⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Akkwist secure-by-demand tas-software fl-2026

Igor Petreski

Huwa t-Tlieta filgħodu fil-bidu tal-2026, u Maria, is-CISO ta’ kumpanija Ewropea tal-pagamenti li qed tikber b’ritmu mgħaġġel, qed tippreżenta lill-bord. L-aħħar punt fuq l-aġenda kellu jkun wieħed ta’ rutina: approvazzjoni għal pjattaforma ġdida ta’ skoperta tal-frodi bbażata fuq AI. Il-fornitur għandu demo impressjonanti, skont għal żmien limitat, ħarsa ġenerali tas-sigurtà fuq paġna waħda u kuntratt standard.

Imbagħad jibdew il-mistoqsijiet.

Il-Kap Eżekuttiv jistaqsi, “Kif nafu li din il-pjattaforma hija sigura? Il-klijenti tagħna fis-servizzi finanzjarji qed jitolbu evidenza ta’ konformità ma’ DORA, u dan il-fornitur se jsir parti mill-infrastruttura kritika tagħna.”

Il-funzjoni legali tistaqsi jekk il-Ftehim dwar l-Ipproċessar tad-Dejta huwiex lest, fejn se tiġi pproċessata d-dejta tal-klijenti tal-UE u jekk is-subproċessuri humiex żvelati. Ir-responsabbli mir-reżiljenza operattiva jistaqsi dwar l-ippjanar tal-ħruġ, l-esportazzjonijiet tal-backups u l-kontinwità għal funzjonijiet kritiċi. L-inġinier tas-sigurtà tal-prodott jitlob żvelar tal-vulnerabbiltajiet, evidenza tal-applikazzjoni tal-patches u SBOM jew dikjarazzjoni ekwivalenti ta’ trasparenza tal-komponenti. L-akkwist jistaqsi l-mistoqsija li tagħmel ir-riskju tal-fornitur għalja: “Nistgħu napprovaw issa u niġbru d-dokumenti wara l-firma?”

Dak huwa l-mument meta l-akkwist modern tas-software jew isir kontroll, jew isir rapport futur ta’ inċident.

Fl-2026, l-akkwist sigur tas-software ma jistax jiddependi fuq goodwill wara l-kuntratt. Is-sigurtà tal-katina tal-provvista taħt NIS2, ir-riskju tal-ICT minn partijiet terzi taħt DORA, ir-responsabbiltà tal-proċessur taħt GDPR u l-aspettattivi tas-sigurtà tal-prodott taħt is-Cyber Resilience Act mexxew l-assigurazzjoni tal-fornituri lejn il-punt tad-deċiżjoni tal-akkwist. Ix-xerrejja għandhom bżonn akkwist secure-by-demand tas-software, fejn il-klijent jiddefinixxi l-evidenza tas-sigurtà, il-klawżoli kuntrattwali, il-gates tal-onboarding u r-responsabbiltajiet operattivi qabel ix-xiri.

Għall-klijenti ta’ Clarysec, it-tweġiba mhijiex spreadsheet oħra li tintilef fl-email. Hija sistema ta’ kontroll tal-akkwist allinjata ma’ ISO/IEC 27001:2022, immappjata permezz tal-politiki ta’ Clarysec, il-Zenith Blueprint: An Auditor’s 30-Step Roadmap u Zenith Controls, sabiex kull xiri ta’ software jew SaaS ikollu traċċa difensibbli mill-ħtieġa tan-negozju sad-deċiżjoni dwar ir-riskju tal-fornitur.

Secure-by-demand huwa l-kontroll il-ġdid tal-akkwist tas-software

Is-sigurtà mid-disinn normalment tiġi diskussa min-naħa tal-fornitur. Secure-by-demand hija d-dixxiplina min-naħa tax-xerrej: l-organizzazzjoni tirrifjuta li tixtri software sakemm il-fornitur ma jkunx jista’ juri li s-sigurtà, il-privatezza, ir-reżiljenza, il-ġestjoni tal-vulnerabbiltajiet u l-awditabbiltà huma mibnija fl-offerta.

Dan ibiddel il-konverżazzjoni tax-xiri. Minflok jistaqsi, “Għandkom sigurtà?”, l-akkwist jistaqsi mistoqsijiet aktar preċiżi:

  • Liema dejta se tipproċessaw, fejn u taħt liema rwol legali?
  • Liema funzjoni tan-negozju se tiddependi fuqkom, u kemm hija kritika?
  • X’evidenza turi li l-kontrolli tagħkom joperaw, mhux biss li huma dokumentati?
  • Għal liema skadenzi tan-notifika ta’ inċidenti se timpenjaw ruħkom?
  • X’evidenza dwar żvelar tal-vulnerabbiltajiet, applikazzjoni tal-patches, SBOM jew VEX tistgħu tipprovdu?
  • Liema sottokuntratturi jew subproċessuri se jkollhom kuntatt mad-dejta jew mas-servizz tagħna?
  • Nistgħu nawditjaw, nispezzjonaw jew nitolbu evidenza matul it-terminu tal-kuntratt?
  • X’jiġri f’każ ta’ terminazzjoni, migrazzjoni, ksur, insolvenza jew mistoqsija regolatorja?

ISO/IEC 27001:2022 jipprovdi l-bażi tas-sistema ta’ ġestjoni għal din il-bidla. Clause 4 teħtieġ li l-organizzazzjoni tifhem il-kuntest, il-partijiet interessati u l-kamp ta’ applikazzjoni tal-ISMS, inklużi r-rekwiżiti regolatorji esterni u dawk tal-fornituri. Clause 5 tbiddel ir-riskju tal-fornitur f’responsabbiltà ta’ tmexxija u governanza. Clause 6 teħtieġ valutazzjoni tar-riskju, trattament tar-riskju, għażla ta’ kontrolli, Dikjarazzjoni ta’ Applikabbiltà u deċiżjonijiet dwar ir-riskju residwu. Clause 8 teħtieġ tħaddim ikkontrollat tal-proċessi, inklużi proċessi pprovduti esternament. Clause 9 teħtieġ monitoraġġ, awditjar intern u rieżami tal-ġestjoni.

Dan ifisser li l-akkwist tas-software mhuwiex sempliċiment workflow kummerċjali. Isir proċess tal-ISMS imħaddem u adattat għall-awditjar. Ir-regolaturi u l-awdituri dejjem aktar jistaqsu għaliex organizzazzjoni aċċettat fornitur qabel ma fehmet ir-riskju. L-akkwist secure-by-demand jagħti tweġiba ċara: ir-riskju ġie evalwat, ittrattat, ikkuntrattat u assenjat qabel ma nħolqot id-dipendenza.

Għaliex NIS2, DORA, GDPR u CRA jiltaqgħu fl-għażla tal-fornituri

Il-bord ta’ Maria qed jistaqsi l-mistoqsijiet it-tajba għax fornitur wieħed tas-software jista’ jiskatta diversi obbligi f’daqqa.

NIS2 japplika skont is-settur, id-daqs u l-kritikalità, b’Annex I u Annex II idaħħlu ħafna organizzazzjonijiet diġitali, finanzjarji, infrastrutturali, ta’ servizzi ġestiti u dipendenti fuq il-cloud fil-kamp ta’ applikazzjoni. Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati, inklużi sigurtà tal-katina tal-provvista, akkwist sigur, żvilupp u manutenzjoni siguri, ġestjoni tal-vulnerabbiltajiet, kontroll tal-aċċess, ġestjoni tal-assi, kontinwità, ġestjoni tal-inċidenti u evalwazzjoni tal-effettività tal-kontrolli. Article 21(3) jeħtieġ b’mod speċifiku attenzjoni għall-vulnerabbiltajiet tal-fornituri diretti u għall-prattiki taċ-ċibersigurtà tal-fornituri. Article 23 joħloq aspettattivi ta’ rappurtar fi stadji għal inċidenti sinifikanti, inkluża twissija bikrija fi żmien 24 siegħa u notifika fi żmien 72 siegħa.

DORA japplika mis-17 ta’ Jannar 2025 għal entitajiet finanzjarji fil-kamp ta’ applikazzjoni. Joħloq rekwiżiti uniformi għall-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti relatati mal-ICT, l-ittestjar tar-reżiljenza operattiva diġitali u l-ġestjoni tar-riskju tal-ICT minn partijiet terzi. DORA huwa partikolarment preskrittiv għall-akkwist. Entitajiet finanzjarji għandhom bżonn strateġiji għar-riskju tal-ICT minn partijiet terzi, reġistri ta’ arranġamenti ta’ servizzi tal-ICT, diliġenza dovuta, analiżi tar-riskju ta’ konċentrazzjoni, kuntratti bil-miktub b’dispożizzjonijiet ta’ sigurtà u reżiljenza, drittijiet ta’ awditjar u aċċess, obbligi ta’ kooperazzjoni, drittijiet ta’ terminazzjoni u pjanijiet ta’ ħruġ. Articles 28 u 30 huma ċentrali għar-riskju tal-ICT minn partijiet terzi u għall-kontrolli kuntrattwali, filwaqt li Articles 17 sa 23 jiffurmaw il-ġestjoni u r-rappurtar tal-inċidenti.

GDPR iżid il-gate tar-responsabbiltà tal-proċessur. Articles 5, 28, 32, 33 u 34 jeħtieġu responsabbiltà, kuntratti tal-proċessur, sigurtà xierqa, kooperazzjoni fin-notifika ta’ ksur u ġestjoni tal-impatt fuq is-suġġetti tad-dejta. Fornitur SaaS li jipproċessa dejta personali mhuwiex sempliċiment fornitur. Isir parti mill-pożizzjoni tal-konformità tal-kontrollur. Id-DPA, il-miżuri tekniċi u organizzattivi, il-lista tas-subproċessuri, is-salvagwardji tat-trasferiment, ir-regoli taż-żamma u l-obbligi tat-tħassir għandhom jinftiehmu qabel ma jibda l-ipproċessar.

L-aspettattivi tas-CRA jżidu l-assigurazzjoni tal-prodott. Anki fejn ix-xerrej mhuwiex il-manifattur, it-timijiet tal-akkwist għandhom jitolbu evidenza ta’ żvilupp sigur, ġestjoni tal-vulnerabbiltajiet, appoġġ tal-prodott, aġġornamenti tas-sigurtà, żvelar koordinat tal-vulnerabbiltajiet u trasparenza tal-komponenti, bħal SBOM jew dikjarazzjoni ekwivalenti. Dawn ir-rekwiżiti għandhom ikunu fl-RFPs, fl-annessi tas-sigurtà u fil-gates ta’ aċċettazzjoni.

It-tema komuni hija sempliċi: l-organizzazzjoni li tixtri trid tkun taf x’qed tixtri, x’riskju qed iddaħħal u x’evidenza tista’ tipproduċi meta jistaqsu r-regolaturi, il-klijenti jew l-awdituri.

Is-sinsla tal-kontrolli ISO 27001 għall-assigurazzjoni tal-fornituri

L-aktar mudell effettiv ta’ akkwist secure-by-demand mhuwiex regolament b’regolament. Huwa bbażat fuq il-kontrolli. Clarysec tuża ISO/IEC 27001:2022 bħala s-sinsla tal-ISMS, appoġġata mill-gwida tal-kontrolli ISO/IEC 27002:2022 u minn immappjar trasversali tal-konformità f’Zenith Controls.

F’Zenith Controls, l-assigurazzjoni tal-fornituri hija ankrata madwar il-kontrolli ISO/IEC 27002:2022 5.19, 5.20 u 5.21. Dawn mhumiex punti iżolati f’lista ta’ kontroll. Jiffurmaw ċiklu tal-ħajja tal-akkwist.

Kontroll ISO/IEC 27002:2022Mistoqsija tal-akkwistEvidenza secure-by-demandRiskju primarju mnaqqas
5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituriGħandna ninvolvu lil dan il-fornitur?Klassifikazzjoni tal-fornitur, diliġenza dovuta, klassifikazzjoni tar-riskju, sjieda, frekwenza ta’ rivalutazzjoniEspożizzjoni mhux magħrufa tal-fornitur
5.20 Indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituriIr-rekwiżiti tagħna jistgħu jiġu infurzati?Anness tas-sigurtà, DPA, SLA, drittijiet ta’ awditjar, notifika ta’ inċidenti, klawżoli tas-sottokuntratturi, klawżoli tal-ħruġDgħufija kuntrattwali
5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICTDipendenzi ICT downstream jistgħu jikkompromettuna?Lista tas-sottokuntratturi, kontrolli tas-subproċessuri, arkitettura cloud, evidenza tal-komponenti, ġestjoni tal-vulnerabbiltajiet, analiżi tal-konċentrazzjoniRiskju moħbi tal-katina tal-provvista u tat-teknoloġija

Zenith Controls jimmappja dawn il-kontrolli ISO ma’ aspettattivi regolatorji u ta’ awditjar. Ma joħloqx kontrolli proprjetarji separati msejħa Zenith Controls. Jgħin lit-timijiet jifhmu kif il-kontrolli ISO/IEC 27002:2022 jappoġġaw NIS2, DORA, GDPR, NIST CSF 2.0 u assigurazzjoni orjentata lejn COBIT.

In-netwerk ta’ kontrolli ta’ appoġġ huwa importanti wkoll. L-assigurazzjoni tal-fornituri tikkonnettja mal-ġestjoni tal-assi, il-kontroll tal-aċċess, is-sigurtà tal-cloud, il-ġestjoni tal-vulnerabbiltajiet, il-logging, il-ġestjoni tal-inċidenti, it-tħejjija tal-ICT għall-kontinwità tan-negozju, l-iżvilupp sigur, is-sigurtà tal-applikazzjonijiet, il-ġestjoni tal-konfigurazzjoni, il-backup, ir-ridondanza, il-konformità legali, il-privatezza, il-ġestjoni tat-tibdil u r-rieżami indipendenti. L-akkwist jikkoordina l-proċess, iżda s-sjieda tar-riskju għandha tinkludi s-sid tan-negozju, is-sigurtà tal-informazzjoni, il-funzjoni legali, il-privatezza, l-IT, il-finanzi u s-sid tas-servizz.

Gates tal-politika ta’ Clarysec qabel il-firma

Il-mudell tal-politiki ta’ Clarysec deliberatament imexxi l-assigurazzjoni tal-fornituri upstream. L-aktar lingwaġġ b’saħħtu jidher fejn għandu jkun: qabel ma jiġu ffirmati l-ftehimiet, qabel ma jiġu attivati abbonamenti cloud u qabel ma tinqasam id-dejta.

Il-verżjoni SME tal-Third-Party and Supplier Security Policy ta’ Clarysec tgħid:

Ivvaluta u ddokumenta r-riskji tal-fornituri qabel ma jiġu ffirmati l-ftehimiet jew jingħata l-aċċess.

Dan ġej mit-taqsima “Objettivi”, klawżola tal-politika 3.3. Il-klawżola hija qasira għax l-intenzjoni tal-kontroll mhijiex negozjabbli: l-ebda valutazzjoni tar-riskju, l-ebda kuntratt, l-ebda aċċess.

Għal ambjenti ta’ intrapriża, il-Third party and supplier security policy ta’ Clarysec issaħħaħ il-gate ta’ qabel il-kuntratt:

Il-fornituri l-ġodda kollha għandhom jgħaddu minn evalwazzjoni tas-sigurtà dokumentata qabel l-eżekuzzjoni tal-kuntratt.

Dan ġej mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1. L-istess politika tidentifika wkoll “Drittijiet ta’ awditjar, spezzjoni u talba għal evidenza tas-sigurtà” fit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.3.4.

Għal xiri ta’ cloud u SaaS, il-Cloud Usage Policy SME żżid gate prattiku ta’ approvazzjoni:

L-użu kollu ta’ servizzi cloud għandu jiġi rieżaminat u approvat mill-Maniġer Ġenerali (GM) qabel l-implimentazzjoni jew l-abbonament.

Dan ġej mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1. F’organizzazzjoni żgħira, dik l-approvazzjoni tista’ tkun l-ekwivalenti ta’ bord ta’ governanza tal-cloud. F’intrapriża, issir workflow bejn l-akkwist, is-sigurtà, il-privatezza u l-arkitettura. Il-Cloud Usage Policy tal-intrapriża tappoġġa wkoll rekwiżiti kuntrattwali tal-cloud, inklużi dispożizzjonijiet li jistgħu jiġu infurzati f’kuntratti CSP.

Għall-akkwist tas-software, il-Application Security Requirements Policy tal-intrapriża hija espliċita:

L-akkwist ta’ software jew arranġamenti ta’ esternalizzazzjoni għandhom jinkludu rekwiżiti tas-sigurtà f’RFPs, kuntratti u SLAs, inklużi dispożizzjonijiet għal skadenzi ta’ rimedju tal-vulnerabbiltajiet u drittijiet ta’ awditjar minn partijiet terzi.

Dan ġej mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.4. Innota l-ordni: RFPs, kuntratti u SLAs. Is-sigurtà tidher fl-istadju tal-involviment tas-suq, mhux bħala anness wara l-għoti.

Għal akkwist immexxi minn GDPR, il-Legal and Regulatory Compliance Policy SME ta’ Clarysec teħtieġ:

Klawżoli tal-Ftehim dwar l-Ipproċessar tad-Dejta (DPA) jew termini kuntrattwali ekwivalenti għandhom jiġu miftiehma qabel ma tinqasam kwalunkwe dejta personali jew sensittiva.

Dan ġej mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.3.2. Dan jipprevjeni wieħed mill-aktar fallimenti komuni tal-onboarding tas-SaaS: it-tlugħ ta’ dejta personali f’għodda qabel ma jiġu miftiehma t-termini tal-proċessur, l-obbligi f’każ ta’ ksur u l-kundizzjonijiet tas-subproċessuri.

Għas-sigurtà tal-applikazzjonijiet tal-fornituri, il-Application Security Requirements Policy SME teħtieġ li l-akkwist:

jispeċifika obbligi għaż-żvelar tal-vulnerabbiltajiet, il-ħinijiet ta’ rispons u l-applikazzjoni tal-patches.

Dan ġej mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.3.2. Tgħid ukoll:

Il-GM għandu jitlob dokumentazzjoni jew ċertifikazzjonijiet (eż., SOC 2, ISO 27001, rapporti tat-testijiet tas-sigurtà) bħala evidenza tal-konformità tal-fornitur, fejn applikabbli.

Dan ġej mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.3.2. Il-kelma ewlenija hija evidenza. L-akkwist secure-by-demand mhuwiex ibbażat fuq dikjarazzjonijiet ta’ fiduċja. Huwa bbażat fuq artifacts li jistgħu jiġu rieżaminati.

Il-gate tal-akkwist ta’ Zenith Blueprint

Il-Zenith Blueprint jittratta s-sigurtà tal-fornituri bħala kontroll imħaddem, mhux bħala slogan tal-akkwist. Fil-fażi Controls in Action, Step 23 ikopri Organizational controls 5.19 sa 5.37, inkluża s-sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri.

Il-Blueprint jispjega:

Jibda bil-klassifikazzjoni tal-fornitur. Mhux il-fornituri kollha jġorru l-istess riskju. Servizz tat-tindif jista’ jkollu aċċess fiżiku għall-uffiċċji, iżda mhux għan-netwerks. Ditta ta’ penetration testing jew fornitur ta’ hosting cloud, min-naħa l-oħra, jista’ jkollhom aċċess tekniku profond fil-qalba stess tal-infrastruttura tiegħek. Il-klassifikazzjoni għandha tikkunsidra jekk il-fornitur jimmaniġġjax jew jipproċessax l-informazzjoni tiegħek direttament, jekk jipprovdix infrastruttura jew pjattaformi li fuqhom topera, jekk jimmaniġġjax jew iżommx sistemi f’ismek, u jekk kompromess tiegħu jistax jaffettwa l-objettivi tiegħek ta’ kunfidenzjalità, integrità jew disponibbiltà.

Għall-kontroll 5.20, il-Blueprint huwa dirett:

L-oqsma ewlenin li tipikament jiġu indirizzati fil-ftehimiet mal-fornituri jinkludu obbligi ta’ kunfidenzjalità; responsabbiltajiet tal-kontroll tal-aċċess; miżuri tekniċi u organizzattivi għall-protezzjoni tad-dejta, l-iċċifrar, it-trażmissjoni sigura, il-backup u impenji ta’ disponibbiltà; skadenzi u protokolli għar-rappurtar tal-inċidenti; id-dritt ta’ awditjar, inklużi l-frekwenza, il-kamp ta’ applikazzjoni u l-aċċess għal evidenza rilevanti; kontrolli tas-sottokuntratturi; u dispożizzjonijiet tat-tmiem tal-kuntratt bħar-ritorn jew il-qerda tad-dejta, l-irkupru tal-assi u d-diżattivazzjoni tal-kontijiet.

Jikkonkludi li l-kontroll 5.20 huwa “l-aħħar linja ta’ influwenza tiegħek” u “jappartjeni fil-gate tal-akkwist.” Ladarba jiġi ffirmat il-kuntratt, l-influwenza tonqos. Qabel il-firma, l-evidenza u l-obbligi jistgħu jsiru kundizzjonijiet tax-xiri.

Għal żvilupp esternalizzat, il-fażi Controls in Action, Step 21, kontroll 8.30, iżżid rekwiżit ieħor tal-akkwist. Il-Blueprint jgħid:

Fil-qalba ta’ dan il-kontroll hemm il-prinċipju li s-sigurtà għandha tkun rekwiżit kuntrattwali, mhux aspettattiva verbali.

Timijiet esternalizzati għandhom jilħqu l-istess standards ta’ żvilupp sigur bħat-timijiet interni, inklużi analiżi statika, reviżjoni bejn il-pari, iċċifrar, MFA għar-repożitorji u viżibbiltà fil-kodiċi, deċiżjonijiet tal-arkitettura, vulnerabbiltajiet, talbiet għal tibdil, logs ta’ CI/CD u riżultati tal-iskannjar.

Ibni gate RFP secure-by-demand f’nofsinhar

Assumi li l-organizzazzjoni tiegħek trid pjattaforma ta’ analitika tal-klijenti. Se ddaħħal identifikaturi tal-klijenti, avvenimenti tal-imġiba, metadata tal-appoġġ u referenzi tat-tranżazzjonijiet. Is-sid tan-negozju jrid approvazzjoni rapida. It-tim tas-sigurtà għandu ġimgħa.

Ibda b’reġistru tal-gate tal-akkwist billi tuża l-Third party and supplier security policy, Application Security Requirements Policy, Cloud Usage Policy, Legal and Regulatory Compliance Policy u Step 23 tal-Zenith Blueprint bħala dokumenti sors.

Qasam tal-gateEżempju ta’ dħul
Isem il-forniturFornitur SaaS ta’ analitika tal-klijenti
Tip ta’ servizzCloud SaaS li jipproċessa dejta tal-klijenti u tal-użu
Sid tan-negozjuKap tal-Operazzjonijiet tal-Klijenti
Dejta involutaIdentifikaturi tal-klijenti, avvenimenti tal-użu, metadata tal-appoġġ, referenzi tat-tranżazzjonijiet
Rwol taħt GDPRIl-fornitur x’aktarx proċessur, l-organizzazzjoni kontrollur
KritikalitàGħolja jekk tintuża għal deċiżjonijiet tas-servizz tal-klijenti, medja jekk tintuża biss għall-analitika
Rilevanza għal NIS2Il-fornitur jappoġġa operazzjonijiet ta’ servizzi diġitali u jista’ jaffettwa l-impatt ta’ inċident
Rilevanza għal DORARilevanti jekk l-analitika tappoġġa operazzjonijiet tas-servizzi finanzjarji jew rappurtar ta’ funzjoni kritika
Rilevanza tal-assigurazzjoni tas-CRASigurtà tal-prodott, ġestjoni tal-vulnerabbiltajiet, appoġġ tal-aġġornamenti, trasparenza tal-komponenti
Klassifikazzjoni inizjali tar-riskjuGħolja sakemm tkun pendenti evidenza tad-DPA, tal-inċidenti, tas-sottokuntratturi u tal-esportazzjoni
Kundizzjoni ta’ approvazzjoniL-ebda kuntratt qabel evalwazzjoni tas-sigurtà, DPA u rieżami tal-anness tas-sigurtà

Ehmeż kwestjonarju secure-by-demand mal-RFP. Evita mistoqsijiet ġeneriċi bħal “Tikkriptaw id-dejta?” Staqsi mistoqsijiet immexxija mill-evidenza:

  1. Ipprovdi r-rapport attwali tiegħek ta’ assigurazzjoni tas-sigurtà indipendenti, iċ-ċertifikat jew evidenza ekwivalenti tal-kontrolli.
  2. Identifika l-postijiet tal-hosting, l-għażliet ta’ residenza tad-dejta, il-postijiet tal-backup u l-postijiet tal-aċċess għall-appoġġ.
  3. Ipprovdi d-DPA, il-lista tas-subproċessuri u l-proċess tan-notifika għal bidliet fis-subproċessuri.
  4. Ikkonferma l-iskadenzi tan-notifika ta’ inċidenti, inkluż appoġġ għal twissija bikrija fi żmien 24 siegħa fejn jistgħu jiġu skattati workflows ta’ NIS2 u appoġġ għal rappurtar fi stadji għal klijenti regolati minn DORA.
  5. Ipprovdi politika ta’ żvelar tal-vulnerabbiltajiet, SLAs tal-patches skont is-severità u evidenza ta’ governanza reċenti tar-rimedju tal-vulnerabbiltajiet.
  6. Ipprovdi evidenza tas-sigurtà tal-prodott, bħal deskrizzjoni taċ-ċiklu tal-ħajja tal-iżvilupp sigur, sommarju ta’ test ta’ penetrazzjoni, SBOM jew dikjarazzjoni ta’ trasparenza tal-komponenti u perjodu ta’ appoġġ għall-aġġornamenti tas-sigurtà.
  7. Ikkonferma MFA, il-prinċipju tal-inqas privileġġ, logging, monitoraġġ tal-aċċess amministrattiv u drittijiet ta’ awditjar tal-klijent jew talba għal evidenza.
  8. Iddeskrivi esportazzjoni, tħassir, ritorn, appoġġ għat-terminazzjoni u assistenza għat-tranżizzjoni.
  9. Elenka sottokuntratturi materjali u dipendenzi ICT li jappoġġaw is-servizz.
  10. Ikkonferma jekk id-dejta tal-klijenti tintużax għal taħriġ, analitika, titjib tal-prodott jew żvilupp ta’ mudelli AI, u identifika l-bażi legali jew il-mudell ta’ istruzzjoni tal-proċessur.

Imbagħad skorja l-fornitur qabel in-negozjar.

Qasam tar-rekwiżitKundizzjoni ta’ suċċessKundizzjoni ta’ rifjut jew eskalazzjoni
Evidenza tas-sigurtàRapport ta’ assigurazzjoni attwali, sommarju tat-test tas-sigurtà jew dokumentazzjoni ekwivalentiDikjarazzjonijiet ta’ marketing biss, l-ebda evidenza disponibbli
Tħejjija tal-proċessur taħt GDPRDPA aċċettat qabel il-qsim tad-dejta, subproċessuri żvelatiDPA differit sa wara l-onboarding jew termini vagi dwar subproċessuri
Impenji dwar inċidentiSkadenza ta’ notifika kuntrattwali, kuntatti ta’ eskalazzjoni, appoġġ għall-impatt fuq il-klijentIl-fornitur jirrifjuta obbligi speċifiċi ta’ notifika jew kooperazzjoni
Ġestjoni tal-vulnerabbiltajietKanal ta’ żvelar, SLA ta’ rimedju bbażat fuq is-severità, evidenza tal-proċess tal-patchesL-ebda proċess ta’ żvelar jew l-ebda impenn ta’ rimedju
Katina tal-provvista tal-ICTHosting, sottokuntratturi u dipendenzi kritiċi żvelatiIl-fornitur ma jidentifikax fornituri downstream kritiċi
Ħruġ u reżiljenzaEsportazzjoni, tħassir, backup u assistenza fit-terminazzjoni dokumentatiL-ebda evidenza ta’ esportazzjoni jew tħassir ittestjati
AwditabbiltàDritt li tintalab evidenza, li ssir spezzjoni jew awditjar b’mod proporzjonatIl-fornitur ma jippermetti l-ebda assigurazzjoni sinifikanti wara l-firma

Fl-aħħar, aġġorna r-Reġistru tar-Riskji u d-Dikjarazzjoni ta’ Applikabbiltà. Ir-reġistru tat-trattament tar-riskju għandu juri għaliex il-kontrolli ISO/IEC 27002:2022 5.19, 5.20 u 5.21 japplikaw, liema rekwiżiti kuntrattwali u tekniċi ntgħażlu, min hu s-sid tar-riskju residwu u liema frekwenza ta’ monitoraġġ tapplika. Jekk in-negozju jrid jipproċedi minkejja lakuni, uża reġistru formali ta’ Aċċettazzjoni tar-riskju b’data tal-iskadenza, kontrolli kumpensatorji u approvazzjoni eżekuttiva.

Klawżoli kuntrattwali li jbiddlu r-regolament f’obbligi infurzabbli

L-aspettattivi tas-sigurtà għandhom isiru impenji kuntrattwali. Ċertifikat jista’ jkun utli, iżda rarament iwieġeb kull mistoqsija dwar is-servizz eżatt tiegħek, il-post tad-dejta, is-sottokuntratturi, il-mudell ta’ appoġġ, l-impenji dwar inċidenti jew id-drittijiet tal-ħruġ.

Domanda regolatorjaGwida tal-politika ta’ ClarysecEżempju ta’ klawżola kuntrattwali
DORA Article 30 drittijiet ta’ awditjar u strateġija ta’ ħruġThird party and supplier security policy, klawżola 5.3.4 teħtieġ “Drittijiet ta’ awditjar, spezzjoni u talba għal evidenza tas-sigurtà”Il-fornitur jaqbel li jipprovdi aċċess għal dokumentazzjoni tas-sigurtà rilevanti wara avviż raġonevoli u li jappoġġa ritorn tad-dejta, tħassir u tranżizzjoni tas-servizz b’mod ordnat mat-terminazzjoni.
NIS2 Article 21 sigurtà tal-katina tal-provvista u ġestjoni tal-vulnerabbiltajietApplication Security Requirements Policy, klawżola 5.4 teħtieġ skadenzi ta’ rimedju tal-vulnerabbiltajiet u drittijiet ta’ awditjar minn partijiet terziIl-fornitur għandu jżomm proċess ta’ żvelar tal-vulnerabbiltajiet, jinnotifika lill-Klijent dwar vulnerabbiltajiet kritiċi li jaffettwaw is-servizz u jipprovdi skadenzi ta’ rimedju bbażati fuq is-severità.
GDPR Article 28 obbligi tal-proċessurLegal and Regulatory Compliance Policy, klawżola 6.3.2 teħtieġ termini tad-DPA qabel il-qsim tad-dejtaIl-Ftehim jinkorpora Ftehim dwar l-Ipproċessar tad-Dejta li jirregola d-dejta personali, is-subproċessuri, il-miżuri tas-sigurtà, il-kooperazzjoni f’każ ta’ ksur, iż-żamma u t-tħassir.
Governanza tas-servizzi cloudCloud Usage Policy, klawżola 5.1 teħtieġ rieżami u approvazzjoni qabel l-implimentazzjoni jew l-abbonamentIl-fornitur għandu jiżvela r-reġjuni tal-hosting, il-postijiet tal-backup, il-kontrolli tal-iċċifrar, il-kontrolli tal-aċċess amministrattiv u l-logs tal-aċċess għad-dejta tal-klijent.
Aspettattivi tas-sigurtà tal-prodott tas-CRAApplication Security Requirements Policy - SME, klawżola 5.3.2 teħtieġ żvelar tal-vulnerabbiltajiet, ħinijiet ta’ rispons u applikazzjoni tal-patchesIl-fornitur għandu jipprovdi evidenza tas-sigurtà tal-prodott, trasparenza tal-komponenti fejn applikabbli, żvelar koordinat tal-vulnerabbiltajiet u impenji ta’ aġġornamenti tas-sigurtà.

Din it-tabella hija l-pont prattiku bejn obbligi legali u xogħol tal-akkwist. Tgħin ukoll lill-funzjonijiet legali, tas-sigurtà u tal-akkwist jinnegozjaw mill-istess linja bażi ta’ kontrolli.

Immappjar trasversali tal-konformità: fajl wieħed tal-fornitur, ħafna obbligi

Il-vantaġġ li tuża ISO/IEC 27001:2022 bħala s-sinsla huwa li fajl wieħed ta’ assigurazzjoni tal-fornitur jista’ jappoġġa diversi konverżazzjonijiet regolatorji.

QafasX’għandu jipprova l-akkwistFokus tal-kontroll ta’ Clarysec
NIS2Sorveljanza tal-maniġment, sigurtà tal-katina tal-provvista, akkwist sigur, ġestjoni tal-vulnerabbiltajiet, ġestjoni tal-inċidenti, kontinwità u prattiki taċ-ċibersigurtà tal-fornituriKlassifikazzjoni tal-fornitur, klawżoli tas-sigurtà, impenji dwar vulnerabbiltajiet u inċidenti, monitoraġġ tal-fornitur
DORAStrateġija ICT għal partijiet terzi, reġistru tal-arranġamenti, diliġenza dovuta, analiżi tal-konċentrazzjoni, klawżoli kuntrattwali, drittijiet ta’ awditjar, kooperazzjoni f’inċidenti u pjanijiet ta’ ħruġReġistru tal-fornituri ICT, klassifikazzjoni tal-kritikalità, kontrolli kuntrattwali, evidenza tal-ittestjar tar-reżiljenza, appoġġ għat-terminazzjoni
GDPRRwoli ta’ kontrollur u proċessur, DPA qabel l-ipproċessar, sigurtà tal-ipproċessar, kooperazzjoni f’każ ta’ ksur, governanza tas-subproċessuri, evidenza ta’ responsabbiltàGate tad-DPA, immappjar tad-dejta, lista tas-subproċessuri, miżuri tekniċi u organizzattivi, impenji ta’ żamma u tħassir
Aspettattivi tas-CRASigurtà tal-prodott, żvilupp sigur, żvelar tal-vulnerabbiltajiet, appoġġ tal-aġġornamenti, trasparenza tal-komponenti u evidenza tas-sigurtàSkeda tas-sigurtà tal-prodott fl-RFP, SBOM jew evidenza ekwivalenti, SLAs tal-patches, obbligi ta’ żvelar tal-vulnerabbiltajiet
NIST CSF 2.0Ġestjoni tar-riskju tal-katina tal-provvista, rwoli tal-fornituri, kuntratti, diliġenza dovuta, monitoraġġ, ippjanar tal-inċidenti u ppjanar wara t-terminazzjoniAzzjonijiet ta’ lakuni fil-Current and Target Profile, reġistru tar-riskju tal-fornituri, frekwenza ta’ monitoraġġ
COBIT 2019 u prattika tal-awditjar ISACAGovernanza fuq is-sourcing, sjieda tar-riskju, objettivi tal-kontrolli, evidenza tal-proċessi u allinjament benefiċċju-riskju-riżorsiReġistri tad-deċiżjonijiet, RACI, Aċċettazzjoni tar-riskju, metriċi, traċċa ta’ awditjar intern

NIST CSF 2.0 huwa utli bħala saff ta’ komunikazzjoni. Il-funzjoni GOVERN tiegħu tenfasizza għarfien legali, regolatorju, kuntrattwali, tal-privatezza u tad-dipendenzi. Ir-riżultati GV.SC tal-katina tal-provvista jeħtieġu proċessi ta’ ġestjoni tar-riskju tal-katina tal-provvista, rwoli tal-fornituri, prijoritizzazzjoni tal-fornituri skont il-kritikalità, rekwiżiti kuntrattwali, diliġenza dovuta, monitoraġġ, ippjanar tal-inċidenti u ppjanar tat-terminazzjoni.

Dan jimmappa b’mod ċar ma’ Step 23 tal-Zenith Blueprint u l-kontrolli ISO/IEC 27002:2022 5.19 sa 5.21 kif immappjati f’Zenith Controls. Jagħti wkoll lill-bordijiet lingwa li jifhmu: stat attwali, stat fil-mira, lakuna, riskju, azzjoni, sid u data.

X’se jistaqsu l-awdituri

Proċess b’saħħtu ta’ akkwist secure-by-demand għandu jiflaħ għal perspettivi differenti ta’ awditjar.

Awditur ISO/IEC 27001:2022 jibda bil-kuntest u l-kamp ta’ applikazzjoni tal-ISMS. Jistaqsi jekk l-interfaċċi u d-dipendenzi tal-fornituri humiex inklużi, jekk ir-rekwiżiti tal-partijiet interessati jinkludux NIS2, DORA, GDPR u kuntratti tal-klijenti, u jekk ir-riskji tal-fornituri humiex evalwati b’mod konsistenti taħt il-metodoloġija tar-riskju. Issegwi t-traċċa fit-trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, il-kontrolli tal-fornituri, l-evidenza operattiva, l-awditjar intern u r-rieżami tal-ġestjoni.

Rieżaminatur ta’ DORA jiffoka fuq funzjonijiet tan-negozju appoġġati mill-ICT, funzjonijiet kritiċi jew importanti, reġistri tad-dipendenzi fuq partijiet terzi, klawżoli kuntrattwali, drittijiet ta’ awditjar u aċċess, kooperazzjoni f’inċidenti, ittestjar tar-reżiljenza, strateġiji ta’ ħruġ u riskju ta’ konċentrazzjoni. Jekk SaaS jappoġġa funzjoni kritika jew importanti, kwestjonarju ħafif tal-fornitur ma jkunx biżżejjed.

Awtorità NIS2 tistaqsi kif l-organizzazzjoni evalwat il-prattiki taċ-ċibersigurtà tal-fornituri, il-vulnerabbiltajiet tal-fornituri diretti, l-appoġġ għan-notifika ta’ inċidenti, id-dipendenzi tal-kontinwità u d-deċiżjonijiet ta’ akkwist sigur. Tivverifika jekk l-assigurazzjoni tal-fornituri tappoġġax l-obbligi proprji tal-organizzazzjoni taħt Article 21 u Article 23.

Rieżaminatur ta’ GDPR jistaqsi jekk ir-rwoli ta’ kontrollur u proċessur kinux mifhuma qabel ma beda l-ipproċessar, jekk DPA jew termini ekwivalenti kinux miftiehma qabel ma nqasmet id-dejta, jekk is-subproċessuri kinux żvelati, jekk il-miżuri tas-sigurtà kinux xierqa, jekk il-kooperazzjoni f’każ ta’ ksur hijiex kuntrattwali u jekk ir-ritorn jew it-tħassir tad-dejta jistgħux jiġu infurzati.

Awditur b’approċċ COBIT 2019 jew ISACA jiffoka fuq il-governanza u r-responsabbiltà: min approva l-fornitur, liema riskju ġie aċċettat, jekk ir-rekwiżiti tal-politika ġewx segwiti, jekk l-eċċezzjonijiet humiex traċċati u jekk il-benefiċċji, ir-riskju u r-riżorsi kinux ibbilanċjati.

Il-pakkett tal-evidenza tiegħek għandu jinkludi klassifikazzjoni tal-fornitur, approvazzjoni mis-sid tan-negozju, valutazzjoni tar-riskju, rekwiżiti tas-sigurtà tal-RFP, tweġibiet tal-fornitur, DPA, anness tas-sigurtà, SLA, drittijiet ta’ awditjar, reġistru tas-subproċessuri, impenji dwar vulnerabbiltajiet, klawżoli tal-inċidenti, evidenza tal-post cloud, evidenza ta’ logging u iċċifrar, termini ta’ ħruġ, reġistri ta’ rivalutazzjoni, eċċezzjonijiet u immappjar tad-Dikjarazzjoni ta’ Applikabbiltà.

Mudelli komuni ta’ falliment fix-xiri tas-software

L-ewwel falliment huwa li l-akkwist jiġi ttrattat bħala workflow kummerċjali u s-sigurtà bħala workflow tekniku. Sakemm is-sigurtà tirċievi l-kuntratt, in-negozju jkun diġà impenja ruħu psikoloġikament, id-data tal-implimentazzjoni tkun tħabbret u l-influwenza fin-negozjar tkun dgħajfa.

It-tieni falliment huwa s-sostituzzjoni tal-evidenza. Fornitur jipprovdi ċertifikat, u x-xerrej jassumi li dan iwieġeb kull mistoqsija. Iċ-ċertifikazzjoni tista’ tgħin, iżda tista’ ma tkoprix il-prodott eżatt, ir-reġjun tal-hosting, il-mudell ta’ appoġġ, il-katina tas-sottokuntratturi, l-obbligi tal-inċidenti, l-użu tad-dejta għall-AI jew ir-rekwiżiti tal-ħruġ.

It-tielet falliment huwa riskju downstream nieqes. Fornitur SaaS jista’ jiddependi fuq hosting cloud, għodod ta’ analitika, pjattaformi ta’ appoġġ, timijiet ta’ żvilupp offshore, fornituri ta’ mudelli AI u proċessuri tal-pagamenti. Il-kontroll ISO/IEC 27002:2022 5.21 jeħtieġ attenzjoni għall-katina tal-provvista tal-ICT wara l-fornitur dirett. Taħt DORA, dan jikkonnettja mas-sottokuntrattar u r-riskju ta’ konċentrazzjoni. Taħt GDPR, jikkonnettja mas-subproċessuri. Taħt NIS2, jikkonnettja mal-vulnerabbiltajiet tal-fornituri diretti u mal-prattiki taċ-ċibersigurtà tal-fornituri.

Ir-raba’ falliment huwa lingwaġġ dgħajjef dwar inċidenti. Kuntratt li jgħid “il-fornitur jinnotifika lill-klijent fil-pront” jista’ ma jappoġġax twissija bikrija taħt NIS2, rappurtar fi stadji taħt DORA, komunikazzjonijiet mal-klijenti jew eskalazzjoni interna. Il-klawżoli tal-inċidenti għandhom bżonn perjodi ta’ żmien, skattaturi, kuntatti, obbligi ta’ kooperazzjoni u obbligi ta’ evidenza.

Il-ħames falliment huwa drittijiet ta’ ħruġ mhux ċari. Jekk fornitur isir mhux sigur, mhux konformi, akkwistat, insolventi jew strateġikament mhux adattat, ix-xerrej għandu bżonn esportazzjoni, tħassir, appoġġ għat-tranżizzjoni, diżattivazzjoni tal-kontijiet u evidenza ta’ qerda. Il-ħruġ mhuwiex ħsieb legali ta’ wara. Huwa kontroll ta’ reżiljenza.

Mill-gate tal-akkwist għal assigurazzjoni ħajja tal-fornituri

L-akkwist secure-by-demand ma jispiċċax mal-firma. Ċiklu tal-ħajja matur tal-fornituri fuq stil Clarysec għandu ħames stadji.

Stadju taċ-ċiklu tal-ħajjaAttività ta’ kontrollReġistru tal-evidenza
DomandaĦtieġa tan-negozju, dejta u kritikalità identifikati qabel l-involviment mas-suqFormola ta’ intake, klassifikazzjoni tad-dejta, klassifikazzjoni tal-kritikalità
GħażlaRFP jinkludi rekwiżiti ta’ sigurtà, privatezza, reżiljenza u assigurazzjoni tal-prodottSkeda tal-RFP, tweġibiet tal-fornitur, karta tal-iskorjar
KuntrattL-obbligi jsiru infurzabbli qabel il-firmaDPA, anness tas-sigurtà, SLA, drittijiet ta’ awditjar, klawżoli tal-inċidenti u tal-ħruġ
OnboardingAċċess, konfigurazzjoni, logging, iċċifrar u flussi tad-dejta jiġu vverifikatiLista ta’ kontroll tal-onboarding, approvazzjonijiet tal-aċċess, evidenza tal-konfigurazzjoni
OperatIr-riskju tal-fornitur jiġi mmonitorjat u rivalutatFrekwenza tar-rieżami, evidenza aġġornata, inċidenti, bidliet, Aċċettazzjoni tar-riskju

Għal fornituri ta’ riskju għoli, il-monitoraġġ għandu jinkludi aġġornament tal-evidenza, laqgħat ta’ rieżami tas-sigurtà, parteċipazzjoni f’eżerċizzju tabletop tal-inċidenti, rieżami tal-aċċess, rappurtar dwar vulnerabbiltajiet u patches, rieżami ta’ tibdil fis-servizz u aġġornamenti tas-subproċessuri. Għal fornituri ta’ riskju aktar baxx, rieżami annwali jista’ jkun biżżejjed. L-iskalabbiltà ta’ ISO 27001, il-proporzjonalità ta’ NIS2 u l-proporzjonalità ta’ DORA kollha jappoġġaw l-adattament, iżda l-adattament għandu jkun ġustifikat u dokumentat.

Il-pass li jmiss ma’ Clarysec

Ix-xiri riskjuż li jmiss ta’ SaaS mhux se jistenna disinn mill-ġdid perfett tal-governanza. Ibda bit-talba tal-akkwist li jmiss.

Uża l-Zenith Blueprint: An Auditor’s 30-Step Roadmap biex timplimenta l-kontrolli ta’ Step 23 dwar ir-relazzjonijiet mal-fornituri u l-kontrolli ta’ Step 21 dwar l-iżvilupp esternalizzat. Uża Zenith Controls biex timmappa l-kontrolli ISO/IEC 27002:2022 5.19, 5.20 u 5.21 ma’ NIS2, DORA, GDPR, NIST CSF 2.0 u aspettattivi ta’ awditjar orjentati lejn COBIT. Uża l-librerija tal-politiki ta’ Clarysec, inklużi Third party and supplier security policy, Application Security Requirements Policy, Cloud Usage Policy u Legal and Regulatory Compliance Policy, biex tagħmel il-gate infurzabbli.

Qabel ma jiġi ffirmat il-kuntratt li jmiss, itlob klassifikazzjoni tal-fornitur, evidenza tas-sigurtà, tħejjija tad-DPA, impenji dwar inċidenti, ġestjoni tal-vulnerabbiltajiet, trasparenza tas-sottokuntratturi, drittijiet ta’ awditjar u termini tal-ħruġ.

Dak huwa l-akkwist secure-by-demand. Hekk is-CISOs jibdlu l-pressjoni regolatorja f’saħħa tax-xiri. Hekk il-maniġers tal-konformità jbiddlu obbligi li jikkoinċidu f’fajl wieħed ta’ evidenza. Hekk l-awdituri jaraw li r-riskju tal-fornitur ġie kkunsidrat qabel ma nħolqot id-dipendenza. U hekk is-sidien tan-negozju jixtru software aktar malajr mingħajr ma jirtu riskju mhux immaniġġjat.

Lest li tbiddel ix-xiri li jmiss tas-software tiegħek f’kontroll lest għall-awditjar? Esplora s-suite integrata ta’ politiki ta’ Clarysec, niżżel il-Zenith Blueprint, irrevedi Zenith Controls jew skeda demo biex tibni programm ta’ akkwist secure-by-demand li jiflaħ għal NIS2, DORA, GDPR, l-aspettattivi tas-CRA u skrutinju reali mill-awdituri.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article