Evidenza tal-iġjene ċibernetika taħt NIS2 immappjata ma’ ISO 27001
Huma t-08:40 ta’ nhar ta’ Tnejn. Sarah, il-CISO ta’ fornitur B2B SaaS li qed jikber malajr, tidħol fis-sejħa tat-tmexxija bil-ħsieb li se jkun hemm rieżami ta’ rutina tal-azzjonijiet miftuħa marbuta mar-riskju. Minflok, il-konsulent legali ġenerali jiftaħ b’mistoqsija aktar diretta:
“Jekk l-awtorità kompetenti nazzjonali titlobna għada nuru l-iġjene ċibernetika u t-taħriġ fiċ-ċibersigurtà taħt NIS2 Article 21, eżattament x’nibagħtu?”
Id-direttur tar-riżorsi umani jgħid li kull impjegat temm it-taħriġ annwali ta’ għarfien. Il-maniġer tas-SOC jgħid li s-simulazzjonijiet ta’ phishing qed jitjiebu. Ir-responsabbli għall-operazzjonijiet tal-IT jgħid li l-MFA hija infurzata, il-kopji ta’ riżerva jiġu ttestjati, u l-applikazzjoni tal-patches tiġi ttraċċata. Il-maniġer tal-konformità jgħid li l-fajl tal-awditjar ISO/IEC 27001:2022 fih reġistri tat-taħriġ, iżda t-tim tal-proġett DORA għandu l-evidenza tiegħu dwar it-taħriġ fir-reżiljenza, filwaqt li l-folder tal-GDPR għandu reġistri separati ta’ għarfien dwar il-privatezza.
Kulħadd għamel xogħlu. Ħadd mhu ċert li l-evidenza tirrakkonta storja waħda koerenti.
Din hija l-problema reali ta’ NIS2 Article 21 għall-entitajiet essenzjali u importanti. Ir-rekwiżit mhuwiex sempliċement “ħarreġ lill-utenti.” Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati biex jiġi ġestit ir-riskju ċibernetiku. Is-sett minimu ta’ kontrolli tiegħu jinkludi l-iġjene ċibernetika u t-taħriġ fiċ-ċibersigurtà, iżda wkoll il-ġestjoni tal-inċidenti, il-kontinwità tan-negozju, is-sigurtà tal-katina tal-provvista, il-ġestjoni tal-vulnerabbiltajiet, il-kontrolli kriptografiċi, is-sigurtà tar-riżorsi umani, il-kontroll tal-aċċess, il-ġestjoni tal-assi, MFA jew awtentikazzjoni kontinwa, komunikazzjonijiet siguri, u proċeduri biex tiġi evalwata l-effettività.
L-iġjene ċibernetika mhijiex kampanja ta’ għarfien. Hija d-dixxiplina operattiva ta’ kuljum li tgħaqqad lin-nies, il-kontrolli, l-evidenza u r-responsabbiltà tal-maniġment.
Għal CISOs, maniġers tal-konformità, MSPs, fornituri SaaS, operaturi cloud u fornituri ta’ servizzi diġitali, it-tweġiba prattika mhijiex li jinħoloq “proġett ta’ taħriġ NIS2” separat. L-approċċ aktar b’saħħtu huwa li tinbena katina waħda ta’ evidenza lesta għall-awditjar fi ħdan ISMS ISO/IEC 27001:2022, appoġġata minn prattiki ta’ kontroll ISO/IEC 27002:2022, ġestita skont ir-riskju permezz ta’ ISO/IEC 27005:2022, u kkorrelata ma’ NIS2, DORA, GDPR, assigurazzjoni fuq stil NIST u aspettattivi ta’ governanza COBIT 2019.
Għaliex NIS2 Article 21 jagħmel it-taħriġ evidenza għall-bord
NIS2 japplika għal ħafna entitajiet medji u kbar fis-setturi ta’ Annex I u Annex II li jipprovdu servizzi jew iwettqu attivitajiet fl-Unjoni. Għall-kumpaniji tat-teknoloġija, il-kamp ta’ applikazzjoni jista’ jkun usa’ milli jistennew ħafna timijiet ta’ tmexxija. Annex I ikopri l-infrastruttura diġitali, inklużi fornituri ta’ servizzi tal-cloud computing, fornituri ta’ servizzi ta’ ċentri tad-data, fornituri ta’ networks għat-twassil tal-kontenut, fornituri ta’ servizzi ta’ fiduċja, fornituri ta’ servizzi DNS, u reġistri TLD. Annex I ikopri wkoll il-ġestjoni tas-servizzi tal-ICT B2B, inklużi fornituri ta’ servizzi ġestiti u fornituri ta’ servizzi ta’ sigurtà ġestiti. Annex II jinkludi fornituri diġitali bħal swieq online, magni tat-tiftix online u pjattaformi ta’ servizzi ta’ networking soċjali.
Xi entitajiet jistgħu jkunu fil-kamp ta’ applikazzjoni irrispettivament mid-daqs, inklużi ċerti fornituri ta’ servizzi DNS u reġistri TLD. Deċiżjonijiet nazzjonali dwar il-kritiċità jistgħu wkoll idaħħlu fornituri iżgħar fil-kamp ta’ applikazzjoni meta tfixkil jista’ jaffettwa s-sikurezza pubblika, ir-riskju sistemiku jew servizzi essenzjali.
Article 21(1) jeħtieġ li entitajiet essenzjali u importanti jimplimentaw miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati biex jimmaniġġjaw ir-riskji għan-networks u s-sistemi tal-informazzjoni użati għall-operazzjonijiet jew għall-forniment tas-servizzi, u biex jipprevjenu jew jimminimizzaw l-impatt tal-inċidenti. Article 21(2) jelenka l-miżuri minimi, inklużi politiki dwar l-analiżi tar-riskju u s-sigurtà tas-sistemi tal-informazzjoni, il-ġestjoni tal-inċidenti, il-kontinwità tan-negozju, is-sigurtà tal-katina tal-provvista, akkwist u manutenzjoni siguri, evalwazzjoni tal-effettività, prattiki bażiċi ta’ iġjene ċibernetika u taħriġ fiċ-ċibersigurtà, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, u MFA jew awtentikazzjoni kontinwa fejn xieraq.
Article 20 jgħolli l-livell tar-riskju. Il-korpi ta’ ġestjoni għandhom japprovaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni, u jistgħu jinżammu responsabbli għal ksur. Il-membri tal-korpi ta’ ġestjoni għandhom isegwu taħriġ, u l-entitajiet huma mħeġġa jipprovdu taħriġ regolari simili lill-impjegati sabiex ikunu jistgħu jidentifikaw ir-riskji u jevalwaw il-prattiki ta’ ġestjoni tar-riskju taċ-ċibersigurtà u l-impatt tagħhom fuq is-servizzi.
Article 34 iżid pressjoni finanzjarja. Ksur ta’ Article 21 jew Article 23 jista’ jwassal għal multi amministrattivi li jilħqu mill-inqas EUR 10,000,000 jew 2% tad-dħul annwali dinji għall-entitajiet essenzjali, u mill-inqas EUR 7,000,000 jew 1.4% għall-entitajiet importanti, skont liema minnhom ikun l-ogħla.
Għalhekk “għamilna taħriġ annwali ta’ għarfien” mhuwiex biżżejjed. Regolatur, awditur ISO, valutatur tas-sigurtà tal-klijenti jew assiguratur ċibernetiku jistenna evidenza li t-taħriġ huwa bbażat fuq ir-rwol, ibbażat fuq ir-riskju, aġġornat, imkejjel, marbut mal-inċidenti u mifhum mill-maniġment.
Il-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni enterprise ta’ Clarysec, klawżola 5.1.1.3, teħtieġ li t-taħriġ:
Ikopri suġġetti bħal phishing, iġjene tal-passwords, rappurtar u ġestjoni tal-inċidenti, sigurtà fiżika, u protezzjoni u minimizzazzjoni tad-data
L-istess politika, klawżola 8.3.1.1, tidentifika l-linja ta’ evidenza li l-awdituri normalment jitolbu l-ewwel:
Reġistri tal-assenjazzjoni, ir-rikonoxximent u t-tlestija tat-taħriġ
Għall-SMEs, il-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME ta’ Clarysec, klawżola 8.4.1, hija saħansitra aktar diretta dwar l-awditabbiltà:
Ir-reġistri tat-taħriġ huma soġġetti għal awditjar intern u rieżami estern. Ir-reġistri għandhom ikunu preċiżi, kompluti u jistgħu jintwerew fuq talba (eż., għal ċertifikazzjoni ISO, awditu GDPR jew verifika tal-assigurazzjoni).
Dik is-sentenza taqbad id-differenza bejn l-għarfien bħala attività tar-riżorsi umani u l-għarfien bħala kontroll ta’ konformità. Jekk ir-reġistri mhumiex kompluti, mhumiex verifikabbli jew mhumiex marbuta mar-riskju tar-rwol, il-kontroll jista’ jeżisti operattivament iżda jfalli waqt awditu.
Uża ISO/IEC 27001:2022 bħala s-sinsla tal-evidenza
ISO/IEC 27001:2022 huwa s-sinsla naturali għal NIS2 Article 21 għaliex iġiegħel lill-organizzazzjoni tiddefinixxi l-kamp ta’ applikazzjoni, il-partijiet interessati, ir-riskji, il-kontrolli, l-objettivi, l-evidenza, l-awditjar intern, ir-rieżami tal-ġestjoni u t-titjib kontinwu.
Il-klawżoli 4.1 sa 4.4 jeħtieġu li l-organizzazzjoni tifhem il-kwistjonijiet interni u esterni, tiddetermina l-partijiet interessati u r-rekwiżiti tagħhom, tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS, tikkunsidra l-interfaċċi u d-dipendenzi ma’ attivitajiet imwettqa minn organizzazzjonijiet oħra, u żżomm l-ISMS bħala sett interattiv ta’ proċessi. Għal fornitur SaaS jew MSP, il-kamp ta’ applikazzjoni tal-ISMS għandu jinkludi b’mod espliċitu l-obbligi NIS2, l-obbligi kuntrattwali tal-klijenti, id-dipendenzi fuq fornituri cloud, il-kopertura ta’ SOC esternalizzat, ir-rwoli tal-ipproċessar tad-data, u l-impenji dwar id-disponibbiltà tas-servizzi.
Il-klawżoli 5.1 sa 5.3 idaħħlu r-responsabbiltà tal-governanza. It-tmexxija għolja għandha tallinja l-Politika tas-Sigurtà tal-Informazzjoni u l-objettivi mad-direzzjoni strateġika, tintegra r-rekwiżiti tal-ISMS fil-proċessi tan-negozju, tipprovdi r-riżorsi, tassenja r-responsabbiltajiet, u tiżgura r-rappurtar tal-prestazzjoni. Dan jallinja direttament ma’ NIS2 Article 20, fejn il-korpi ta’ ġestjoni japprovaw u jissorveljaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà.
Il-klawżoli 6.1.1 sa 6.1.3 u 6.2 jibdlu l-aspettattivi legali fi trattament tar-riskju. L-organizzazzjoni għandha tippjana azzjonijiet għar-riskji u l-opportunitajiet, topera proċess ripetibbli ta’ valutazzjoni tar-riskju tas-sigurtà tal-informazzjoni, tiddetermina s-sidien tar-riskju, tagħżel għażliet ta’ trattament, tqabbel il-kontrolli ma’ Annex A, toħloq Dikjarazzjoni ta’ Applikabbiltà, tifformula pjan ta’ trattament, tikseb approvazzjoni mingħand is-sid tar-riskju, u tistabbilixxi objettivi tas-sigurtà miżurabbli.
Hawnhekk NIS2 Article 21 isir maniġġabbli. M’għandekx bżonn programm ta’ għarfien NIS2 separat. Għandek bżonn narrattiva mmappjata tar-riskju u tal-kontrolli.
| Qasam tar-rekwiżit NIS2 | Mekkaniżmu ta’ evidenza ISO/IEC 27001:2022 | Evidenza prattika |
|---|---|---|
| Approvazzjoni u sorveljanza tal-maniġment | Klawżoli 5.1, 5.3, 9.3 | Minuti tal-bord, pakkett tar-rieżami tal-ġestjoni, assenjazzjonijiet tar-rwoli, approvazzjonijiet tal-baġit |
| Iġjene ċibernetika u taħriġ | Klawżola 7.2, Klawżola 7.3, kontrolli ta’ Annex A relatati man-nies u mat-teknoloġija | Pjan ta’ taħriġ, esportazzjonijiet tal-LMS, matriċi tar-rwoli, riżultati tal-phishing, rikonoxximenti tal-politiki |
| Analiżi tar-riskju u politika tas-sigurtà | Klawżoli 6.1.2, 6.1.3, 6.2 | Valutazzjoni tar-riskju, Pjan ta’ Trattament tar-Riskju, Dikjarazzjoni ta’ Applikabbiltà, objettivi tas-sigurtà |
| Evalwazzjoni tal-effettività | Klawżoli 9.1, 9.2, 10.2 | KPIs, riżultati tal-awditjar intern, azzjonijiet korrettivi, riżultati tal-ittestjar tal-kontrolli |
| Tħejjija għall-ġestjoni u r-rappurtar tal-inċidenti | Kontrolli ta’ Annex A dwar il-ġestjoni tal-inċidenti | Manwali operattivi tal-inċidenti, reġistri tal-eskalazzjoni, rapporti ta’ eżerċizzji tabletop, reġistri tal-preservazzjoni tal-evidenza |
| Dipendenza fuq il-katina tal-provvista u l-cloud | Kontrolli ta’ Annex A dwar il-fornituri u s-servizzi cloud | Reġistru tal-fornituri, diliġenza dovuta, kuntratti, pjanijiet ta’ ħruġ, rieżamijiet tas-servizzi |
| Aċċess, ġestjoni tal-assi u MFA | Kontrolli ta’ Annex A dwar l-aċċess, l-assi u l-identità | Inventarju tal-assi, rieżamijiet tal-aċċess, rapporti tal-MFA, evidenza ta’ aċċess privileġġjat |
Il-klawżoli 8.1 sa 8.3, 9.1 sa 9.3, u 10.1 sa 10.2 jikkompletaw iċ-ċiklu operattiv. Jeħtieġu kontroll operattiv ippjanat, rivalutazzjoni tar-riskju, implimentazzjoni tal-pjanijiet ta’ trattament, monitoraġġ u kejl, awditjar intern, rieżami tal-ġestjoni, titjib kontinwu, u azzjoni korrettiva. ISO/IEC 27001:2022 isir il-magna tal-evidenza għal NIS2 Article 21, mhux biss badge ta’ ċertifikazzjoni.
Ittraduċi l-iġjene ċibernetika f’ankri ta’ kontroll ISO
“L-iġjene ċibernetika” hija wiesgħa b’disinn. Għall-awdituri, għandha tinbidel f’kontrolli speċifiċi u testabbli. Clarysec normalment tibda l-evidenza tal-iġjene ċibernetika ta’ NIS2 Article 21 bi tliet ankri prattiċi ta’ kontroll minn ISO/IEC 27002:2022, interpretati permezz ta’ Zenith Controls: The Cross-Compliance Guide.
L-ewwel ankra hija l-kontroll 6.3 ta’ ISO/IEC 27002:2022, għarfien, edukazzjoni u taħriġ dwar is-sigurtà tal-informazzjoni. F’Zenith Controls, 6.3 jiġi ttrattat bħala kontroll preventiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà. Il-kapaċità operattiva tiegħu hija s-sigurtà tar-riżorsi umani, u l-kunċett tiegħu taċ-ċibersigurtà huwa l-protezzjoni. Dan iqiegħed l-għarfien bħala kontroll protettiv, mhux bħala eżerċizzju ta’ komunikazzjoni.
Zenith Controls juri wkoll kif 6.3 jiddependi fuq kontrolli oħra u jsaħħaħhom. Jorbot ma’ 5.2 rwoli u responsabbiltajiet tas-sigurtà tal-informazzjoni għaliex it-taħriġ għandu jirrifletti r-responsabbiltajiet assenjati. Jorbot ma’ 6.8 rappurtar ta’ avvenimenti tas-sigurtà tal-informazzjoni għaliex il-persunal ma jistax jirrapporta dak li ma jagħrafx. Jorbot ma’ 8.16 attivitajiet ta’ monitoraġġ għaliex l-analisti tas-SOC u l-persunal tal-operazzjonijiet jeħtieġu taħriġ biex jagħrfu anomaliji u jsegwu protokolli ta’ rispons. Jorbot ma’ 5.36 konformità mal-politiki, ir-regoli u l-istandards għas-sigurtà tal-informazzjoni għaliex il-politiki jaħdmu biss meta n-nies jifhmuhom.
Kif jgħid Zenith Controls għall-kontroll 6.3 ta’ ISO/IEC 27002:2022:
Il-konformità tiddependi fuq l-għarfien. 6.3 jiżgura li l-impjegati jkunu konxji tal-politiki tas-sigurtà u jifhmu r-responsabbiltà personali tagħhom li jaderixxu magħhom. Edukazzjoni u taħriġ regolari jnaqqsu r-riskju ta’ ksur mhux intenzjonat tal-politika minħabba nuqqas ta’ għarfien.
It-tieni ankra hija l-kontroll 5.10 ta’ ISO/IEC 27002:2022, użu aċċettabbli tal-informazzjoni u assi assoċjati oħra. L-iġjene ċibernetika tiddependi fuq li n-nies jifhmu x’jistgħu jagħmlu b’endpoints, drives fil-cloud, għodod SaaS, pjattaformi ta’ kollaborazzjoni, mezzi ta’ ħżin rimovibbli, data tal-produzzjoni, data tat-test, u għodod tal-IA. Zenith Controls jimmappja 5.10 bħala kontroll preventiv fil-ġestjoni tal-assi u l-protezzjoni tal-informazzjoni. Fil-prattika, l-evidenza ta’ użu aċċettabbli mhijiex biss politika ffirmata. Tinkludi prova li l-politika tkopri l-assi reali, li l-onboarding jinkludi rikonoxximent, li l-monitoraġġ jappoġġa l-infurzar, u li l-eċċezzjonijiet jiġu mmaniġġjati.
It-tielet ankra hija l-kontroll 5.36 ta’ ISO/IEC 27002:2022, konformità mal-politiki, ir-regoli u l-istandards għas-sigurtà tal-informazzjoni. Dan huwa l-pont tal-awditjar. Zenith Controls jimmappja 5.36 bħala kontroll preventiv ta’ governanza u assigurazzjoni. Jorbot ma’ 5.1 politiki għas-sigurtà tal-informazzjoni, 6.4 proċess dixxiplinari, 5.35 rieżami indipendenti tas-sigurtà tal-informazzjoni, 5.2 rwoli u responsabbiltajiet, 5.25 evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, 8.15 reġistrazzjoni, 8.16 attivitajiet ta’ monitoraġġ, u 5.33 protezzjoni tar-reġistri.
Għal NIS2 Article 21, dan huwa kruċjali. Ir-regolaturi u l-awdituri ma jistaqsux biss jekk teżistix politika. Jistaqsu jekk l-osservanza hijiex immonitorjata, jekk il-ksur jiġix identifikat, jekk l-evidenza hijiex protetta, jekk isseħħx azzjoni korrettiva, u jekk il-maniġment jarax ir-riżultati.
Ibni pakkett ta’ evidenza dwar l-iġjene ċibernetika u t-taħriġ taħt NIS2
Ikkunsidra fornitur SaaS ta’ daqs medju li qed jipprepara kemm għat-tħejjija għal NIS2 kif ukoll għal awditu ta’ sorveljanza ISO/IEC 27001:2022. L-organizzazzjoni għandha 310 impjegati, inklużi żviluppaturi, SREs, aġenti ta’ appoġġ, persunal tal-bejgħ, kuntratturi u eżekuttivi. Tipprovdi servizzi ta’ workflow f’ambjent cloud lill-klijenti tal-UE u tiddependi fuq fornitur cloud hyperscale, żewġ pjattaformi tal-identità, fornitur MDR esternalizzat, u diversi għodod ta’ appoġġ sottokuntrattati.
Il-maniġer tal-konformità għandu esportazzjonijiet tat-taħriġ mill-LMS, iżda dawn mhumiex immappjati ma’ NIS2 Article 21, kontrolli ISO, rwoli tan-negozju jew xenarji ta’ riskju. Sprint prattiku ta’ rimedju jipproduċi Pakkett ta’ Evidenza dwar l-Iġjene Ċibernetika u t-Taħriġ b’sitt komponenti.
| Komponent tal-evidenza | X’juri | Sid | Test tal-awditjar |
|---|---|---|---|
| Matriċi ta’ taħriġ ibbażat fuq ir-rwol | It-taħriġ huwa mqabbel mar-responsabbiltajiet u mal-espożizzjoni għar-riskju | Maniġer tal-ISMS u HR | Kampjunar ta’ rwoli u verifika li l-moduli meħtieġa ġew assenjati |
| Pjan annwali ta’ taħriġ | Il-kompetenza u l-għarfien huma ppjanati, mhux ad hoc | Maniġer tal-ISMS | Verifika tad-dati, is-suġġetti, l-udjenza, l-approvazzjoni u l-miri tat-tlestija |
| Esportazzjoni tat-tlestija tal-LMS | Il-persunal temm it-taħriġ assenjat | HR jew People Ops | Rikonċiljazzjoni tal-lista tal-impjegati mar-rapport tat-tlestija, dawk li daħlu u dawk li telqu |
| Rapport ta’ simulazzjoni ta’ phishing | L-effettività tal-għarfien hija mkejla | Operazzjonijiet tas-Sigurtà | Rieżami tar-riżultati tal-kampanja, dawk li jikklikkjaw ripetutament, u taħriġ ta’ rimedju |
| Reġistru tar-rikonoxximent tal-politika | Il-persunal aċċetta r-regoli u r-responsabbiltajiet | HR u Konformità | Konferma tar-rikonoxximent tal-politiki dwar is-sigurtà, l-użu aċċettabbli u r-rappurtar tal-inċidenti |
| Sommarju tar-rieżami tal-ġestjoni | It-tmexxija tissorvelja x-xejriet u l-azzjonijiet korrettivi | CISO u sponsor eżekuttiv | Verifika li l-minuti jinkludu metriċi, eċċezzjonijiet, riskji u deċiżjonijiet |
Il-prinċipju ewlieni huwa t-traċċabbiltà.
Ibda b’NIS2 Article 21(2)(g), prattiki bażiċi ta’ iġjene ċibernetika u taħriġ fiċ-ċibersigurtà. Orbtuh mal-klawżoli 7.2 u 7.3 ta’ ISO/IEC 27001:2022 għall-kompetenza u l-għarfien, mal-klawżoli 9.1 u 9.2 għall-monitoraġġ u l-awditjar, u mal-kontrolli ta’ Annex A inklużi l-għarfien, l-użu aċċettabbli, il-ġestjoni tal-vulnerabbiltajiet, il-ġestjoni tal-konfigurazzjoni, il-kopji ta’ riżerva, ir-reġistrazzjoni, il-monitoraġġ, il-kontrolli kriptografiċi, il-kontroll tal-aċċess u l-ġestjoni tal-inċidenti. Imbagħad orbot l-evidenza mar-Reġistru tar-Riskji.
| Grupp ta’ rwoli | Riskju tal-iġjene ċibernetika taħt NIS2 | Taħriġ meħtieġ | Evidenza |
|---|---|---|---|
| L-impjegati kollha | Phishing, passwords dgħajfa, rappurtar dgħajjef tal-inċidenti, immaniġġjar ħażin tad-data | Taħriġ bażiku dwar is-sigurtà, iġjene tal-passwords, MFA, protezzjoni tad-data, rappurtar tal-inċidenti | Tlestija tal-LMS, punteġġ tal-kwiżż, rikonoxximent tal-politika |
| Eżekuttivi | Aċċettazzjoni tar-riskju, responsabbiltà legali, deċiżjonijiet ta’ kriżi, sorveljanza tar-rappurtar | Dmirijiet ta’ governanza, responsabbiltajiet ta’ maniġment NIS2, eskalazzjoni tal-inċidenti, aptit għar-riskju | Attendenza għal workshop eżekuttiv, pakkett għall-bord, reġistru tad-deċiżjonijiet |
| Żviluppaturi | Vulnerabbiltajiet, kodiċi mhux sigur, espożizzjoni tas-sigrieti, data tat-test mhux sigura | Kodifikazzjoni sigura, ġestjoni tad-dipendenzi, żvelar tal-vulnerabbiltajiet, minimizzazzjoni tad-data | Reġistru tat-taħriġ, lista ta’ kontroll tal-SDLC sigur, kampjuni ta’ reviżjoni tal-kodiċi |
| SRE u operazzjonijiet tal-IT | Konfigurazzjoni ħażina, dewmien fl-applikazzjoni tal-patches, falliment tal-kopji ta’ riżerva, lakuni fir-reġistrazzjoni | Ġestjoni tal-patches, konfigurazzjoni sigura, restawr minn kopji ta’ riżerva, monitoraġġ, rispons għall-inċidenti | Rapport tal-patches, test tal-kopji ta’ riżerva, evidenza ta’ twissijiet SIEM, rapport ta’ tabletop |
| Appoġġ għall-klijenti | Inġinerija soċjali, żvelar mhux awtorizzat, ksur tal-privatezza | Verifika tal-identità, immaniġġjar tad-data, eskalazzjoni, rappurtar ta’ ksur | Rieżami tal-aċċess għas-CRM, reġistru tat-taħriġ, kampjun ta’ QA tal-appoġġ |
| Kuntratturi b’aċċess | Obbligi mhux ċari, aċċess mhux immaniġġjat, tnixxija ta’ data | Onboarding tas-sigurtà mqassar, użu aċċettabbli, rotta ta’ rappurtar | Rikonoxximent tal-kuntrattur, approvazzjoni tal-aċċess, evidenza ta’ offboarding |
Il-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni enterprise tappoġġa din l-istruttura. Il-klawżola 5.1.2.4 tinkludi b’mod espliċitu s-suġġetti ta’ taħriġ għall-eżekuttivi:
Eżekuttivi (eż., governanza, aċċettazzjoni tar-riskju, obbligi legali)
Dik il-linja hija importanti taħt NIS2 Article 20 għaliex it-taħriġ tal-maniġment mhuwiex fakultattiv. Jekk il-bord japprova miżuri ta’ ġestjoni tar-riskju iżda ma jistax jispjega l-aċċettazzjoni tar-riskju, il-limiti tal-inċidenti jew ir-rutini ta’ sorveljanza, il-katina tal-evidenza tinkiser.
Il-Politika tas-Sigurtà tal-Informazzjoni - SME ta’ Clarysec, klawżola 6.4.1, turi kif l-iġjene ċibernetika ssir imġiba ta’ kontroll ta’ kuljum:
Kontrolli tas-sigurtà obbligatorji għandhom jiġu applikati b’mod konsistenti, inklużi kopji ta’ riżerva regolari, aġġornamenti tal-antivirus, passwords b’saħħithom, u rimi sigur ta’ dokumenti sensittivi.
Din hija espressjoni konċiża għal SME dwar iġjene ċibernetika prattika. L-awditur xorta jkun irid evidenza, bħal rapporti ta’ xogħlijiet ta’ kopji ta’ riżerva, kopertura tal-EDR, konfigurazzjoni tal-passwords jew tal-MFA, u reġistri tar-rimi sigur, iżda l-politika tistabbilixxi l-imġiba mistennija.
Immappja NIS2 Article 21 ma’ evidenza tal-awditjar
L-awdituri jittestjaw l-operazzjoni tal-kontrolli, mhux slogans. Huma jsegwu l-linja tad-deheb mir-rekwiżit legali sal-kamp ta’ applikazzjoni tal-ISMS, il-valutazzjoni tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, il-politika, il-proċedura, l-evidenza u r-rieżami tal-ġestjoni.
| Qasam ta’ NIS2 Article 21 | Immappjar ISO/IEC 27001:2022 jew ISO/IEC 27002:2022 | Referenza Clarysec | Evidenza primarja tal-awditjar |
|---|---|---|---|
| Taħriġ fiċ-ċibersigurtà | Klawżola 7.2, Klawżola 7.3, A.6.3 għarfien, edukazzjoni u taħriġ dwar is-sigurtà tal-informazzjoni | Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni | Politika tat-taħriġ, pjan annwali, reġistri tal-LMS, riżultati tal-phishing, Lista ta’ Kontroll tal-Onboarding, minuti tat-taħriġ tal-bord |
| Imġiba aċċettabbli ta’ iġjene ċibernetika | A.5.10 Użu aċċettabbli tal-informazzjoni u assi assoċjati oħra | Politika tas-Sigurtà tal-Informazzjoni - SME | Rikonoxximent ta’ użu aċċettabbli, reġistri tal-onboarding, reġistri tal-eċċezzjonijiet, evidenza ta’ monitoraġġ |
| Iġjene tal-vulnerabbiltajiet u l-patches | A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi | Zenith Blueprint Pass 19 | Skannjar ta’ vulnerabbiltajiet, rapporti tal-patches, tickets ta’ rimedju, reġistri ta’ aċċettazzjoni tar-riskju |
| Konfigurazzjoni sigura | A.8.9 Ġestjoni tal-konfigurazzjoni | Zenith Blueprint Pass 19 | Linji bażi siguri, rieżamijiet tal-konfigurazzjoni, approvazzjonijiet tat-tibdil, rapporti tad-devjazzjoni |
| Reżiljenza u rkupru | A.8.13 Kopji ta’ riżerva tal-informazzjoni | Politika tas-Sigurtà tal-Informazzjoni - SME | Reġistri tal-kopji ta’ riżerva, testijiet ta’ restawr, rieżamijiet ta’ fallimenti tal-kopji ta’ riżerva, evidenza ta’ rkupru |
| Sejbien u rispons | A.8.15 Reġistrazzjoni, A.8.16 attivitajiet ta’ monitoraġġ, A.6.8 rappurtar ta’ avvenimenti tas-sigurtà tal-informazzjoni | Zenith Controls | Twissijiet SIEM, proċeduri ta’ monitoraġġ, taħriġ dwar ir-rappurtar tal-inċidenti, outputs ta’ tabletop |
| Protezzjoni kriptografika | A.8.24 Użu tal-kontrolli kriptografiċi | ISO/IEC 27001:2022 Annex A | Standards tal-iċċifrar, evidenza tal-ġestjoni taċ-ċwievet, konfigurazzjoni TLS, rapporti tal-iċċifrar tal-ħażna |
| Integrità tal-evidenza | A.5.33 Protezzjoni tar-reġistri | Zenith Controls | Folders tal-awditjar ikkontrollati, timestamps tal-esportazzjoni, regoli taż-żamma, reġistri tal-aċċess |
Regolatur jista’ ma jużax terminoloġija ISO, iżda t-triq tal-evidenza tibqa’ l-istess. Uri li r-rekwiżit ġie identifikat, ivvalutat skont ir-riskju, ittrattat, implimentat, immonitorjat, irrappurtat lill-maniġment u mtejjeb.
Uża l-Zenith Blueprint biex timxi mill-pjan għall-evidenza
Il-Zenith Blueprint: An Auditor’s 30-Step Roadmap jagħti lit-timijiet rotta prattika mill-intenzjoni għall-evidenza. Fil-fażi ISMS Foundation & Leadership, Pass 5, Komunikazzjoni, Għarfien u Kompetenza, il-Blueprint jordna lill-organizzazzjonijiet jidentifikaw il-kompetenzi meħtieġa, jevalwaw il-kompetenzi attwali, jipprovdu taħriġ biex jimlew il-lakuni, iżommu reġistri tal-kompetenza, u jittrattaw il-kompetenza bħala proċess kontinwu.
L-azzjoni tal-Blueprint hija intenzjonalment operattiva:
Wettaq analiżi rapida tal-ħtiġijiet tat-taħriġ. Elenka r-rwoli ewlenin tal-ISMS tiegħek (mill-Pass 4) u għal kull wieħed, niżżel kwalunkwe taħriġ jew ċertifikazzjoni magħrufa li għandhom, u x’taħriġ addizzjonali jista’ jkun ta’ benefiċċju. Elenka wkoll is-suġġetti ġenerali ta’ għarfien dwar is-sigurtà meħtieġa għall-impjegati kollha. B’dan, abbozza Pjan ta’ Taħriġ sempliċi għas-sena li jmiss – eż., “Q1: għarfien dwar is-sigurtà għall-persunal kollu; Q2: taħriġ avvanzat dwar ir-rispons għall-inċidenti għall-IT; Q3: taħriġ ta’ awditur intern ISO 27001 għal żewġ membri tat-tim; …”.
Fil-fażi Controls in Action, Pass 15, People Controls I, il-Zenith Blueprint jirrakkomanda taħriġ annwali obbligatorju għall-impjegati kollha, moduli speċifiċi għar-rwol, onboarding tas-sigurtà għal impjegati ġodda fl-ewwel ġimgħa, kampanji ta’ phishing simulati, newsletters, briefings tat-tim, evidenza ta’ parteċipazzjoni, bullettini tas-sigurtà mmirati wara theddid emerġenti, u taħriġ għal kuntratturi jew partijiet terzi b’aċċess.
Pass 16, People Controls II, iwissi li l-awdituri se jittestjaw l-implimentazzjoni, mhux biss id-dokumentazzjoni. Għax-xogħol remot, l-awdituri jistgħu jitolbu l-Politika dwar ix-Xogħol Remot, evidenza tal-VPN jew iċċifrar tal-endpoint, implimentazzjoni tal-MDM, restrizzjonijiet tal-BYOD, u reġistri tat-taħriġ li juru prekawzjonijiet għax-xogħol remot. Jekk ix-xogħol ibridu huwa parti mill-mudell operattiv, l-evidenza tat-taħriġ NIS2 għandha tinkludi l-użu sigur tal-Wi‑Fi, l-issakkar tal-apparat, ħażna approvata, MFA u rappurtar ta’ attività suspettuża minn ambjenti domestiċi.
Pass 19, Kontrolli Teknoloġiċi I, jorbot l-iġjene ċibernetika mas-saff tal-kontrolli tekniċi. Il-Zenith Blueprint jirrakkomanda rieżami tar-rapporti tal-patches, skannjar ta’ vulnerabbiltajiet, linji bażi siguri, kopertura tal-EDR, reġistri tal-malware, twissijiet DLP, restawr minn kopji ta’ riżerva, evidenza ta’ ridondanza, titjib fir-reġistrazzjoni, u sinkronizzazzjoni tal-ħin. Article 21(2)(g) ma jistax jiġi evalwat waħdu. Forza tax-xogħol imħarrġa xorta teħtieġ endpoints bil-patches applikati, reġistri mmonitorjati, kopji ta’ riżerva ttestjati, u konfigurazzjonijiet siguri.
Agħmel il-pjan tat-taħriġ ibbażat fuq ir-riskju b’ISO/IEC 27005:2022
Dgħufija komuni fl-awditjar hija pjan ta’ taħriġ ġeneriku li jidher l-istess għall-iżviluppaturi, il-finanzi, l-appoġġ, l-eżekuttivi u l-kuntratturi. ISO/IEC 27005:2022 jgħin biex tiġi evitata dik id-dgħufija billi jagħmel it-taħriġ parti mit-trattament tar-riskju.
Il-klawżola 6.2 tirrakkomanda l-identifikazzjoni tar-rekwiżiti bażiċi tal-partijiet interessati rilevanti u l-istatus ta’ konformità, inklużi ISO/IEC 27001:2022 Annex A, standards oħra tal-ISMS, rekwiżiti speċifiċi għas-settur, regolamenti nazzjonali u internazzjonali, regoli interni tas-sigurtà, kontrolli tas-sigurtà kuntrattwali, u kontrolli diġà implimentati permezz ta’ trattament tar-riskju preċedenti. Dan jappoġġa reġistru wieħed tar-rekwiżiti minflok spreadsheets separati għal NIS2, ISO, DORA, GDPR, klijenti u assigurazzjoni.
Il-klawżoli 6.4.1 sa 6.4.3 jispjegaw li l-kriterji ta’ aċċettazzjoni u evalwazzjoni tar-riskju għandhom iqisu aspetti legali u regolatorji, attivitajiet operattivi, relazzjonijiet mal-fornituri, restrizzjonijiet teknoloġiċi u finanzjarji, privatezza, dannu reputazzjonali, ksur kuntrattwali, ksur tal-livell tas-servizz, u impatti fuq partijiet terzi. Inċident ta’ phishing li jaffettwa sistema interna ta’ newsletter huwa differenti minn kompromess tal-kredenzjali li jaffettwa servizz ta’ sigurtà ġestit, pjattaforma ta’ appoġġ għall-klijenti, integrazzjoni tal-pagamenti jew operazzjoni DNS.
Il-klawżoli 7.1 sa 7.2.2 jeħtieġu valutazzjoni tar-riskju konsistenti u riproduċibbli, inklużi riskji għall-kunfidenzjalità, l-integrità u d-disponibbiltà, u sidien tar-riskju nominati. Il-klawżoli 8.2 sa 8.6 imbagħad jiggwidaw l-għażla tat-trattament, id-determinazzjoni tal-kontrolli, it-tqabbil ma’ Annex A, id-dokumentazzjoni tad-Dikjarazzjoni ta’ Applikabbiltà, u d-dettall tal-pjan ta’ trattament.
It-taħriġ huwa trattament wieħed, iżda mhux l-uniku wieħed. Jekk simulazzjonijiet ripetuti ta’ phishing juru li l-utenti tal-finanzi huma vulnerabbli għal frodi fuq fatturi, il-pjan ta’ trattament jista’ jinkludi taħriġ ta’ aġġornament, fluss tax-xogħol ta’ approvazzjoni tal-pagamenti aktar b’saħħtu, aċċess kundizzjonali, monitoraġġ tar-regoli tal-mailbox, u eżerċizzji ta’ xenarji ta’ frodi għall-eżekuttivi.
Il-klawżoli 9.1, 9.2, 10.4.2, 10.5.1 u 10.5.2 jenfasizzaw rivalutazzjoni ppjanata, metodi dokumentati, monitoraġġ tal-effettività, u aġġornamenti meta jkun hemm vulnerabbiltajiet ġodda, assi, użu ta’ teknoloġija, liġijiet, inċidenti jew bidliet fl-aptit għar-riskju. Dan juri li l-organizzazzjoni ma tiffriżax il-pjan tat-taħriġ tagħha darba fis-sena.
Uża mill-ġdid l-istess evidenza għal NIS2, DORA, GDPR, NIST u COBIT
L-aktar pakkett b’saħħtu ta’ evidenza NIS2 għandu jappoġġa bosta konverżazzjonijiet ta’ assigurazzjoni.
NIS2 Article 4 jirrikonoxxi li atti legali tal-Unjoni speċifiċi għas-settur jistgħu jissostitwixxu obbligi korrispondenti ta’ ġestjoni tar-riskju u rappurtar taħt NIS2 fejn ikunu mill-inqas ekwivalenti fl-effett. Recital 28 jidentifika DORA bħala r-reġim speċifiku għas-settur għall-entitajiet finanzjarji fil-kamp ta’ applikazzjoni. Għal entitajiet finanzjarji koperti, ir-regoli ta’ DORA dwar il-ġestjoni tar-riskju tal-ICT, il-ġestjoni tal-inċidenti, l-ittestjar tar-reżiljenza, il-qsim tal-informazzjoni, u r-riskju tal-ICT minn partijiet terzi japplikaw minflok id-dispożizzjonijiet korrispondenti ta’ NIS2. NIS2 jibqa’ rilevanti ħafna għal entitajiet barra DORA u għal fornituri ta’ ICT minn partijiet terzi bħal fornituri cloud, MSPs u MSSPs.
DORA jsaħħaħ l-istess loġika ta’ sistema ta’ ġestjoni. Articles 4 sa 6 jeħtieġu ġestjoni proporzjonata tar-riskju tal-ICT, responsabbiltà tal-korp ta’ ġestjoni, rwoli tal-ICT ċari, strateġija ta’ reżiljenza operattiva diġitali, pjanijiet ta’ awditjar tal-ICT, baġits, u riżorsi ta’ għarfien jew taħriġ. Articles 8 sa 13 jeħtieġu identifikazzjoni tal-assi u d-dipendenzi, protezzjoni u prevenzjoni, kontrolli tal-aċċess, awtentikazzjoni b’saħħitha, kopji ta’ riżerva, kontinwità, rispons u rkupru, tagħlim wara inċident, rappurtar tal-ICT lill-maniġment għoli, u taħriġ obbligatorju dwar għarfien tas-sigurtà tal-ICT u reżiljenza operattiva diġitali. Articles 17 sa 23 jeħtieġu ġestjoni strutturata tal-inċidenti, klassifikazzjoni, eskalazzjoni, u komunikazzjonijiet mal-klijenti. Articles 24 sa 30 jgħaqqdu l-ittestjar mal-governanza tal-fornituri, id-diliġenza dovuta, il-kuntratti, id-drittijiet ta’ awditjar u l-istrateġiji ta’ ħruġ.
GDPR iżid is-saff ta’ responsabbiltà għall-privatezza. Article 5 jeħtieġ integrità u kunfidenzjalità permezz ta’ miżuri tekniċi u organizzattivi xierqa, u Article 5(2) jeħtieġ li l-kontrolluri juru l-konformità. Article 6 jeħtieġ bażi legali għall-ipproċessar, filwaqt li Articles 9 u 10 jimponu salvagwardji aktar stretti għal kategoriji speċjali u data relatata ma’ reati kriminali. Għal fornitur SaaS, l-evidenza tat-taħriġ għandha tinkludi privatezza, minimizzazzjoni tad-data, żvelar sigur, eskalazzjoni ta’ ksur, u mmaniġġjar speċifiku għar-rwol tad-data tal-klijenti.
Lenti ta’ awditjar fuq stil NIST u COBIT 2019 spiss tidher fl-assigurazzjoni tal-klijenti, l-awditjar intern u r-rappurtar lill-bord. Valutatur fuq stil NIST normalment jistaqsi jekk l-għarfien u t-taħriġ humiex ibbażati fuq ir-riskju, ibbażati fuq ir-rwol, imkejla, u marbuta mar-rispons għall-inċidenti, l-identità, il-ġestjoni tal-assi u l-monitoraġġ kontinwu. Awditur fuq stil COBIT 2019 jew ISACA jiffoka fuq governanza, responsabbiltà, metriċi tal-prestazzjoni, sorveljanza tal-maniġment, sjieda tal-proċess, u allinjament mal-objettivi tal-intrapriża.
| Lenti tal-qafas | Dak li jimpurtah minnu l-awditur | Evidenza li għandha titħejja |
|---|---|---|
| NIS2 Article 21 | Miżuri proporzjonati għar-riskju ċibernetiku, iġjene ċibernetika, taħriġ, sorveljanza tal-maniġment | Immappjar Article 21, approvazzjoni tal-bord, pjan ta’ taħriġ, KPIs tal-iġjene ċibernetika, evidenza ta’ tħejjija għall-inċidenti |
| ISO/IEC 27001:2022 | Kamp ta’ applikazzjoni tal-ISMS, trattament tar-riskju, kompetenza, għarfien, monitoraġġ, awditjar intern, titjib | Kamp ta’ applikazzjoni, Reġistru tar-Riskji, SoA, matriċi tal-kompetenza, reġistri tat-taħriġ, rapport tal-awditjar, azzjonijiet korrettivi |
| DORA | Ċiklu tal-ħajja tar-riskju tal-ICT, taħriġ fir-reżiljenza, ittestjar, klassifikazzjoni tal-inċidenti, riskju tal-ICT minn partijiet terzi | Qafas tar-riskju tal-ICT, taħriġ fir-reżiljenza, riżultati tal-ittestjar, proċedura tal-inċidenti, reġistru tal-fornituri |
| GDPR | Responsabbiltà, protezzjoni tad-data, għarfien dwar ksur tal-privatezza, kunfidenzjalità, minimizzazzjoni | Taħriġ dwar il-privatezza, mappa tar-rwoli tal-ipproċessar, evidenza ta’ eskalazzjoni tal-ksur, proċeduri tal-immaniġġjar tad-data |
| Rieżami fuq stil NIST | Għarfien ibbażat fuq ir-rwol, operazzjoni tal-kontrolli li tista’ titkejjel, monitoraġġ, rispons | Matriċi tar-rwoli, metriċi tas-simulazzjonijiet, evidenza tal-aċċess, evidenza tar-reġistrazzjoni, outputs ta’ tabletop |
| Rieżami COBIT 2019 jew ISACA | Governanza, sjieda tal-proċess, prestazzjoni, assigurazzjoni tal-kontrolli, rappurtar tal-maniġment | RACI, dashboard tal-KPIs, minuti tar-rieżami tal-ġestjoni, programm tal-awditjar intern, traċċar tar-rimedju |
Il-benefiċċju prattiku huwa sempliċi: pakkett wieħed ta’ evidenza, diversi narrattivi ta’ awditjar.
Kif l-awdituri jittestjaw l-istess kontroll
Awditur ISO/IEC 27001:2022 jibda mill-ISMS. Jistaqsi jekk ġewx determinati r-rekwiżiti tal-kompetenza u l-għarfien, jekk il-persunal jifhimx ir-responsabbiltajiet tiegħu, jekk ir-reġistri jinżammux, jekk l-awditjar intern jittestjax il-proċess, u jekk ir-rieżami tal-ġestjoni jqisx il-prestazzjoni u t-titjib. Jista’ jieħu kampjun ta’ impjegati u jistaqsihom kif jirrapportaw inċident, kif tintuża l-MFA, x’inhuma r-regoli ta’ użu aċċettabbli, jew x’għandhom jagħmlu wara li jirċievu email suspettuża.
Rieżami superviżorju NIS2 ikun aktar iffukat fuq ir-riżultat u r-riskju għas-servizzi. Ir-rieżaminatur jista’ jistaqsi kif l-iġjene ċibernetika tnaqqas ir-riskju għall-forniment tas-servizz, kif il-maniġment approva l-miżuri, kif it-taħriġ huwa mfassal għas-servizzi essenzjali, kif il-persunal ta’ partijiet terzi huwa kopert, kif tiġi evalwata l-effettività, u kif l-organizzazzjoni tikkomunika theddid ċibernetiku jew inċidenti sinifikanti taħt Article 23. Peress li Article 23 jinkludi twissija bikrija fi żmien 24 siegħa u notifika ta’ inċident fi żmien 72 siegħa għal inċidenti sinifikanti, it-taħriġ għandu jinkludi r-rikonoxximent u l-ħeffa tal-eskalazzjoni.
Awditur DORA għal entità finanzjarja jgħaqqad l-għarfien mar-reżiljenza operattiva diġitali. Jista’ jistaqsi jekk l-għarfien dwar is-sigurtà tal-ICT u t-taħriġ fir-reżiljenza humiex obbligatorji, jekk ir-rappurtar għoli tal-ICT jasalx għand il-korp ta’ ġestjoni, jekk il-kriterji tal-klassifikazzjoni tal-inċidenti humiex mifhuma, jekk il-komunikazzjonijiet ta’ kriżi ġewx eżerċitati, u jekk il-fornituri ta’ partijiet terzi jipparteċipawx fit-taħriġ fejn dan ikun rilevanti kuntrattwalment.
Awditur GDPR jew valutatur tal-privatezza jiffoka fuq jekk il-persunal jifhimx id-data personali, ir-rwoli tal-ipproċessar, il-kunfidenzjalità, l-identifikazzjoni ta’ ksur, l-eskalazzjoni ta’ ksur, il-minimizzazzjoni tad-data u ż-żvelar sigur. Jistenna li t-taħriġ ivarja għall-appoġġ, HR, l-iżviluppaturi u l-amministraturi għaliex dawk ir-rwoli joħolqu riskji differenti għall-privatezza.
Awditur intern COBIT 2019 jew ISACA jistaqsi min għandu l-proċess, liema objettivi jappoġġa, kif titkejjel il-prestazzjoni, liema eċċezzjonijiet jeżistu, jekk l-azzjonijiet korrettivi humiex ittraċċati, u jekk il-maniġment jirċevix rappurtar sinifikanti minflok vanity metrics.
Sejbiet komuni dwar it-tħejjija tat-taħriġ taħt NIS2
L-aktar sejba komuni hija kopertura mhux kompluta tal-popolazzjoni. Ir-rapport tal-LMS juri tlestija ta’ 94%, iżda s-6% nieqsa tinkludi amministraturi privileġġjati, kuntratturi jew impjegati ġodda. L-awdituri ma jaċċettawx perċentwal mingħajr ma jifhmu min hu nieqes u għaliex.
It-tieni sejba hija nuqqas ta’ sensittività għar-rwol. Kulħadd jirċievi l-istess modulu annwali, iżda l-iżviluppaturi mhumiex imħarrġa fil-kodifikazzjoni sigura, l-aġenti ta’ appoġġ mhumiex imħarrġa fil-verifika tal-identità, u l-eżekuttivi mhumiex imħarrġa fid-dmirijiet ta’ governanza jew id-deċiżjonijiet ta’ kriżi. NIS2 Article 20 u Article 21 jagħmlu dan diffiċli biex jiġi difiż.
It-tielet sejba hija evidenza dgħajfa tal-effettività. It-tlestija mhijiex l-istess bħal fehim jew bidla fl-imġiba. L-awdituri dejjem aktar jistennew punteġġi ta’ kwiżż, xejriet tal-phishing, xejriet tar-rappurtar tal-inċidenti, lessons learned minn tabletop, tnaqqis fil-fallimenti ripetuti, u azzjonijiet korrettivi.
Ir-raba’ sejba hija iġjene teknika maqtugħa mill-kontrolli. It-taħriġ jgħid “irrapporta attività suspettuża,” iżda m’hemmx kanal ta’ rappurtar ittestjat. It-taħriġ jgħid “uża MFA,” iżda kontijiet ta’ servizz jevitaw l-MFA. It-taħriġ jgħid “ipproteġi d-data,” iżda data tal-produzzjoni tidher f’ambjenti tat-test. Article 21 jistenna sistema ta’ kontroll, mhux slogans.
Il-ħames sejba hija integrità fqira tar-reġistri. L-evidenza tinħażen fi spreadsheet editabbli mingħajr sid, timestamp tal-esportazzjoni, kontroll tal-aċċess jew rikonċiljazzjoni mar-reġistri tal-HR. Ir-relazzjonijiet tal-kontrolli f’ISO/IEC 27002:2022 fi Zenith Controls jerġgħu jindikaw il-protezzjoni tar-reġistri għal raġuni. L-evidenza għandha tkun affidabbli.
Sprint ta’ rimedju ta’ 10 ijiem għal evidenza lesta għall-awditjar
Jekk l-organizzazzjoni tiegħek tinsab taħt pressjoni, ibda bi sprint iffukat.
| Jum | Azzjoni | Output |
|---|---|---|
| Jum 1 | Ikkonferma l-applikabbiltà ta’ NIS2 u l-kamp ta’ applikazzjoni tas-servizz | Deċiżjoni dwar entità essenzjali jew importanti, servizzi fil-kamp ta’ applikazzjoni, funzjonijiet ta’ appoġġ |
| Jum 2 | Ibni r-reġistru tar-rekwiżiti | NIS2 Articles 20, 21, 23, klawżoli ISO, kontrolli ta’ Annex A, GDPR, DORA, kuntratti, rekwiżiti tal-assigurazzjoni |
| Jum 3 | Oħloq il-matriċi ta’ taħriġ ibbażat fuq ir-rwol | Taħriġ immappjat ma’ familji ta’ xogħol, aċċess privileġġjat, żviluppaturi, appoġġ, kuntratturi, eżekuttivi |
| Jum 4 | Immappja t-taħriġ ma’ xenarji ta’ riskju | Phishing, kompromess tal-kredenzjali, tnixxija ta’ data, ransomware, konfigurazzjoni ħażina, kompromess tal-fornitur, ksur tal-privatezza |
| Jum 5 | Iġbor l-evidenza | Esportazzjonijiet tal-LMS, rikonoxximenti, rapporti tal-phishing, reġistri tal-onboarding, reġistri tal-kuntratturi, attendenza tal-eżekuttivi |
| Jum 6 | Irrikonċilja l-evidenza | Popolazzjoni tat-taħriġ iċċekkjata mar-reġistri tal-HR, gruppi tal-identità, kontijiet privileġġjati, listi tal-kuntratturi |
| Jum 7 | Ittestja l-fehim tal-impjegati | Noti tal-intervisti li juru li l-persunal jaf ir-rappurtar tal-inċidenti, l-aspettattivi tal-MFA, l-immaniġġjar ta’ email suspettuża, ir-regoli tad-data |
| Jum 8 | Irrevedi l-kontrolli tekniċi tal-iġjene | MFA, kopji ta’ riżerva, EDR, patching, skannjar tal-vulnerabbiltajiet, reġistrazzjoni, monitoraġġ, evidenza ta’ konfigurazzjoni sigura |
| Jum 9 | Ipproduċi l-pakkett tar-rieżami tal-ġestjoni | Tlestija, eċċezzjonijiet, xejriet tal-phishing, azzjonijiet miftuħa, rwoli b’riskju għoli, inċidenti, ħtiġijiet tal-baġit |
| Jum 10 | Aġġorna l-Pjan ta’ Trattament tar-Riskju u s-SoA | Riskju residwu, sidien, skadenzi, miżuri tal-effettività, aġġornamenti tad-Dikjarazzjoni ta’ Applikabbiltà |
Dak is-sprint jagħtik linja bażi ta’ evidenza difensibbli. Ma jissostitwixxix l-operazzjoni kontinwa tal-ISMS, iżda joħloq l-istruttura li r-regolaturi u l-awdituri jistennew.
Kif jidher programm tajjeb
Programm matur ta’ iġjene ċibernetika u taħriġ taħt NIS2 Article 21 għandu ħames karatteristiċi.
L-ewwel, ikun viżibbli għall-bord. Il-maniġment japprova l-approċċ, jara metriċi sinifikanti, jifhem ir-riskju residwu, u jiffinanzja t-titjib.
It-tieni, ikun ibbażat fuq ir-riskju. It-taħriġ ivarja skont ir-rwol, il-kritiċità tas-servizz, il-livell ta’ aċċess, l-espożizzjoni tad-data, u r-responsabbiltà għall-inċidenti.
It-tielet, ikun immexxi mill-evidenza. Ir-reġistri tat-tlestija, ir-rikonoxximenti, is-simulazzjonijiet, l-eżerċizzji tabletop, ir-rapporti ta’ iġjene teknika, u l-azzjonijiet korrettivi jkunu kompluti, rikonċiljati u protetti.
Ir-raba’, ikun konxju tal-konformità trasversali. L-istess evidenza tappoġġa NIS2, ISO/IEC 27001:2022, DORA, GDPR, assigurazzjoni fuq stil NIST, u rappurtar ta’ governanza COBIT 2019.
Il-ħames, jitjieb. Inċidenti, sejbiet tal-awditjar, bidliet legali, bidliet fil-fornituri, teknoloġiji ġodda, u theddid emerġenti jaġġornaw il-pjan tat-taħriġ.
Dak il-punt finali huwa d-differenza bejn teatru tal-konformità u reżiljenza operattiva.
Passi li jmiss ma’ Clarysec
Jekk it-tim tat-tmexxija tiegħek qed jistaqsi, “Nistgħu nuru l-iġjene ċibernetika u t-taħriġ fiċ-ċibersigurtà taħt NIS2 Article 21 għada?”, Clarysec tista’ tgħinek timxi minn evidenza mxerrda għal pakkett ta’ evidenza ISMS lest għall-awditjar.
Ibda bil-Zenith Blueprint biex tistruttura l-kompetenza, l-għarfien, il-kontrolli tar-riżorsi umani, il-prattiki tax-xogħol remot, il-ġestjoni tal-vulnerabbiltajiet, il-kopji ta’ riżerva, ir-reġistrazzjoni, il-monitoraġġ u azzjonijiet ta’ iġjene teknika tul il-pjan direzzjonali ta’ 30 pass.
Uża Zenith Controls biex tikkorrelata l-għarfien, l-użu aċċettabbli, il-konformità, il-monitoraġġ, ir-reġistri u l-aspettattivi ta’ assigurazzjoni ta’ ISO/IEC 27002:2022 tul konverżazzjonijiet ta’ awditjar dwar NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST u COBIT 2019.
Imbagħad poġġi r-rekwiżiti fil-prattika permezz tal-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni, il-Politika dwar l-Għarfien u t-Taħriġ fis-Sigurtà tal-Informazzjoni - SME, u l-Politika tas-Sigurtà tal-Informazzjoni - SME ta’ Clarysec.
L-azzjoni immedjata tiegħek hija sempliċi: ibni mappa ta’ paġna waħda tal-evidenza tat-taħriġ għal NIS2 Article 21 din il-ġimgħa. Elenka r-rwoli fil-kamp ta’ applikazzjoni, it-taħriġ assenjat, l-evidenza tat-tlestija, ir-rikonoxximenti tal-politiki, il-metriċi tal-phishing, l-evidenza teknika tal-iġjene ċibernetika, id-data tar-rieżami tal-ġestjoni, u l-azzjonijiet korrettivi. Jekk xi ċellola tkun vojta, tkun sibt il-kompitu ta’ rimedju għall-awditjar li jmiss.
Għal triq aktar mgħaġġla, niżżel il-mudelli tal-politiki ta’ Clarysec, uża l-pjan direzzjonali ta’ Zenith Blueprint, u skeda evalwazzjoni tat-tħejjija tal-evidenza NIS2 biex tibdel ir-reġistri attwali tat-taħriġ tiegħek, il-kontrolli tal-iġjene ċibernetika, u l-ISMS ISO/IEC 27001:2022 tiegħek f’fajl wieħed ta’ awditjar difensibbli.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
