tal-loġistika ta’ daqs medju tiddependi fuq tużżana fornituri differenti tas-software għal kollox, mill-ippjanar tar-rotot sal-ġestjoni tal-imħażen. Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri tagħha tobbliga li kwalunkwe fornitur li jimmaniġġja data dwar vjeġġi jew klijenti jiġi kklassifikat bħala “riskju għoli”. Qabel ma t-tim tal-finanzi jkun jista’ jipproċessa fattura għal abbonament ġdid tas-software, il-maniġer tal-akkwist irid itella’ DPA ffirmat u kwestjonarju tas-sigurtà komplut f’repożitorju ċentrali. Il-maniġer tas-sigurtà tal-IT jiġi nnotifikat awtomatikament biex jagħmel rieżami tad-dokumenti. Jekk id-dokumenti jkunu nieqsa jew it-tweġibiet tal-fornitur ma jkunux adegwati, is-sistema tipprevjeni l-approvazzjoni tal-ħlas u effettivament twaqqaf il-proċess ta’ integrazzjoni sakemm jintlaħqu r-rekwiżiti tas-sigurtà. Dan il-fluss tax-xogħol sempliċi, immexxi mill-politika, jiżgura li l-ebda fornitur riskjuż ma jgħaddi mingħajr kontroll.

Listi ta’ kontroll

Biex jiġi żgurat proċess komprensiv u ripetibbli tas-sigurtà tal-fornituri, huwa utli li l-attivitajiet ewlenin jinqasmu f’listi ta’ kontroll azzjonabbli. Dawn il-listi jiggwidaw lit-timijiet tiegħek mill-istadji kritiċi tal-bini tal-programm, tat-tħaddim tiegħu ta’ kuljum u tal-verifika tal-effettività tiegħu maż-żmien. Jgħinu biex l-approċċ tiegħek jiġi standardizzat, inaqqsu r-riskju ta’ żball uman u jipprovdu evidenza ċara lill-awdituri li l-kontrolli tiegħek qed jiġu implimentati b’mod konsistenti.

Pedament sod huwa kruċjali għal kwalunkwe programm effettiv tas-sigurtà. Qabel ma tkun tista’ tibda tevalwa fornituri individwali, l-ewwel trid tibni l-qafas intern li se jappoġġa l-proċess kollu. Dan jinvolvi d-definizzjoni tal-aptit għar-riskju tiegħek, il-ħolqien tad-dokumentazzjoni meħtieġa u l-assenjazzjoni ta’ sjieda ċara. Mingħajr dawn l-elementi fundamentali, l-isforzi tiegħek ikunu diżorganizzati, inkonsistenti u diffiċli biex jiġu skalati hekk kif tikber l-organizzazzjoni tiegħek. Din il-fażi inizjali tat-twaqqif tiffoka fuq il-ħolqien tal-għodod u r-regoli li se jirregolaw l-attivitajiet futuri kollha tas-sigurtà tal-fornituri.

Ibni: stabbilixxi l-qafas tas-sigurtà tal-fornituri tiegħek

  • Żviluppa u approva Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri formali.
  • Oħloq inventarju komprensiv tal-fornituri eżistenti kollha u tad-data li jkollhom aċċess għaliha.
  • Iddefinixxi metodoloġija ċara ta’ valutazzjoni tar-riskju u kriterji għall-klassifikazzjoni tal-fornituri f’livelli.
  • Iddisinja kwestjonarju standardizzat tas-sigurtà għad-diliġenza dovuta tal-fornituri.
  • Oħloq mudell legali għal Ftehimiet dwar l-Ipproċessar tad-Data (DPAs) li jkun konformi mal-Artikolu 28 tal-GDPR.
  • Assenja rwoli u responsabbiltajiet ċari għall-ġestjoni tas-sigurtà tal-fornituri bejn id-dipartimenti.

Ladarba l-qafas ikun fis-seħħ, l-enfasi tgħaddi għall-attivitajiet operattivi ta’ kuljum tal-ġestjoni tar-relazzjonijiet mal-fornituri. Dan jinvolvi l-inkorporazzjoni tal-verifiki tas-sigurtà fil-proċessi normali tan-negozju tiegħek, b’mod partikolari l-akkwist u l-integrazzjoni tal-fornituri. Kull fornitur ġdid irid jgħaddi minn dawn il-punti ta’ kontroll tas-sigurtà qabel jingħata aċċess għad-data jew għas-sistemi tiegħek. Din il-lista ta’ kontroll operattiva tiżgura li l-politiki li ktibt jiġu applikati b’mod konsistenti fil-prattika għal kull involviment ma’ fornitur.

Opera: immaniġġja ċ-ċiklu tal-ħajja tal-fornitur

  • Wettaq diliġenza dovuta tas-sigurtà u valutazzjoni tar-riskju għall-fornituri ġodda kollha qabel l-iffirmar tal-kuntratt.
  • Żgura li DPA ffirmat u klawżoli xierqa tas-sigurtà jiġu inklużi fil-kuntratti rilevanti kollha mal-fornituri.
  • Ipprovdi l-aċċess tal-fornituri abbażi tal-prinċipju tal-inqas privileġġ.
  • Ittrekkja u mmaniġġja kwalunkwe eċċezzjoni relatata mas-sigurtà jew riskji aċċettati għal fornituri speċifiċi.
  • Esegwixxi l-proċess formali ta’ terminazzjoni kkontrollata tar-relazzjoni meta jintemm kuntratt ma’ fornitur, inklużi l-qerda tad-data u r-revoka tal-aċċess.

Fl-aħħar nett, programm tas-sigurtà jkun effettiv biss jekk jiġi mmonitorjat, rieżaminat u mtejjeb regolarment. Il-fażi “Ivverifika” tiffoka fuq l-iżgurar li l-kontrolli qed jaħdmu kif maħsub u li l-fornituri tiegħek jibqgħu jissodisfaw l-obbligi tas-sigurtà tagħhom maż-żmien. Dan jinvolvi verifiki perjodiċi, awditi formali u impenn li titgħallem minn kwalunkwe inċident jew kważi inċident. Dan iċ-ċiklu kontinwu ta’ verifika huwa dak li jittrasforma sett statiku ta’ regoli f’funzjoni dinamika u reżiljenti tas-sigurtà.

Ivverifika: monitoraġġ u awditjar tas-sigurtà tal-fornituri

  • Skeda u wettaq rieżamijiet perjodiċi tas-sigurtà tal-fornituri b’riskju għoli.
  • Itlob u agħmel rieżami tal-evidenza tal-konformità tal-fornituri, bħal ċertifikati ISO 27001 jew riżultati ta’ testijiet ta’ penetrazzjoni.
  • Wettaq awditi interni tal-proċess tas-sigurtà tal-fornituri biex tiżgura konformità mal-politika.
  • Agħmel rieżami u aġġorna l-valutazzjonijiet tar-riskju tal-fornituri b’rispons għal bidliet sinifikanti fis-servizzi jew fil-pajsaġġ tat-theddid.
  • Inkorpora t-tagħlimiet miksuba minn inċidenti tas-sigurtà relatati mal-fornituri fil-politiki u l-proċeduri tiegħek.

Żbalji komuni

Anke b’programm imfassal tajjeb, l-organizzazzjonijiet spiss jaqgħu f’nases komuni li jdgħajfu l-isforzi tagħhom fis-sigurtà tal-fornituri. Li tkun konxju ta’ dawn l-iżbalji huwa l-ewwel pass biex tevitahom. Wieħed mill-iżbalji l-aktar frekwenti huwa li s-sigurtà tal-fornituri titqies bħala attività ta’ darba, ta’ eżerċizzju formali ta’ konformità, waqt l-integrazzjoni inizjali. Fornitur jista’ jkollu pożizzjoni tas-sigurtà eċċellenti meta tiffirma l-kuntratt, iżda s-sitwazzjoni tiegħu tista’ tinbidel. Fużjonijiet, akkwisti, sottoproċessuri ġodda jew saħansitra devjazzjoni mill-konfigurazzjoni bażi jistgħu jintroduċu vulnerabbiltajiet ġodda. Nuqqas li jsiru rieżamijiet perjodiċi, speċjalment għal fornituri b’riskju għoli, ifisser li tkun qed topera fuq suppożizzjonijiet skaduti u potenzjalment mhux preċiżi dwar is-sigurtà tagħhom.

Żball ewlieni ieħor huwa l-aċċettazzjoni għamja tad-dokumentazzjoni tal-fornitur. Fornituri kbar, speċjalment fis-swieq tal-cloud u SaaS, ħafna drabi jippreżentaw il-kuntratti standard u t-termini tas-sigurtà tagħhom bħala mhux negozjabbli. Ħafna organizzazzjonijiet, ħerqana li jibdew proġett, jiffirmaw dawn il-ftehimiet mingħajr rieżami bir-reqqa mit-timijiet legali u tas-sigurtà tagħhom. Dan jista’ jwassal għall-aċċettazzjoni ta’ termini sfavorevoli, bħal responsabbiltà estremament limitata f’każ ta’ ksur, klawżoli ambigwi dwar is-sjieda tad-data, jew l-ebda dritt ta’ awditjar. Għalkemm in-negozjar jista’ jkun diffiċli, huwa kruċjali li jiġu identifikati kwalunkwe devjazzjonijiet mill-politika tas-sigurtà tiegħek stess u li l-aċċettazzjoni tar-riskju tiġi dokumentata formalment jekk tiddeċiedi li tkompli. Sempliċiment li tiffirma t-termini tagħhom mingħajr ma tifhem l-implikazzjonijiet huwa nuqqas ta’ diliġenza dovuta.

Żball komuni ieħor huwa komunikazzjoni interna u sjieda dgħajfa. Is-sigurtà tal-fornituri mhijiex biss ir-responsabbiltà tad-dipartiment tal-IT jew tas-sigurtà. L-akkwist irid jimmaniġġja l-kuntratti, it-tim legali jrid jivverifika t-termini, u s-sidien tan-negozju li jiddependu fuq is-servizz tal-fornitur iridu jifhmu r-riskji involuti. Meta dawn id-dipartimenti jaħdmu f’silos, il-lakuni inevitabbilment jidhru. L-akkwist jista’ jġedded kuntratt mingħajr ma jattiva rivalutazzjoni tas-sigurtà meħtieġa, jew unità tan-negozju tista’ tqabbad fornitur ġdid “bi spiża baxxa” mingħajr ebda verifika tas-sigurtà. Programm ta’ suċċess jeħtieġ tim interfunzjonali b’rwoli ċari u fehim kondiviż tal-proċess.

Fl-aħħar nett, ħafna organizzazzjonijiet jonqsu milli jippjanaw għat-tmiem tar-relazzjoni. It-terminazzjoni kkontrollata tar-relazzjoni hija kritika daqs l-integrazzjoni inizjali. Żball komuni huwa li jintemm kuntratt iżda jintesa li jiġi revokat l-aċċess tal-fornitur għas-sistemi u d-data. Kontijiet li jibqgħu miftuħa u mhux użati huma mira ewlenija għall-attakkanti. Proċess formali ta’ terminazzjoni kkontrollata li jinkludi lista ta’ kontroll għar-revoka tal-kredenzjali kollha, ir-ritorn jew il-qerda tad-data kollha tal-kumpanija, u l-konferma tat-terminazzjoni tal-aċċess huwa essenzjali biex dawn il-kontijiet “zombie” ma jsirux inċident tas-sigurtà fil-futur.

Passi li jmiss

Lest tibni programm reżiljenti tas-sigurtà tal-fornituri li jiflaħ l-iskrutinju regolatorju u jipproteġi n-negozju tiegħek? It-toolkits komprensivi tagħna jipprovdu l-politiki, il-kontrolli u l-gwida għall-implimentazzjoni li għandek bżonn biex tibda.

Referenzi

  1. Zenith Controls ↩︎

  2. Zenith Blueprint ↩︎

  3. Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri ↩︎

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Kif tibda b’ISO 27001:2022: Gwida prattika

Kif tibda b’ISO 27001:2022: Gwida prattika

Introduzzjoni

ISO 27001 huwa l-istandard internazzjonali għas-sistemi ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS). Din il-gwida komprensiva tmexxik mill-passi essenzjali għall-implimentazzjoni ta’ ISO 27001 fl-organizzazzjoni tiegħek, mill-ippjanar inizjali saċ-ċertifikazzjoni.

X’inhu ISO 27001?

ISO 27001 jipprovdi approċċ sistematiku għall-ġestjoni tal-informazzjoni sensittiva tal-organizzazzjoni u biex jiġi żgurat li tibqa’ protetta. Ikopri n-nies, il-proċessi u s-sistemi tat-teknoloġija tal-informazzjoni permezz tal-applikazzjoni ta’ proċess ta’ ġestjoni tar-riskju.

Benefiċċji ewlenin

  • Sigurtà mtejba: Approċċ sistematiku għall-protezzjoni tal-assi tal-informazzjoni
  • Konformità regolatorja: Jappoġġa t-twettiq ta’ diversi rekwiżiti regolatorji
  • Kontinwità tan-negozju: Inaqqas ir-riskju ta’ inċidenti tas-sigurtà
  • Vantaġġ kompetittiv: Juri impenn lejn is-sigurtà tal-informazzjoni
  • Fiduċja tal-klijenti: Isaħħaħ il-fiduċja mal-klijenti u mas-sħab

Proċess ta’ implimentazzjoni

1. Analiżi tal-lakuni

Ibda billi twettaq analiżi bir-reqqa tal-lakuni biex tifhem il-qagħda attwali tas-sigurtà tiegħek: