Migrazzjoni tal-kriptografija post-kwantistika ma’ ISO 27001
Il-ħoss baxx tal-proġekter huwa l-uniku ħoss fil-boardroom. Sarah, is-CISO, għadha kif temmet l-aġġornament trimestrali tar-riskju meta l-Kap Eżekuttiv jerfa’ stampa minn artiklu tal-aħbarijiet finanzjarji. It-titlu huwa dirett: “The Quantum Countdown: Is Your Data Already Obsolete?”
“Sarah,” jgħid, b’tħassib sinċier aktar milli b’akkuża, “nefqu miljuni fuq l-iċċifrar. Aħna konformi. Aħna siguri. Dan l-artiklu jgħid li kompjuter kwantistiku b’saħħtu biżżejjed jista’ jikser kollox. Aħna esposti? Xi ngħidu għad-data li qed inċifraw u naħżnu bħalissa? Hija bomba tal-ħin?”
Din hija l-konverżazzjoni li issa qed timxi mill-konferenzi tas-sigurtà għall-kumitati eżekuttivi. Il-kwistjoni m’għadhiex jekk il-komputazzjoni kwantistika hijiex interessanti għar-riċerkaturi. Il-kwistjoni hija jekk l-għażliet kriptografiċi tal-lum jistgħux jipproteġu l-obbligi tan-negozju ta’ għada.
Għal ħafna organizzazzjonijiet, it-tweġiba onesta mhijiex komda. L-iċċifrar jinsab kullimkien: gateways TLS, VPNs, portali tal-klijenti, tokens tal-identità, backups tad-databases, applikazzjonijiet mobbli, pjattaformi tal-ħlas, S/MIME, SSH, integrazzjonijiet API, servizzi SaaS, hardware security modules, servizzi ta’ ġestjoni taċ-ċwievet fil-cloud, iffirmar tal-firmware, iffirmar tal-kodiċi, u kuntratti diġitali.
Din hija l-problema. Il-kriptografija tinsab kullimkien, iżda s-sjieda spiss ma tkun imkien.
Il-migrazzjoni tal-kriptografija post-kwantistika mhijiex biss dwar kompjuter kwantistiku futur rilevanti kriptografikament. Hija wkoll dwar ir-riskju tal-lum ta’ “harvest now, decrypt later”, fejn avversarji jaqbdu data ċċifrata llum u jistennew sakemm kapaċitajiet futuri jagħmlu d-deċifrar prattiku. Jekk l-organizzazzjoni tiegħek taħżen data personali, rekords tas-saħħa, data finanzjarja regolata, sigrieti kummerċjali, komunikazzjonijiet legali, data tal-infrastruttura nazzjonali, firmware tal-prodotti, jew proprjetà intellettwali b’ħajja twila, ir-riskju diġà huwa riskju taċ-ċiklu tal-ħajja.
Pjan ta’ migrazzjoni tal-kriptografija lest għall-era kwantistika mhuwiex proġett ta’ paniku. Huwa programm strutturat ta’ governanza, inventarju, fornituri, arkitettura, ittestjar, u awditjar. Il-mistoqsija prattika għas-CISOs hija sempliċi:
Kif nibnu pjan ta’ migrazzjoni post-kwantistika li jkun kredibbli għall-eżekuttivi, użabbli mill-inġiniera, u difensibbli quddiem l-awdituri?
It-tweġiba hija li x-xogħol jiġi ankrat f’ISO/IEC 27001:2022, il-kontrolli jiġu interpretati permezz ta’ ISO/IEC 27002:2022, l-istandards tal-kriptografija post-kwantistika ta’ NIST jintużaw bħala l-kumpass tekniku, u jinħoloq mudell wieħed ta’ evidenza li jappoġġa l-obbligi ta’ ISO 27001, NIST, COBIT 2019, GDPR, DORA, u NIS2.
Għaliex il-kriptografija post-kwantistika għandha tkun parti mill-ISMS
Żball komuni huwa li l-migrazzjoni post-kwantistika tiġi assenjata biss lill-inġiniera kriptografiċi. L-inġiniera huma essenzjali, iżda ma jistgħux isolvu l-problema tal-governanza waħedhom.
Il-migrazzjoni post-kwantistika tmiss il-ġestjoni tal-assi, il-klassifikazzjoni tad-data, il-ġestjoni tal-fornituri, l-arkitettura sigura, il-ġestjoni taċ-ċwievet, l-iżvilupp tal-applikazzjonijiet, is-sigurtà tal-cloud, ir-rispons għall-inċidenti, il-kontinwità tan-negozju, ir-riskju legali, ir-responsabbiltà regolatorja, u l-evidenza tal-awditjar. Dawn huma suġġetti tal-ISMS.
ISO/IEC 27001:2022 jipprovdi l-kontenitur tal-governanza. Jeħtieġ li l-organizzazzjoni tifhem il-kuntest, il-partijiet interessati, ir-riskju, l-objettivi, ir-responsabbiltajiet, il-kompetenza, l-informazzjoni dokumentata, l-ippjanar u l-kontroll operattiv, l-evalwazzjoni tal-prestazzjoni, l-awditjar intern, ir-rieżami tal-ġestjoni, u t-titjib kontinwu. ISO/IEC 27002:2022 imbagħad jipprovdi l-interpretazzjoni tal-kontrolli, speċjalment madwar 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities, u 5.30 ICT readiness for business continuity.
F’Clarysec, għalhekk it-tħejjija post-kwantistika titqies bħala trasformazzjoni mmexxija mill-ISMS, mhux bħala sostituzzjoni iżolata ta’ algoritmu.
Kif jingħad f’Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap, Fażi 2, Pass 8, “Asset, dependency, and evidence scoping”:
“Kontroll ma jistax jitqies affidabbli sakemm l-organizzazzjoni ma tkunx tista’ tipprova fejn japplika, min huwa s-sid tiegħu, liema evidenza tappoġġah, u liema riskju jnaqqas.”
Din is-sentenza hija partikolarment importanti għall-kriptografija post-kwantistika. Qabel ma tissostitwixxi algoritmi, trid tkun taf fejn jintużaw l-algoritmi.
Clarysec Zenith Controls: The Cross-Compliance Guide iqiegħed il-kriptografija bħala katina konnessa ta’ evidenza, mhux bħala setting tekniku wieħed:
“L-assigurazzjoni kriptografika tiġi awditjata tul iċ-ċiklu tal-ħajja tal-informazzjoni: identifikazzjoni, klassifikazzjoni, użu approvat, protezzjoni taċ-ċwievet, monitoraġġ operattiv, dipendenza fuq il-fornituri, immaniġġjar tal-eċċezzjonijiet, u żamma tal-evidenza.”
Din il-perspettiva taċ-ċiklu tal-ħajja tevita l-aktar falliment komuni: li wieħed jistaqsi biss, “Qegħdin nużaw algoritmi quantum-safe?” Il-mistoqsijiet aħjar huma:
- Liema sistemi jeħtieġu migrazzjoni post-kwantistika l-ewwel?
- Liema data għandha ħajja ta’ kunfidenzjalità itwal mill-orizzont tar-riskju kwantistiku?
- Liema fornituri jikkontrollaw l-iċċifrar, il-firem, iċ-ċertifikati, jew il-ġestjoni taċ-ċwievet tagħna?
- Liema applikazzjonijiet huma aġli kriptografikament u liema huma hardcoded?
- Liema kontrolli kumpensatorji jeżistu waqt li l-migrazzjoni għadha mhix kompluta?
- Liema evidenza se turi li d-deċiżjonijiet kienu bbażati fuq ir-riskju u sarilhom rieżami?
Mit-theddida kwantistika għal riskju tan-negozju li jista’ jiġi awditjat
Pjan post-kwantistiku utli jibda b’xenarji ta’ riskju. Evita dikjarazzjonijiet vagi bħal “il-komputazzjoni kwantistika tista’ tkisser l-iċċifrar.” Minflok, oħloq reġistri tar-riskju li jistgħu jiġu awditjati u li jgħaqqdu l-impatt fuq in-negozju, it-theddida, il-vulnerabbiltà, l-assi affettwati, il-kontrolli attwali, ir-riskju residwu, u l-azzjonijiet ta’ trattament.
Pereżempju:
“Dokumenti tal-identità tal-klijenti ċċifrati u maħżuna għal seba’ snin jistgħu jkunu vulnerabbli għal deċifrar futur jekk backups jiġu eżfiltrati llum u l-kriptografija attwali b’ċavetta pubblika ssir tinkiser fil-futur.”
Dak ix-xenarju jindika żamma tad-data, iċċifrar tal-backup, ġestjoni taċ-ċwievet, kontroll tal-aċċess, hosting mill-fornitur, monitoraġġ, u prijorità tal-migrazzjoni.
Eżempju ieħor:
“L-iffirmar tal-firmware għal apparati konnessi jiddependi fuq skemi ta’ firem li jistgħu ma jibqgħux affidabbli matul iċ-ċiklu tal-ħajja mistenni tal-apparat.”
Dan jindika sigurtà tal-prodott, mekkaniżmi ta’ aġġornament sigur, kapaċità tal-HSM, sikurezza tal-klijenti, assigurazzjoni tad-disinn tal-fornitur, u reżiljenza operattiva fit-tul.
It-tielet eżempju:
“Komunikazzjonijiet legali arkivjati u ċċifrati llum jistgħu jeħtieġu kunfidenzjalità għal aktar minn ħmistax-il sena, u joħolqu espożizzjoni ‘harvest now, decrypt later’.”
Dan jindika klassifikazzjoni, żamma, protezzjoni kriptografika, legal hold, komunikazzjonijiet siguri, u aċċettazzjoni tar-riskju eżekuttiva.
Ir-riskju mhuwiex biss “Q-Day” futur. Jinkludi tliet tħassibiet relatati:
- Harvest now, decrypt later, l-avversarji jiġbru data ċċifrata llum għal deċifrar futur.
- Kompromess tal-firem diġitali, attakki futuri jdgħajfu l-fiduċja fl-aġġornamenti tas-softwer, tokens tal-identità, dokumenti legali, firmware, u tranżazzjonijiet finanzjarji.
- Falliment ta’ konċentrazzjoni kriptografika, klassi wiesgħa ta’ prodotti, protokolli, libreriji, jew fornituri ssir skaduta fl-istess ħin.
Il-Politika tal-Intrapriża ta’ Clarysec, Politika dwar il-kriptografija u l-ġestjoni taċ-ċwievet, klawżola 5.1, taqbad ir-rekwiżit ta’ governanza b’dan il-mod:
“Il-kontrolli kriptografiċi għandhom jintgħażlu, jiġu implimentati, isirilhom rieżami, u jiġu rtirati abbażi tal-klassifikazzjoni tal-informazzjoni, il-ħajja tal-protezzjoni meħtieġa, standards kriptografiċi approvati, sjieda taċ-ċwievet, u deċiżjonijiet dokumentati dwar it-trattament tar-riskju.”
Dik il-klawżola hija kritika għaliex il-ħajja tal-protezzjoni ssir fattur ta’ prijoritizzazzjoni. Data tas-sessjoni b’ħajja qasira u rekords mediċi fit-tul ma jġorrux l-istess riskju kwantistiku. Ċavetta tal-iffirmar tal-kodiċi li ssostni l-fiduċja fl-apparat għal ħmistax-il sena għandha profil ta’ riskju differenti minn ċertifikat intern tat-test b’ħajja qasira.
L-istess familja ta’ politiki, imsemmija fil-materjal ta’ Clarysec bħala Cryptographic Controls Policy, tista’ wkoll tifformalizza l-aspettattivi tar-rieżami b’lingwa bħal din:
Klawżola 5.4: Standards tal-algoritmi u t-tulijiet taċ-ċwievet
“L-algoritmi kriptografiċi u t-tulijiet taċ-ċwievet kollha użati fl-organizzazzjoni għandhom jintgħażlu minn lista approvata miżmuma mit-Tim tas-Sigurtà tal-Informazzjoni. Din il-lista għandha ssirilha rieżami kull sena kontra l-aħjar prattiki tal-industrija u gwida minn korpi nazzjonali taċ-ċibersigurtà (eż. NIST, ENISA), b’attenzjoni speċifika għall-iżvilupp ta’ standards kriptografiċi post-kwantistiċi. Pjan direzzjonali għall-migrazzjoni ta’ sistemi ’l bogħod minn algoritmi vulnerabbli għal attakki bbażati fuq il-kwantum għandu jinżamm bħala parti mill-inventarju tal-assi kriptografiċi.”
Dan ma jeħtieġx adozzjoni bikrija mhux sigura. Jeħtieġ għarfien, ippjanar, rieżami, u evidenza.
Uża l-istandards NIST PQC bħala l-kumpass tekniku
Ix-xogħol ta’ NIST fuq il-kriptografija post-kwantistika jagħti lill-organizzazzjonijiet direzzjoni teknika kredibbli. NIST standardizza ML-KEM għall-istabbiliment taċ-ċwievet, ML-DSA għall-firem diġitali, u SLH-DSA għal firem ibbażati fuq hash mingħajr stat. Dawn l-istandards jagħtu lill-fornituri u lill-periti bażi għal pjanijiet direzzjonali u disinji pilota.
Għas-CISOs, il-punt mhuwiex li jimmemorizzaw id-dettalji tal-algoritmi. Il-punt huwa li tinħoloq mogħdija ta’ migrazzjoni li tista’ tassorbi għażliet kriptografiċi approvati mingħajr ma tkisser is-servizzi tan-negozju, l-impenji ta’ konformità, jew it-traċċabbiltà tal-awditjar.
Pjan ta’ migrazzjoni allinjat ma’ NIST għandu jinkludi erba’ flussi ta’ xogħol:
- Skoperta, identifika fejn teżisti kriptografija vulnerabbli b’ċavetta pubblika.
- Prijoritizzazzjoni, ikklassifika s-sistemi skont is-sensittività tad-data, il-ħajja tal-protezzjoni, l-espożizzjoni, l-impatt fuq l-integrità, u l-kritikalità għan-negozju.
- Arkitettura tat-tranżizzjoni, iddefinixxi fejn mekkaniżmi ibridi, aġli kriptografikament, jew post-kwantistiċi se jiġu ttestjati u adottati.
- Assigurazzjoni, ipproduċi evidenza li d-deċiżjonijiet, l-eċċezzjonijiet, id-dipendenzi fuq il-fornituri, it-testijiet, u r-riskji residwi huma kkontrollati.
L-aġilità kriptografika jistħoqqilha attenzjoni speċjali. Sistema aġli kriptografikament tista’ tbiddel algoritmi, daqsijiet taċ-ċwievet, libreriji, ċertifikati, u protokolli mingħajr disinn mill-ġdid maġġuri. Fl-era post-kwantistika, l-aġilità kriptografika mhijiex lussu. Hija rekwiżit ta’ reżiljenza.
Jekk API tal-ħlas għandha libreriji kriptografiċi hardcoded u l-ebda sid dokumentat, mhijiex aġli kriptografikament. Jekk applikazzjoni mobbli torbot ċertifikati mingħajr mogħdija ta’ aġġornament immaniġġjata, il-migrazzjoni tista’ ssir għalja. Jekk apparat IoT għandu ħajja operattiva ta’ ħmistax-il sena u ma jistax jappoġġa firem akbar jew aġġornamenti siguri tal-firmware, ir-riskju huwa strateġiku.
Ibni l-inventarju kriptografiku qabel tagħżel il-mogħdija tal-migrazzjoni
Ħafna organizzazzjonijiet m’għandhomx inventarju kriptografiku komplut. Jista’ jkollhom inventarju taċ-ċertifikati, spreadsheet tal-ġestjoni taċ-ċwievet, reġistri tal-HSM, lista KMS fil-cloud, jew entrati fis-CMDB. Rarament ikollhom stampa waħda tad-dipendenzi kriptografiċi.
Pjan ta’ migrazzjoni tal-kriptografija post-kwantistika jeħtieġ lista ta’ materjali kriptografiċi, jew CBOM. M’għandhiex għalfejn tkun perfetta fl-ewwel jum. Iżda għandha tkun strutturata, b’sid, u mtejba kontinwament.
Bħala minimu, aqbad dawn l-oqsma:
| Qasam tal-inventarju | Għaliex huwa importanti għall-migrazzjoni post-kwantistika |
|---|---|
| Servizz tan-negozju | Jipprijoritizza l-migrazzjoni skont l-impatt fuq in-negozju |
| Sid tal-assi | Jassenja responsabbiltà u awtorità għat-teħid tad-deċiżjonijiet |
| Klassifikazzjoni tad-data | Tidentifika rekwiżiti ta’ kunfidenzjalità u integrità |
| Ħajja tal-protezzjoni | Tenfasizza l-espożizzjoni “harvest now, decrypt later” |
| Funzjoni kriptografika | Tissepara l-iċċifrar, l-iskambju taċ-ċwievet, il-firem, il-hashing, u ċ-ċertifikati |
| Algoritmu u protokoll | Jidentifika fejn jintużaw mekkaniżmi vulnerabbli b’ċavetta pubblika |
| Librerija jew implimentazzjoni | Turi dipendenzi tas-softwer u restrizzjonijiet tal-aġġornament |
| Post taċ-ċavetta | Juri jekk iċ-ċwievet humiex f’HSM, cloud KMS, software, endpoint, jew pjattaforma tal-fornitur |
| Dipendenza fuq il-fornitur | Tiżvela fejn il-migrazzjoni tiddependi fuq partijiet terzi |
| Kumplessità tal-migrazzjoni | Tappoġġa s-sekwenzjar, l-ittestjar, u l-ippjanar tal-baġit |
| Sors tal-evidenza | Jagħmel l-inventarju lest għall-awditjar |
Inventarju inizjali jista’ jidher hekk:
| ID tal-assi | Isem tal-assi | Sid | Kritikalità għan-negozju | Użu kriptografiku | Post | Vulnerabbiltà PQC | Prijorità tal-migrazzjoni |
|---|---|---|---|---|---|---|---|
| APP-042 | Customer Billing API | Finance Technology | Għolja | Firem RSA-2048, TLS, iċċifrar AES-256 | AWS eu-west-1 | Għolja għal fiduċja dipendenti fuq RSA | 1 |
| NET-007 | VPN ta’ aċċess remot | Infrastruttura tal-IT | Għolja | Awtentikazzjoni ECDSA, IKEv2 | Fuq il-post u edge fil-cloud | Għolja għal awtentikazzjoni dipendenti fuq ECC | 1 |
| DB-011 | Rekords tal-pazjenti arkivjati | Konformità | Għolja b’żamma ta’ 30 sena | Iċċifrar tad-database AES-256 | Database fuq il-post | Aktar baxxa għall-iċċifrar simmetriku, għolja jekk iċ-ċwievet jiġu skambjati jew imgeżwra b’metodi vulnerabbli b’ċavetta pubblika | 2 |
| CODE-001 | Iffirmar tal-kodiċi CI/CD | DevOps | Impatt għoli fuq l-integrità | Iffirmar tal-kodiċi RSA-4096 | HSM u pipeline tal-build | Għolja għal fiduċja fit-tul fil-firem | 1 |
Din it-tabella turi minnufih għaliex l-inventarju huwa importanti. AES-256 mhuwiex l-istess tip ta’ riskju kwantistiku bħal RSA jew ECC, iżda r-rekords arkivjati tal-pazjenti jistgħu xorta jiddependu fuq key wrapping vulnerabbli, ċertifikati, sistemi tal-identità, jew kanali tat-trasferiment tal-backup. L-iffirmar tal-kodiċi jista’ ma jipproteġix il-kunfidenzjalità, iżda jipproteġi l-integrità tas-softwer u l-fiduċja.
F’Zenith Controls, il-kriptografija hija krossreferenzjata ma’ standards ta’ appoġġ li jżidu l-fond. ISO/IEC 27005 jappoġġa l-ġestjoni tar-riskju tas-sigurtà tal-informazzjoni u jgħin biex l-inċertezza kwantistika tinbidel f’xenarji strutturati ta’ riskju. ISO/IEC 27017 jappoġġa kontrolli tas-sigurtà speċifiċi għall-cloud, li huwa essenzjali meta servizzi kriptografiċi jitwasslu permezz ta’ cloud KMS, TLS immaniġġjat, iċċifrar SaaS, jew ċertifikati tal-pjattaforma. ISO/IEC 27018 huwa rilevanti meta data personali tiġi pproċessata f’servizzi cloud pubbliċi. ISO 22301 huwa rilevanti fejn falliment kriptografiku jista’ jaffettwa l-kontinwità ta’ servizzi kritiċi. ISO/IEC 27036 jappoġġa s-sigurtà tar-relazzjonijiet mal-fornituri, li hija kruċjali meta l-fornituri jimmaniġġjaw l-iċċifrar, il-firem, iċ-ċertifikati, jew il-komunikazzjonijiet siguri f’ismek.
Il-lezzjoni hija sempliċi: ma tistax temigra dak li ma tistax issib.
Ipprijoritizza skont is-sensittività, il-ħajja, l-espożizzjoni, u d-diffikultà tal-migrazzjoni
Ladarba jeżisti s-CBOM, il-prijoritizzazzjoni ssir ibbażata fuq l-evidenza. L-aħjar punt tat-tluq huwa numru żgħir ta’ sistemi kritiċi, mhux eżerċizzju ta’ perfezzjoni madwar l-intrapriża kollha.
Immaġina kumpanija tas-servizzi finanzjarji bi tliet sistemi ta’ valur għoli:
- Vault tad-dokumenti tal-klijenti li jaħżen evidenza tal-identità għal għaxar snin
- Gateway API B2B li jappoġġa tranżazzjonijiet mal-imsieħba
- Pjattaforma tal-iffirmar tal-kodiċi għall-aġġornamenti tas-softwer tad-desktop
Bl-użu ta’ Zenith Blueprint, Fażi 2, Pass 8, it-tim jiġbed assi mis-CMDB, ċertifikati mill-pjattaforma tal-ġestjoni taċ-ċertifikati, ċwievet mill-HSM u cloud KMS, klassijiet tad-data mir-reġistru tal-privatezza, u dipendenzi fuq il-fornituri mir-reġistri tal-akkwist.
Imbagħad jagħtu punteġġ lis-sistemi:
| Sistema | Sensittività tad-data | Ħajja tal-protezzjoni | Espożizzjoni esterna | Dipendenza fuq il-fornitur | Prijorità tal-migrazzjoni |
|---|---|---|---|---|---|
| Vault tad-dokumenti tal-klijenti | Għolja ħafna | Twila | Medja | Cloud KMS u fornitur tal-ħażna | Kritika |
| Gateway API B2B | Għolja | Qasira sa medja | Għolja ħafna | Fornitur tal-ġestjoni tal-API | Għolja |
| Pjattaforma tal-iffirmar tal-kodiċi | Impatt għoli ħafna fuq l-integrità | Fiduċja twila fl-apparat | Medja | HSM u għodod tal-pipeline tal-build | Kritika |
Il-vault tad-dokumenti tal-klijenti jsir prijorità minħabba l-ħajja tal-kunfidenzjalità. Il-pjattaforma tal-iffirmar tal-kodiċi ssir prijorità għaliex il-fiduċja fil-firem taffettwa l-integrità tas-softwer u s-sikurezza tal-klijenti. Il-gateway API huwa ta’ prijorità għolja minħabba l-espożizzjoni esterna, iżda d-data miżmuma tiegħu jista’ jkollha ħajja ta’ kunfidenzjalità iqsar.
Ir-Reġistru tar-Riskji għandu mbagħad jgħaqqad kull xenarju mat-trattament u l-evidenza:
| Xenarju ta’ riskju | Kontroll attwali | Deċiżjoni ta’ trattament | Evidenza meħtieġa |
|---|---|---|---|
| Reġistri tal-klijenti b’ħajja twila jistgħu jkunu esposti għal deċifrar futur | Iċċifrar tad-data maħżuna, kontroll tal-aċċess, cloud KMS | Evalwa l-pjan direzzjonali tal-iċċifrar tal-ħażna, saħħaħ is-segregazzjoni taċ-ċwievet, irrevedi l-kriptografija tat-trasferiment tal-backup | CBOM, pjan direzzjonali tal-fornitur, deċiżjoni arkitettonika, reġistru tat-trattament tar-riskju |
| Il-fiduċja fl-aġġornamenti tas-softwer tista’ tiddgħajjef b’kompromess futur tal-firem | HSM għall-iffirmar tal-kodiċi, approvazzjoni tar-rilaxx | Evalwa t-tħejjija għall-firem post-kwantistiċi, l-istrateġija tat-timestamping, u ċ-ċiklu tal-ħajja tal-iffirmar | Inventarju tal-iffirmar, rapport tal-kapaċità tal-HSM, proċedura ta’ żvilupp sigur |
| Il-kriptografija tal-API tal-imsieħba tista’ tkun diffiċli biex tinbidel malajr | Ċertifikati TLS, konfigurazzjoni tal-gateway API | Implimenta ttestjar tal-aġilità kriptografika u rieżami tal-pjan direzzjonali tal-fornitur | Skannjar TLS, konfigurazzjoni bażi, attestazzjoni tal-fornitur |
Il-Politika tal-Intrapriża ta’ Clarysec, Politika dwar l-iżvilupp sigur, klawżola 6.4, tagħti l-angolu tat-twassil tas-softwer:
“Ir-rieżamijiet tad-disinn tas-sigurtà għandhom jevalwaw id-dipendenzi kriptografiċi, iċ-ċiklu tal-ħajja tal-libreriji, l-aġilità tal-algoritmi, l-immaniġġjar tas-sigrieti, il-mekkaniżmi ta’ aġġornament, u l-komponenti kkontrollati mill-fornituri qabel l-approvazzjoni għall-ambjent ta’ produzzjoni.”
Dik il-klawżola tbiddel it-tħejjija post-kwantistika f’rekwiżit tal-inġinerija. Tipprevjeni lit-timijiet milli jiddeplojaw sistemi ġodda li ma jkunux jistgħu jiġu emigrati aktar tard.
Segwi pjan direzzjonali ta’ 12-il xahar li l-awdituri jistgħu jifhmu
Il-migrazzjoni post-kwantistika se tieħu snin għal ħafna organizzazzjonijiet. L-ewwel sena għandha tmexxi lill-organizzazzjoni mill-inċertezza għal migrazzjoni b’governanza.
| Xahar | Fluss tax-xogħol | Riżultat | Evidenza |
|---|---|---|---|
| 1 | Mandat eżekuttiv | Kamp ta’ applikazzjoni fil-livell tal-bord, aptit għar-riskju, u mogħdija ta’ finanzjament | Minuti tal-kumitat ta’ tmexxija, charter approvat |
| 1 sa 2 | Skoperta kriptografika | CBOM inizjali li jkopri servizzi kritiċi | Esportazzjoni tal-inventarju, links tas-CMDB, attestazzjonijiet tas-sidien tas-sistemi |
| 2 sa 3 | Rieżami tad-data u tal-ħajja tal-protezzjoni | Lista prijoritizzata ta’ data sensittiva b’ħajja twila u assi b’integrità għolja | Reġistru tal-klassifikazzjoni, skeda ta’ żamma, reġistri tar-riskju |
| 3 sa 4 | Rieżami tad-dipendenza fuq il-fornituri | Pjan direzzjonali tal-fornituri u analiżi tal-lakuni kuntrattwali | Kwestjonarji tal-fornituri, klawżoli kuntrattwali, eċċezzjonijiet tar-riskju |
| 4 sa 6 | Evalwazzjoni tal-arkitettura u tal-aġilità kriptografika | Mudelli ta’ arkitettura fil-mira u restrizzjonijiet tal-migrazzjoni | Reġistri tar-rieżami tal-arkitettura, deċiżjonijiet tad-disinn |
| 6 sa 8 | Implimentazzjoni pilota | Test ibridu jew post-kwantistiku f’ambjent magħżul b’riskju baxx | Riżultati tat-testijiet, pjan ta’ treġġigħ lura, sejbiet tal-prestazzjoni |
| 8 sa 10 | Aġġornament tal-politiki u l-proċeduri | Regoli aġġornati għall-kriptografija, ġestjoni taċ-ċwievet, fornituri, żvilupp sigur, u assi | Politiki approvati, reġistri tat-taħriġ |
| 10 sa 12 | Kapaċità li tintwera l-konformità | Awditjar intern, rieżami tal-ġestjoni, u aġġornament tal-pjan ta’ trattament | Rapport tal-awditjar, azzjonijiet korrettivi, Pjan ta’ Trattament tar-Riskju aġġornat |
F’Zenith Blueprint, Fażi 3, Pass 14, “Risk treatment design and ownership,” il-pjan direzzjonali jwissi kontra intenzjonijiet tas-sigurtà mingħajr finanzjament:
“Pjan ta’ trattament mingħajr sid, aspettattiva ta’ evidenza, mogħdija tal-baġit, u data ta’ rieżami mhuwiex pjan. Huwa riskju mhux solvut b’format aħjar.”
Hekk eżatt ifallu l-programmi post-kwantistiċi. Jipproduċu slides ta’ sensibilizzazzjoni, iżda l-ebda backlog ta’ rimedju bi sjieda. Jiddiskutu algoritmi, iżda ma jaġġornawx kuntratti tal-fornituri. Jiddokumentaw ir-riskju, iżda ma jittestjawx mudelli ta’ migrazzjoni.
Pjan direzzjonali kredibbli joħloq reġistri tad-deċiżjonijiet, sidien, dipendenzi, aspettattivi ta’ evidenza, baġits, u dati ta’ rieżami.
Daħħal lill-fornituri fil-programm kmieni
Ħafna dipendenzi kriptografiċi huma esternalizzati. Fornituri cloud itemmu TLS. Pjattaformi SaaS jikkriptaw ir-reġistri. Fornituri tal-identità jiffirmaw tokens. Proċessuri tal-ħlas jimmaniġġjaw ċertifikati. Fornituri tal-hardware jikkontrollaw l-iffirmar tal-firmware. Fornituri ta’ servizzi ġestiti joperaw VPNs u gateways tas-sigurtà.
Anki jekk it-tim intern tiegħek ikun lest, il-migrazzjoni tiegħek tista’ tiġi mblukkata mill-kapaċità tal-fornitur.
Il-Politika tal-Intrapriża ta’ Clarysec, Politika tas-sigurtà ta’ partijiet terzi u tal-fornituri, klawżola 5.6, tgħid:
“Fornituri li jipprovdu servizzi rilevanti għas-sigurtà għandhom jiżvelaw dipendenzi materjali, responsabbiltajiet kriptografiċi, evidenza ta’ assigurazzjoni, proċessi tal-immaniġġjar tal-vulnerabbiltajiet, u bidliet fil-pjan direzzjonali li jistgħu jaffettwaw il-pożizzjoni tar-riskju tal-organizzazzjoni.”
Għat-tħejjija post-kwantistika, staqsi lill-fornituri kritiċi:
- Liema algoritmi, protokolli, ċertifikati, u servizzi ta’ ġestjoni taċ-ċwievet jipproteġu d-data jew it-tranżazzjonijiet tagħna?
- Żżommu inventarju kriptografiku jew CBOM?
- X’inhu l-pjan direzzjonali post-kwantistiku tagħkom skont NIST?
- Se tappoġġaw skambju ibridu taċ-ċwievet, firem post-kwantistiċi, jew stabbiliment taċ-ċwievet reżistenti għall-kwantum?
- Kif se jiġu kkomunikati bidliet fiċ-ċertifikati, tokens, iffirmar, u iċċifrar?
- X’azzjoni se tkun meħtieġa mill-klijent?
- Liema ambjenti tat-test se jkunu disponibbli?
- Kif se jiġu mmaniġġjati l-prestazzjoni, l-interoperabbiltà, u t-treġġigħ lura?
- Ir-responsabbiltajiet kriptografiċi huma definiti fil-kuntratt jew fil-mudell ta’ responsabbiltà kondiviża?
- Liema għażliet ta’ ħruġ jew portabbiltà jeżistu jekk il-pjan direzzjonali tagħkom ma jissodisfax ir-rekwiżiti tar-riskju tagħna?
It-tweġibiet tal-fornituri għandhom jidħlu fir-Reġistru tar-Riskji. Tweġibiet dgħajfa mhux dejjem ifissru sostituzzjoni immedjata, iżda jeħtieġu trattament. Jista’ jkollok bżonn kontrolli kumpensatorji, emendi kuntrattwali, klawżoli ta’ notifika, ippjanar tal-ħruġ, monitoraġġ imsaħħaħ, jew strateġija ta’ sourcing riveduta.
Dan huwa partikolarment importanti taħt l-aspettattivi ta’ reżiljenza operattiva stil DORA u NIS2. DORA jenfasizza l-ġestjoni tar-riskju tal-ICT u l-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, inkluża s-sorveljanza ta’ dipendenzi kritiċi. NIS2 Article 21 jeħtieġ miżuri xierqa u proporzjonati tekniċi, operattivi, u organizzattivi għall-ġestjoni tar-riskju tas-sigurtà, inkluża s-sigurtà tal-katina tal-provvista, l-immaniġġjar tal-inċidenti, il-kontinwità tan-negozju, u l-kontrolli kriptografiċi fejn xieraq. GDPR Article 32 jeħtieġ sigurtà xierqa għar-riskju, inklużi kunfidenzjalità, integrità, disponibbiltà, reżiljenza, u l-kapaċità li tiġi żgurata protezzjoni kontinwa tad-data personali.
Il-lingwa regolatorja tvarja, iżda l-loġika tal-kontroll hija konsistenti: kun af id-dipendenzi tiegħek, immaniġġja r-riskju, ippreserva l-evidenza, u aġixxi qabel ma r-reżiljenza tiġi kompromessa.
Immappjar ta’ konformità trasversali: pjan wieħed ta’ migrazzjoni, ħafna obbligi
Pjan b’saħħtu ta’ migrazzjoni tal-kriptografija post-kwantistika għandu jevita li joħloq pakketti ta’ evidenza separati għal kull qafas. L-istess evidenza ewlenija tista’ tappoġġa diversi obbligi jekk tkun strutturata sew.
Zenith Controls jimmappja s-suġġett tal-kriptografija ma’ ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA, u NIS2 billi jiffoka fuq l-għan tal-kontroll aktar milli fuq it-tikketta użata minn kull qafas.
| Qafas | Kif il-pjan post-kwantistiku jappoġġa l-konformità |
|---|---|
| ISO/IEC 27001:2022 | Juri għażla ta’ kontrolli bbażata fuq ir-riskju, informazzjoni dokumentata, awditjar intern, rieżami tal-ġestjoni, u titjib kontinwu |
| ISO/IEC 27002:2022 | Jappoġġa l-interpretazzjoni tal-kontroll għal 8.24 Use of cryptography, inventarju tal-assi, klassifikazzjoni, sigurtà tal-fornituri, servizzi cloud, żvilupp sigur, monitoraġġ, u kontinwità |
| Standards NIST PQC | Jipprovdu direzzjoni teknika għat-tranżizzjoni lejn algoritmi post-kwantistiċi approvati u għall-ippjanar kriptografiku |
| NIST Cybersecurity Framework 2.0 | Jorbot l-attivitajiet tal-migrazzjoni mar-riżultati ta’ Govern, Identify, Protect, Detect, Respond, u Recover |
| COBIT 2019 | Jallinja r-riskju kriptografiku ma’ objettivi ta’ governanza u ġestjoni bħal APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services, u MEA03 Managed Compliance |
| GDPR | Jappoġġa l-aspettattivi ta’ Article 32 għal sigurtà xierqa, kunfidenzjalità, integrità, reżiljenza, u responsabbiltà għall-ipproċessar tad-data personali |
| DORA | Jappoġġa l-ġestjoni tar-riskju tal-ICT, il-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, ittestjar tar-reżiljenza, tħejjija għall-inċidenti, u sorveljanza mill-korp ta’ ġestjoni |
| NIS2 | Jappoġġa l-miżuri ta’ ġestjoni tar-riskju tas-sigurtà ta’ Article 21, is-sigurtà tal-katina tal-provvista, l-immaniġġjar tal-inċidenti, il-kontinwità tan-negozju, u responsabbiltà tal-governanza |
L-użu mill-ġdid tal-evidenza huwa ċ-ċavetta. Inventarju kriptografiku jappoġġa l-ġestjoni tal-assi ta’ ISO, ir-riżultati Identify ta’ NIST, il-viżibbiltà tal-assi tal-ICT taħt DORA, il-ġestjoni tar-riskju taħt NIS2, u r-responsabbiltà taħt GDPR. Kwestjonarji tal-fornituri jappoġġaw il-kontrolli tal-fornituri ta’ ISO, ir-riskju ta’ partijiet terzi tal-ICT taħt DORA, is-sigurtà tal-katina tal-provvista taħt NIS2, u l-governanza tal-fornituri taħt COBIT. Ir-riżultati tat-testijiet tal-migrazzjoni jappoġġaw bidliet siguri, ittestjar tar-reżiljenza, il-kapaċità li tintwera l-konformità, u rieżami tal-ġestjoni.
X’se jistaqsu l-awdituri
Il-kriptografija post-kwantistika għadha suġġett ta’ awditjar emerġenti, iżda l-awdituri diġà għandhom biżżejjed aspettattivi ta’ kontroll biex jistaqsu mistoqsijiet diffiċli.
Awditur ISO/IEC 27001:2022 ġeneralment jibda bir-riskju. Jistaqsi jekk ir-riskju kriptografiku relatat mal-kwantum huwiex identifikat, evalwat, trattat, immonitorjat, u rivedut fi ħdan l-ISMS. Jistenna evidenza li l-kontrolli kriptografiċi jintgħażlu abbażi tar-riskju tan-negozju u li r-responsabbiltajiet huma definiti.
Valutatur orjentat lejn NIST jista’ jiffoka fuq il-viżibbiltà tal-assi, il-mekkaniżmi ta’ protezzjoni, ir-riskji tal-katina tal-provvista, il-ġestjoni tal-vulnerabbiltajiet, u r-riżultati tal-governanza. Jista’ jistaqsi jekk l-organizzazzjoni identifikatx sistemi li jużaw kriptografija vulnerabbli b’ċavetta pubblika u jekk l-ippjanar tal-migrazzjoni huwiex allinjat mad-direzzjoni ta’ NIST.
Awditur COBIT jew ISACA spiss jistaqsi dwar il-governanza. Min għandu r-responsabbiltà? Kif jirċievi l-bord ir-rappurtar? L-investimenti huma prijoritizzati? Id-dipendenzi fuq il-fornituri huma ġestiti? Il-benefiċċji, ir-riskji, u r-riżorsi huma bbilanċjati?
Awditur tal-privatezza jista’ jiffoka fuq jekk l-iċċifrar u l-ġestjoni taċ-ċwievet jibqgħux xierqa għas-sensittività u l-perjodu ta’ żamma tad-data personali.
Rieżami ffukat fuq DORA jew NIS2 iħares lejn ir-reżiljenza, il-konċentrazzjoni ta’ partijiet terzi tal-ICT, il-kontinwità operattiva, u t-tħejjija għall-inċidenti.
| Lenti tal-awditjar | Mistoqsijiet probabbli | Evidenza li għandha titħejja |
|---|---|---|
| ISO/IEC 27001:2022 | Ir-riskju post-kwantistiku huwa inkluż fil-proċess tar-riskju tal-ISMS? Il-kontrolli kriptografiċi jintgħażlu u jiġu riveduti? | Reġistru tar-Riskji, Pjan ta’ Trattament, Dikjarazzjoni ta’ Applikabbiltà, approvazzjonijiet tal-politiki, riżultati tal-awditjar intern |
| NIST | L-organizzazzjoni inventorjat l-użu kriptografiku u ppjanat migrazzjoni lejn approċċi approvati? | CBOM, deċiżjonijiet arkitettoniċi, riżultati pilota, backlog tal-migrazzjoni |
| COBIT 2019 | It-tranżizzjoni kriptografika hija ggwidata, iffinanzjata, u mmonitorjata? | Rapporti tal-bord, minuti tal-governanza, KPIs, dashboards tar-riskju tal-fornituri |
| GDPR | Il-protezzjoni kriptografika tibqa’ xierqa għas-sensittività u ż-żamma tad-data personali? | Klassifikazzjoni tad-data, referenzi DPIA, skeda ta’ żamma, disinn tal-iċċifrar |
| DORA | Id-dipendenzi tal-ICT u tal-fornituri huma mifhuma u reżiljenti? | Reġistru tal-assi tal-ICT, attestazzjonijiet tal-fornituri, evidenza tal-ittestjar, pjanijiet ta’ ħruġ |
| NIS2 | Il-miżuri tal-ġestjoni tar-riskju tal-katina tal-provvista u tas-sigurtà huma effettivi? | Rieżamijiet tal-fornituri, proċeduri tal-inċidenti, pjanijiet tal-kontinwità, reġistri tat-trattament tar-riskju |
Zenith Controls jirrakkomanda li t-tħejjija għall-awditjar tiġi trattata bħala mogħdija tal-evidenza. Tistenniex lill-awdituri jitolbu screenshots u spreadsheets. Ibni spazju tax-xogħol GRC li jgħaqqad kull riskju kriptografiku mas-sid tiegħu, l-assi affettwati, il-fornituri, id-deċiżjonijiet, it-testijiet, l-eċċezzjonijiet, u d-dati tar-rieżami.
Aġġorna l-politiki sabiex il-programm isir operattiv
Il-biċċa l-kbira tal-politiki tal-kriptografija nkitbu għal rekwiżiti tradizzjonali ta’ kunfidenzjalità u integrità. Il-migrazzjoni post-kwantistika teħtieġ żidiet immirati.
Il-politika tiegħek dwar il-kriptografija u l-ġestjoni taċ-ċwievet għandha tindirizza standards approvati, frekwenza tar-rieżami, klassifikazzjoni tad-data, ħajja tal-protezzjoni, aġilità tal-algoritmi, ġenerazzjoni taċ-ċwievet, ħażna taċ-ċwievet, rotazzjoni, qerda, sjieda, ċiklu tal-ħajja taċ-ċertifikati, responsabbiltà tal-HSM, responsabbiltà tal-cloud KMS, approvazzjoni tal-eċċezzjonijiet, kriptografija kkontrollata mill-fornituri, u monitoraġġ tat-tranżizzjoni post-kwantistika.
Il-Politika dwar l-Iżvilupp Sigur għandha tindirizza approvazzjoni tal-libreriji kriptografiċi, ebda algoritmi hardcoded mingħajr rieżami, traċċar tad-dipendenzi, mekkaniżmi ta’ aġġornament sigur, ittestjar tal-prestazzjoni għal ċwievet jew firem akbar, kompatibbiltà b’lura, treġġigħ lura, u mmudellar tat-theddid għal prodotti b’ħajja twila.
Il-politika tas-sigurtà tal-fornituri għandha tindirizza trasparenza kriptografika, talbiet għal pjan direzzjonali post-kwantistiku, dmirijiet kuntrattwali ta’ notifika, responsabbiltà kondiviża għall-iċċifrar u l-ġestjoni taċ-ċwievet, ippjanar tal-ħruġ, u portabbiltà.
Il-proċedura tiegħek tal-ġestjoni tal-assi għandha tindirizza oqsma tal-inventarju kriptografiku, sjieda, sorsi tal-evidenza, frekwenza tar-rieżami, u integrazzjoni ma’ CMDB, inventarju cloud, ġestjoni taċ-ċertifikati, reġistri tal-HSM, u repożitorji tal-kodiċi.
Hawnhekk il-librerija tal-politiki ta’ Clarysec tgħin lill-organizzazzjonijiet jimxu aktar malajr. Minflok jibdew minn paġna vojta, it-timijiet jistgħu jadattaw klawżoli ta’ politika fi proċeduri, reġistri, kwestjonarji, u evidenza tal-awditjar.
Evita l-iżbalji l-aktar komuni fil-migrazzjoni post-kwantistika
L-iżbalji l-aktar perikolużi normalment huma fallimenti ta’ governanza, mhux fallimenti tekniċi.
Tibda bl-algoritmi minflok bl-assi. Jekk ma tafx fejn tintuża l-kriptografija, l-għażla tal-algoritmu mhux se tgħinek.
Tinjora l-ħajja tad-data. Data tranżazzjonali b’ħajja qasira u arkivji sensittivi b’ħajja twila ma jġorrux l-istess riskju.
Tittratta lill-fornituri bħala fażi aktar tard. Ħafna kontrolli kriptografiċi huma ġestiti mill-fornituri. Jekk il-fornituri ma jiġux inklużi kmieni, il-pjan tiegħek jista’ ma jkunx realistiku.
Tinsa l-firem. L-ippjanar post-kwantistiku mhuwiex biss dwar l-iċċifrar. Firem diġitali, iffirmar tal-kodiċi, ċertifikati, tokens tal-identità, aġġornamenti tal-firmware, u iffirmar tad-dokumenti jeħtieġu attenzjoni.
Tassumi li l-fornituri cloud isolvu kollox. Il-pjattaformi cloud se jkollhom rwol kbir, iżda r-responsabbiltà tibqa’ kondiviża. Għad trid tkun taf liema servizzi, konfigurazzjonijiet, ċwievet, reġjuni, u integrazzjonijiet huma affettwati.
Tonqos milli toħloq evidenza tal-awditjar. Pjan ta’ migrazzjoni li ma jistax jiġi evidenzjat mhux se jissodisfa lill-maniġment, lir-regolaturi, lill-klijenti, jew lill-awdituri.
Taqbeż l-ittestjar tal-prestazzjoni u l-interoperabbiltà. Algoritmi post-kwantistiċi jistgħu jaffettwaw id-daqs tal-payload, l-imġiba tal-handshake, il-latenza, il-ħażna, ir-restrizzjonijiet embedded, u l-kompatibbiltà.
Metriċi li s-CISO għandu jirrapporta lill-bord
Ir-rappurtar lill-bord għandu jkun sempliċi biżżejjed biex jinftiehem u speċifiku biżżejjed biex imexxi l-azzjoni. Evita dibattiti profondi dwar l-algoritmi. Iffoka fuq l-espożizzjoni, il-progress, id-deċiżjonijiet, u r-riskju residwu.
| Metrika | Tifsira fil-livell tal-bord |
|---|---|
| Perċentwal ta’ servizzi kritiċi b’inventarju kriptografiku komplut | Juri l-viżibbiltà |
| Perċentwal ta’ data sensittiva b’ħajja twila mmappjata ma’ kontrolli kriptografiċi | Juri t-tħejjija għal “harvest now, decrypt later” |
| Numru ta’ fornituri kritiċi li ntbagħtilhom pjan direzzjonali post-kwantistiku u li minnhom waslet risposta | Juri t-tħejjija ta’ partijiet terzi |
| Numru ta’ eċċezzjonijiet kriptografiċi b’riskju għoli | Juri espożizzjoni mhux ġestita |
| Perċentwal ta’ applikazzjonijiet kritiċi evalwati għall-aġilità kriptografika | Juri l-fattibbiltà tal-migrazzjoni |
| Status tat-tlestija tal-pilota | Juri progress prattiku |
| Azzjonijiet ta’ trattament miftuħa li qabżu d-data ta’ skadenza | Juri riskju ta’ eżekuzzjoni |
| Xejra tar-riskju residwu | Turi jekk il-programm hux inaqqas l-espożizzjoni |
Messaġġ utli lill-bord jista’ jinstema’ hekk:
“Lestejna l-iskoperta kriptografika għal 72 fil-mija tas-servizzi kritiċi. Żewġ sistemi għandhom espożizzjoni kritika ta’ kunfidenzjalità b’ħajja twila, u tliet fornituri għadhom ma pprovdewx pjanijiet direzzjonali post-kwantistiċi. Neddejna proġett ta’ tħejjija għall-iffirmar tal-kodiċi u rieżami tad-dipendenzi fuq cloud KMS. Illum mhix rakkomandata sostituzzjoni ta’ emerġenza, iżda l-inċertezza tal-fornituri tibqa’ l-akbar riskju residwu.”
Dik hija l-lingwa ta’ riskju ċibernetiku b’governanza.
Lista ta’ kontroll prattika biex tibda din il-ġimgħa
M’għandekx għalfejn tistenna ċertezza perfetta. Ibda b’passi li jtejbu l-viżibbiltà u l-governanza minnufih.
- Aħtar sid għall-kriptografija post-kwantistika.
- Żid ir-riskju kriptografiku relatat mal-kwantum fir-Reġistru tar-Riskji tal-ISMS.
- Identifika l-aqwa għaxar servizzi b’data sensittiva b’ħajja twila jew impatt għoli fuq l-integrità.
- Ibni CBOM minimu vijabbli għal dawk is-servizzi.
- Itlob lill-fornituri kritiċi l-pjan direzzjonali post-kwantistiku tagħhom.
- Irrevedi l-politiki dwar il-kriptografija, l-iżvilupp sigur, il-fornituri, u l-assi.
- Identifika sistemi b’algoritmi hardcoded, libreriji skaduti, rotazzjoni manwali taċ-ċertifikati, jew sjieda dgħajfa.
- Agħżel pilota wieħed b’riskju baxx għall-ittestjar tal-aġilità kriptografika.
- Iddefinixxi metriċi tal-bord u frekwenza tar-rappurtar.
- Skeda awditjar intern iffukat fuq il-governanza kriptografika u l-evidenza.
L-aktar pass importanti huwa li tbiddel l-inċertezza f’xogħol immaniġġjat. Ir-riskju kwantistiku jista’ jħares lejn il-futur, iżda d-dejn kriptografiku jeżisti llum.
Passi li jmiss ma’ Clarysec
Il-migrazzjoni post-kwantistika se tkun waħda mill-aktar tranżizzjonijiet tas-sigurtà kumplessi tad-deċennju li ġej, għaliex tmiss l-identità, l-iċċifrar, il-firem, il-fornituri, il-cloud, is-softwer, l-apparati, l-arkivji, u l-evidenza tal-awditjar. Organizzazzjonijiet li jibdew bil-governanza u bl-inventarju jimxu aktar malajr minn dawk li jistennew ċiklu ta’ sostituzzjoni fl-aħħar minuta.
Clarysec jista’ jgħinek tibni pjan ta’ migrazzjoni tal-kriptografija lest għall-era kwantistika bl-użu ta’:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap għal implimentazzjoni f’fażijiet u l-kapaċità li tintwera l-konformità
- Zenith Controls: The Cross-Compliance Guide għall-immappjar ta’ ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA, u NIS2
- Politika dwar il-kriptografija u l-ġestjoni taċ-ċwievet għal regoli kriptografiċi lesti għall-governanza
- Politika tas-sigurtà ta’ partijiet terzi u tal-fornituri għal rekwiżiti dwar pjanijiet direzzjonali tal-fornituri u assigurazzjoni
- Politika dwar l-iżvilupp sigur għal prattiki ta’ inġinerija aġli kriptografikament
L-aħjar ħin biex tibda l-ippjanar post-kwantistiku huwa qabel ma regolatur, awditur, klijent, jew membru tal-bord jitlob evidenza. Ibda bl-inventarju, qabbdu mar-riskju, u ibni l-mogħdija tal-migrazzjoni deċiżjoni kkontrollata wara oħra.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
