Linji bażi ta’ konfigurazzjoni sigura għal NIS2 u DORA
Il-konfigurazzjoni ħażina tal-Ġimgħa wara nofsinhar li saret problema għall-bord
Fis-16:40 ta’ nhar ta’ Ġimgħa, il-kap tal-inġinerija ta’ pjattaforma fintech approva dak li deher bħala bidla ta’ rutina fil-firewall. Infetħet regola temporanja biex issir troubleshooting ta’ integrazzjoni ma’ fornitur ta’ analitika tal-pagamenti. It-ticket kien jgħid, “neħħi wara l-ittestjar.” It-test għadda. Ir-regola baqgħet.
Tliet ġimgħat wara, skann estern sab interfaċċa amministrattiva aċċessibbli mill-internet. Il-patches tas-server kienu ġew applikati. MFA kienet teżisti għall-utenti normali. L-iskanner tal-vulnerabbiltajiet ma indikax CVE kritiku. Iżda s-sistema xorta ma kinitx sigura, għax il-konfigurazzjoni tagħha kienet iddevjat mill-istat imsaħħaħ approvat mill-organizzazzjoni.
Sa nhar it-Tnejn filgħodu, il-CISO kellu erba’ konverżazzjonijiet għaddejjin b’mod parallel:
- Ir-regolatur ried ikun jaf jekk ir-reżiljenza operattiva kinitx ġiet affettwata.
- Id-Data Protection Officer ried ikun jaf jekk id-data personali kinitx ġiet esposta.
- Il-bord ried ikun jaf għaliex bidliet “temporanji” ma kinux qed jiġu skoperti.
- L-awditur intern ta’ ISO/IEC 27001:2022 ried evidenza li l-linji bażi siguri kienu definiti, approvati, implimentati u mmonitorjati.
Hawnhekk ħafna programmi tas-sigurtà jiskopru verità skomda. Il-konfigurazzjoni sigura mhijiex biss checklist teknika ta’ hardening. Fl-2026, il-linji bażi ta’ konfigurazzjoni sigura huma kwistjoni ta’ governanza, kwistjoni ta’ iġjene ċibernetika, kwistjoni ta’ riskju tal-ICT, kwistjoni ta’ evidenza tal-awditjar u kwistjoni ta’ responsabbiltà tal-bord.
Verżjoni oħra tal-istess problema sseħħ f’ħafna organizzazzjonijiet regolati. Maria, CISO ta’ proċessur ta’ pagamenti B2B li qed jikber, għandha inġiniera b’saħħithom, sistemi b’patches aġġornati u prattiki tajbin tal-cloud. Iżda evalwazzjoni tat-tħejjija għal NIS2 u DORA tenfasizza sejba ħamra waħda: nuqqas ta’ linji bażi formalizzati ta’ konfigurazzjoni sigura. It-tim tagħha jaf kif isaħħaħ is-servers, iżda ħafna minn dak l-għarfien jinsab f’moħħ l-inġiniera, mhux fi standards approvati, kontrolli awtomatizzati jew pakketti ta’ evidenza.
Dik il-lakuna m’għadhiex difensibbli. NIS2 teħtieġ li l-korpi maniġerjali japprovaw u jissorveljaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà. DORA teħtieġ qafas dokumentat ta’ ġestjoni tar-riskju tal-ICT u operazzjonijiet tal-ICT reżiljenti. GDPR teħtieġ miżuri tekniċi u organizzattivi xierqa. ISO/IEC 27001:2022 teħtieġ għażla ta’ kontrolli bbażata fuq ir-riskju, implimentazzjoni, monitoraġġ, awditjar u titjib kontinwu.
Il-linji bażi ta’ konfigurazzjoni sigura jgħaqqdu dawn l-obbligi kollha f’sistema prattika ta’ kontroll: iddefinixxi l-linja bażi, assenja s-sjieda, applikaha waqt il-provisioning, iggoverna l-eċċezzjonijiet, skopri devjazzjoni mil-linja bażi, ipprovdi evidenza u tejjeb wara awditi jew inċidenti.
Kif tgħid Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għal awditur ta’ Clarysec fil-fażi Controls in Action, Pass 19, Kontrolli Teknoloġiċi I:
“Ħafna ksur ma jirriżultax minn difetti tas-software; jiġi minn għażliet ħżiena ta’ konfigurazzjoni. Passwords predefiniti li jitħallew mhux mibdula, servizzi mhux siguri attivati, portijiet mhux meħtieġa miftuħa, jew sistemi esposti għall-internet mingħajr ġustifikazzjoni.”
Din is-sentenza taqbad għaliex il-linji bażi ta’ konfigurazzjoni sigura issa huma kontroll ewlieni tar-reżiljenza. Jiddefinixxu x’ifisser “sigur” qabel ma jistaqsi awditur, regolatur, klijent jew attakkant.
X’inhi tassew linja bażi ta’ konfigurazzjoni sigura
Linja bażi ta’ konfigurazzjoni sigura hija s-sett approvat, dokumentat u ripetibbli ta’ settings tas-sigurtà għal tip ta’ sistema. Tista’ tapplika għal servers Windows, hosts Linux, apparati tan-network, tenants SaaS, ħażna cloud, clusters Kubernetes, bażijiet tad-data, firewalls, apparati endpoint, pjattaformi tal-identità, apparati tal-IoT u Operational Technology (OT).
Linja bażi b’saħħitha twieġeb mistoqsijiet prattiċi:
- Liema servizzi għandhom ikunu diżattivati b’mod predefinit?
- Liema portijiet jistgħu jiġu esposti esternament?
- Liema settings ta’ awtentikazzjoni u MFA huma obbligatorji?
- Liema settings tal-logging għandhom jiġu attivati?
- Liema settings tal-iċċifrar huma meħtieġa?
- Liema interfaċċi amministrattivi għandhom ikunu ristretti?
- Liema riżorsi cloud jistgħu jkunu pubbliċi, u taħt l-approvazzjoni ta’ min?
- Liema devjazzjonijiet jeħtieġu aċċettazzjoni tar-riskju?
- Kemm-il darba nivverifikaw devjazzjoni mil-linja bażi?
- Liema evidenza turi li l-linja bażi qed topera?
L-aktar falliment komuni huwa li l-linji bażi jiġu ttrattati bħala preferenzi tal-inġinerija aktar milli bħala kontrolli governati. Checklist ta’ amministratur Linux, paġna wiki ta’ perit tal-cloud u konvenzjoni tal-firewall ta’ inġinier tan-network jistgħu jkunu kollha utli, iżda ma jsirux adattati għall-awditjar sakemm ikunu approvati, immappjati mar-riskju, applikati b’mod konsistenti u mmonitorjati.
Għalhekk ISO/IEC 27001:2022 huwa ankra daqshekk utli. Clauses 4.1 sa 4.3 jeħtieġu li l-organizzazzjonijiet jifhmu kwistjonijiet interni u esterni, partijiet interessati u l-kamp ta’ applikazzjoni tal-ISMS, inklużi rekwiżiti legali, regolatorji, kuntrattwali u ta’ partijiet terzi. Clauses 6.1.2 u 6.1.3 jeħtieġu valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni, trattament tar-riskju, għażla tal-kontrolli, Dikjarazzjoni ta’ Applikabbiltà u approvazzjoni mis-sid tar-riskju. Clauses 8.2 u 8.3 jeħtieġu li l-valutazzjonijiet tar-riskju u t-trattament tar-riskju jiġu ripetuti f’intervalli ppjanati jew wara bidliet sinifikanti.
Imbagħad l-Anness A jagħmel l-aspettattiva teknika konkreta permezz ta’ A.8.9 Configuration management, appoġġjat minn inventarju tal-assi, ġestjoni tal-vulnerabbiltajiet, ġestjoni tat-tibdil, logging, monitoraġġ, kontroll tal-aċċess, kontrolli kriptografiċi, użu tal-cloud u proċeduri operattivi dokumentati.
Ir-riżultat huwa dikjarazzjoni ta’ governanza sempliċi iżda qawwija: jekk l-organizzazzjoni tiegħek ma tistax turi x’ifisser “sigur” għal kull tip ewlieni ta’ sistema, ma tistax tipprova b’mod konvinċenti l-iġjene ċibernetika taħt NIS2, il-kontroll tar-riskju tal-ICT taħt DORA, ir-responsabbiltà taħt GDPR jew l-effettività tal-kontrolli taħt ISO/IEC 27001:2022.
Għaliex NIS2, DORA u GDPR jagħmlu l-linji bażi inevitabbli
NIS2, DORA u GDPR jużaw lingwaġġ differenti, iżda jikkonverġu fuq l-istess rekwiżit operattiv: is-sistemi għandhom jiġu kkonfigurati b’mod sigur, immonitorjati kontinwament u governati permezz ta’ ġestjoni tar-riskju b’responsabbiltà ċara.
NIS2 Article 20 jeħtieġ li l-korpi maniġerjali ta’ entitajiet essenzjali u importanti japprovaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jirċievu taħriġ fiċ-ċibersigurtà. Article 21 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati. Il-linji bażi ta’ konfigurazzjoni sigura jappoġġjaw Article 21(2)(a) dwar politiki għall-analiżi tar-riskju u s-sigurtà tas-sistemi tal-informazzjoni, Article 21(2)(e) dwar is-sigurtà fl-akkwist, l-iżvilupp u l-manutenzjoni ta’ sistemi tan-network u tal-informazzjoni inkluża l-ġestjoni tal-vulnerabbiltajiet, Article 21(2)(f) dwar politiki u proċeduri biex tiġi evalwata l-effettività, Article 21(2)(g) dwar iġjene ċibernetika bażika u taħriġ fiċ-ċibersigurtà, Article 21(2)(h) dwar kontrolli kriptografiċi, Article 21(2)(i) dwar kontroll tal-aċċess u ġestjoni tal-assi, u Article 21(2)(j) dwar awtentikazzjoni b’diversi fatturi u komunikazzjonijiet siguri.
DORA tapplika mis-17 ta’ Jannar 2025 u taħdem bħala l-qafas settorjali tar-reżiljenza operattiva għall-entitajiet finanzjarji koperti. Articles 5 u 6 jeħtieġu governanza u qafas dokumentat ta’ ġestjoni tar-riskju tal-ICT. Article 8 jeħtieġ identifikazzjoni tal-assi tal-ICT, assi tal-informazzjoni, funzjonijiet tan-negozju appoġġjati mill-ICT u dipendenzi. Article 9 jeħtieġ miżuri ta’ protezzjoni u prevenzjoni, inklużi politiki, proċeduri, protokolli u għodod tas-sigurtà għas-sistemi tal-ICT, trasferiment sigur tad-data, kontroll tal-aċċess, awtentikazzjoni b’saħħitha, protezzjoni taċ-ċwievet kriptografiċi, ġestjoni tat-tibdil, patching u aġġornamenti. Articles 10 sa 14 jestendu l-mudell għas-sejbien, ir-rispons, l-irkupru, il-backup, ir-restawr, it-tagħlim u l-komunikazzjoni.
GDPR iżid il-perspettiva tal-privatezza. Articles 5 u 32 jeħtieġu integrità, kunfidenzjalità, sigurtà tal-ipproċessar u responsabbiltà permezz ta’ miżuri tekniċi u organizzattivi xierqa. Buckets pubbliċi fil-cloud, bażijiet tad-data esposti żżejjed, konfigurazzjonijiet predefiniti mhux siguri u aċċess amministrattiv eċċessiv mhumiex biss dgħufijiet fl-infrastruttura. Jistgħu jsiru fallimenti fil-protezzjoni tad-data personali.
Programm wieħed ta’ linji bażi ta’ konfigurazzjoni sigura jista’ jappoġġja t-tliet reġimi kollha mingħajr ma joħloq flussi duplikati ta’ evidenza.
| Qasam tar-rekwiżit | Kontribut tal-konfigurazzjoni sigura | Evidenza tipika |
|---|---|---|
| Trattament tar-riskju ISO/IEC 27001:2022 | Juri kontrolli magħżula u implimentati għal stati siguri tas-sistema | Pjan ta’ trattament tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, linja bażi approvata |
| Iġjene ċibernetika NIS2 | Turi settings siguri predefiniti, espożizzjoni kkontrollata u evalwazzjoni tal-effettività | Reġistru tal-linji bażi, rapporti ta’ devjazzjoni mil-linja bażi, rappurtar lill-maniġment |
| Ġestjoni tar-riskju tal-ICT DORA | Tgħaqqad il-protezzjoni tal-assi tal-ICT, il-kontroll tat-tibdil, il-patching u l-monitoraġġ | Immappjar tal-assi tal-ICT, tickets tat-tibdil, rapporti ta’ konformità tal-konfigurazzjoni |
| Responsabbiltà GDPR | Turi miżuri xierqa għal sistemi li jipproċessaw data personali | Immappjar tas-sistemi tad-data, settings tal-iċċifrar, rieżamijiet tal-aċċess |
| Assigurazzjoni tal-klijenti | Tipprovdi evidenza ripetibbli għall-kwestjonarji ta’ diliġenza dovuta | Pakkett ta’ evidenza, screenshots, esportazzjonijiet, Reġistru tal-Eċċezzjonijiet |
Il-mudell ta’ linji bażi ta’ Clarysec: politika, proċedura u evidenza mill-pjattaforma
Clarysec tittratta l-konfigurazzjoni sigura bħala sistema ta’ kontroll ripetibbli, mhux bħala proġett ta’ hardening ta’ darba. Il-linja bażi għandha tkun awtorizzata minn politika, tradotta fi proċeduri, implimentata permezz ta’ kontrolli tekniċi u ppruvata b’evidenza.
Il-Politika tas-Sigurtà tal-Informazzjoni tistabbilixxi din l-aspettattiva fil-livell tal-intrapriża:
“L-organizzazzjoni għandha żżomm linja bażi minima tal-kontrolli derivata minn ISO/IEC 27001 Annex A, issupplimentata, fejn xieraq, b’kontrolli minn ISO/IEC 27002, NIST SP 800-53, u COBIT 2019.”
Mis-sezzjoni “Trattament tar-riskju u eċċezzjonijiet”, klawżola tal-politika 7.2.1.
Din il-klawżola tipprevjeni li l-hardening tal-konfigurazzjoni jsir ġabra ta’ preferenzi personali. Tgħaqqad il-linja bażi minima tal-kontrolli ma’ oqfsa rikonoxxuti.
Għal ambjenti cloud, il-Politika dwar l-Użu tal-Cloud tispeċifika r-rekwiżit:
“L-ambjenti cloud kollha għandhom ikunu konformi ma’ konfigurazzjoni bażi dokumentata approvata mill-Perit tas-Sigurtà tal-Cloud.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.3.1.
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità imbagħad tibdel il-linja bażi f’kontroll immonitorjat:
“Għandhom jiġu implimentati għodod awtomatizzati biex jimmonitorjaw il-konformità tal-konfigurazzjoni, il-ġestjoni tal-vulnerabbiltajiet, l-istatus tal-patches u l-aċċess privileġġjat.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.1.
Il-konfigurazzjoni hija wkoll inseparabbli mill-ġestjoni tal-vulnerabbiltajiet u tal-patches. Il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches tgħid:
“Ir-rimedjazzjoni tal-vulnerabbiltajiet għandha tkun allinjata mal-konfigurazzjoni bażi u mal-istandards tal-hardening tas-sistemi.”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.1.
Dan il-punt huwa importanti. Sistema tista’ tkun patched u xorta tibqa’ mhux sigura jekk SMBv1 ikun attivat, interfaċċi amministrattivi jkunu esposti, il-logging ikun diżattivat jew settings dgħajfa tal-awtentikazzjoni jibqgħu fis-seħħ. F’Zenith Controls: Il-gwida għall-konformità inkroċjata, il-ġestjoni tal-konfigurazzjoni tiġi ttrattata bħala kontroll preventiv li jipproteġi l-kunfidenzjalità, l-integrità u d-disponibbiltà, b’kapaċità operattiva fil-konfigurazzjoni sigura. Zenith Controls jispjega wkoll id-dipendenza bejn il-ġestjoni tal-konfigurazzjoni u l-ġestjoni tal-vulnerabbiltajiet:
“Il-ġestjoni tal-vulnerabbiltajiet tiddependi fuq konfigurazzjonijiet magħrufa. Mingħajr linja bażi definita, huwa impossibbli li jiġi żgurat li l-patches jiġu applikati b’mod konsistenti.”
Din hija l-istorja tal-evidenza li l-awdituri u r-regolaturi qed jistennew dejjem aktar: sistema ta’ kontroll, mhux kompiti tekniċi iżolati.
Immappjar ta’ ISO/IEC 27001:2022 A.8.9 għal kontrolli ta’ appoġġ
Il-kontroll A.8.9 Configuration management tal-Anness A ta’ ISO/IEC 27001:2022 huwa l-ankra, iżda m’għandux jiġi ttrattat bħala dokument żgħir u awtonomu. Jiddependi fuq familja usa’ ta’ kontrolli.
| Kontroll tal-Anness A ta’ ISO/IEC 27001:2022 | Għaliex huwa importanti għal-linji bażi ta’ konfigurazzjoni sigura |
|---|---|
| A.5.9 Inventarju tal-informazzjoni u assi assoċjati oħra | Kull assi magħruf jeħtieġ linja bażi assenjata. Assi mhux magħrufa joħolqu riskju ta’ konfigurazzjoni mhux magħruf. |
| A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi | L-iskannjar u l-patching jiddependu fuq konfigurazzjonijiet magħrufa u stati tas-sistema mistennija. |
| A.8.32 Ġestjoni tat-tibdil | Il-linji bażi jiddefinixxu stati approvati, filwaqt li l-ġestjoni tat-tibdil tikkontrolla l-moviment approvat bejn l-istati. |
| A.8.1 Apparati endpoint tal-utenti | Builds tal-endpoint jeħtieġu settings imsaħħa, iċċifrar, aġenti tas-sigurtà u servizzi ristretti. |
| A.8.2 Drittijiet ta’ aċċess privileġġjat | Amministraturi awtorizzati biss għandhom jibdlu l-konfigurazzjonijiet, u l-kontijiet predefiniti għandhom jitneħħew jew jiġu assigurati. |
| A.8.5 Awtentikazzjoni sigura | Regoli tal-passwords, lockout, MFA u sessjonijiet spiss ikunu settings tal-linja bażi. |
| A.8.15 Logging | Avvenimenti tas-sigurtà, amministrattivi u tal-bidla fil-konfigurazzjoni għandhom jinġabru għall-evidenza u l-investigazzjoni. |
| A.8.16 Attivitajiet ta’ monitoraġġ | L-iskoperta ta’ devjazzjoni mil-linja bażi u ta’ bidliet suspettużi fil-konfigurazzjoni teħtieġ monitoraġġ attiv. |
| A.5.37 Proċeduri operattivi dokumentati | Proċeduri tal-build, checklists tal-konfigurazzjoni u passi ta’ rieżami jagħmlu l-applikazzjoni tal-linja bażi ripetibbli. |
| A.5.36 Konformità mal-politiki, ir-regoli u l-istandards għas-sigurtà tal-informazzjoni | Verifiki ta’ konformità jippruvaw li s-sistemi jibqgħu jaqblu mal-linji bażi approvati. |
Din ir-relazzjoni bejn il-kontrolli hija għaliex Clarysec tirrakkomanda li l-konfigurazzjoni sigura tiġi ġestita bħala kapaċità tal-ISMS b’sidien, evidenza, metriċi u rappurtar lill-maniġment.
Crosswalk usa’ jgħin biex l-istess programm ta’ linji bażi jiġi tradott f’oqfsa oħra.
| Qafas | Rekwiżit jew kontroll rilevanti | Evidenza tal-konfigurazzjoni sigura |
|---|---|---|
| NIS2 | Article 21 dwar miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà, inklużi iġjene ċibernetika, manutenzjoni sigura, ġestjoni tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, kontroll tal-aċċess u ġestjoni tal-assi | Standards tal-linja bażi, rapporti ta’ devjazzjoni mil-linja bażi, reġistri tal-eċċezzjonijiet, sorveljanza tal-maniġment |
| DORA | Articles 6, 8 u 9 dwar ġestjoni tar-riskju tal-ICT, identifikazzjoni tal-assi tal-ICT, protezzjoni u prevenzjoni | Reġistru tal-linji bażi tal-ICT, immappjar bejn l-assi u l-linja bażi, evidenza tat-tibdil u tal-patches |
| GDPR | Articles 5 u 32 dwar integrità, kunfidenzjalità, sigurtà tal-ipproċessar u responsabbiltà | Settings tal-iċċifrar, settings tal-aċċess, konfigurazzjoni sigura tal-cloud, reġistri tar-rieżami |
| NIST SP 800-53 Rev. 5 | CM-2 Baseline Configuration, CM-3 Configuration Change Control, CM-6 Configuration Settings, CM-7 Least Functionality, RA-5 Vulnerability Monitoring and Scanning, SI-4 System Monitoring | Linji bażi tal-konfigurazzjoni, reġistri tat-tibdil, riżultati ta’ skannjar tal-vulnerabbiltajiet, outputs tal-monitoraġġ |
| COBIT 2019 | APO13 Managed Security, BAI06 Managed IT Changes, BAI10 Managed Configuration, DSS05 Managed Security Services, MEA03 Managed Compliance With External Requirements | Metriċi tal-governanza, bidliet approvati, reġistri tal-konfigurazzjoni, rappurtar tal-konformità |
Struttura prattika ta’ linja bażi li tista’ timplimenta dan ix-xahar
L-aktar żball komuni huwa li tipprova tikteb standard ta’ hardening perfett ta’ 80 paġna qabel ma tapplika xi ħaġa. Ibda b’linja bażi minima iżda adattata għall-awditjar għal kull familja teknoloġika ewlenija, imbagħad immaturaha permezz ta’ awtomazzjoni u rieżami.
| Komponent tal-linja bażi | Eżempju ta’ rekwiżit | Evidenza li għandha tinżamm |
|---|---|---|
| Kamp ta’ applikazzjoni | Servers Windows, servers Linux, endpoints, firewalls, ħażna cloud, tenant tal-identità u bażijiet tad-data | Reġistru tal-linji bażi b’kategoriji tal-assi |
| Sjieda | Kull linja bażi għandu jkollha sid tekniku, sid tar-riskju u awtorità tal-approvazzjoni | RACI jew matriċi tas-sjieda tal-kontrolli |
| Build approvat | Immaġni msaħħa, mudell infrastructure-as-code, GPO, profil MDM jew checklist manwali tal-build | Esportazzjoni tal-mudell, screenshot, commit fir-repożitorju jew checklist |
| Espożizzjoni tan-network | Portijiet u servizzi approvati biss esposti esternament | Esportazzjoni tar-regoli tal-firewall, rapport tal-grupp tas-sigurtà tal-cloud |
| Awtentikazzjoni | MFA għall-aċċess amministrattiv, ebda kontijiet predefiniti, settings siguri tal-passwords u tal-lockout | Screenshot tal-politika tal-identità, rieżami tal-aċċess amministrattiv |
| Logging | Logs tas-sigurtà, tal-amministrazzjoni, tal-awtentikazzjoni u tal-bidliet fil-konfigurazzjoni attivati | Dashboard SIEM, inventarju tas-sorsi tal-logs |
| Iċċifrar | Iċċifrar tad-data maħżuna u tad-data fi tranżitu attivat fejn meħtieġ | Screenshot tal-konfigurazzjoni, reġistru tal-ġestjoni taċ-ċwievet |
| Kontroll tat-tibdil | Bidliet fil-linja bażi u eċċezzjonijiet jeħtieġu ticket, approvazzjoni, ittestjar u pjan ta’ treġġigħ lura | Ticket tat-tibdil u storja tal-approvazzjoni |
| Monitoraġġ tad-devjazzjoni mil-linja bażi | Kontrolli awtomatizzati jew skedati jqabblu settings attwali mal-linja bażi approvata | Rapport ta’ konformità tal-konfigurazzjoni |
| Frekwenza tar-rieżami | Il-linji bażi jiġu rieżaminati mill-inqas darba fis-sena u wara inċidenti maġġuri, bidliet fl-arkitettura jew bidliet regolatorji | Minuti tar-rieżami, storja tal-verżjonijiet aġġornata |
Għal linja bażi tal-ħażna cloud, l-ewwel verżjoni tista’ tinkludi aċċess pubbliku diżattivat b’mod predefinit, iċċifrar tad-data maħżuna attivat, logging tal-aċċess attivat, aċċess amministrattiv limitat għal gruppi approvati, MFA meħtieġa għal aċċess privileġġjat għall-console, versioning attivat fejn ir-rekwiżiti ta’ rkupru jeħtiġuh, replikazzjoni ristretta għal reġjuni approvati u bidliet magħmula biss permezz ta’ pipelines approvati ta’ infrastructure-as-code.
Għal linja bażi ta’ Windows Server 2022 li tappoġġja l-ipproċessar tal-pagamenti, l-ewwel verżjoni tista’ tinkludi SMBv1 diżattivat, servizzi mhux essenzjali diżattivati, RDP ristrett għal jump host imsaħħaħ, Windows Defender Firewall attivat b’regoli ta’ ċaħda awtomatika b’mod predefinit, kontijiet ta’ amministratur lokali kkontrollati, event logs mibgħuta lis-SIEM, protezzjoni tal-endpoint attivata u bidliet amministrattivi marbuta ma’ tickets approvati.
Għal kull linja bażi, ibni pakkett żgħir ta’ evidenza:
- Id-dokument approvat tal-linja bażi.
- Screenshot jew politika esportata li turi l-konfigurazzjoni applikata.
- Lista tal-assi koperti mil-linja bażi.
- Ticket tat-tibdil li juri kif jiġu approvati l-aġġornamenti.
- Rapport ta’ konformità tal-konfigurazzjoni jew reġistru ta’ rieżami manwali.
Dan jallinja direttament ma’ Zenith Blueprint, il-fażi Controls in Action, Pass 19, fejn Clarysec tagħti parir lill-organizzazzjonijiet jistabbilixxu checklists tal-konfigurazzjoni għal tipi ewlenin ta’ sistemi, japplikaw settings b’mod konsistenti waqt il-provisioning permezz ta’ awtomazzjoni fejn possibbli, u mbagħad jawditjaw regolarment is-sistemi implimentati. Il-Blueprint jagħti wkoll metodu prattiku ta’ awditjar:
“Agħżel ftit sistemi rappreżentattivi (eż., server wieħed, switch wieħed, PC wieħed ta’ utent finali) u vverifika li l-konfigurazzjoni tagħhom taqbel mal-linja bażi sigura tiegħek. Iddokumenta d-devjazzjonijiet u r-rimedjazzjoni.”
Għall-SMEs, dak l-approċċ ta’ kampjunar rappreżentattiv spiss huwa l-aktar triq mgħaġġla minn hardening informali għal evidenza lesta għall-awditjar.
Eżempji ta’ hardening għall-SMEs li jnaqqsu r-riskju malajr
Il-konfigurazzjoni sigura mhijiex biss kwistjoni tal-cloud tal-intrapriżi. L-SMEs spiss jiksbu l-akbar tnaqqis tar-riskju minn ftit regoli ċari tal-linja bażi.
Il-Politika tas-Sigurtà tan-Network - SME tgħid:
“Portijiet essenzjali biss (eż., HTTPS, VPN) jistgħu jiġu esposti għall-internet pubbliku; l-oħrajn kollha għandhom jingħalqu jew jiġu ffiltrati”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.3.
Teħtieġ ukoll dixxiplina fit-tibdil:
“Il-bidliet kollha fil-konfigurazzjonijiet tan-network (regoli tal-firewall, ACLs tas-switches, tabelli tar-routing) għandhom isegwu proċess dokumentat ta’ ġestjoni tat-tibdil”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.9.1.
U toħloq frekwenza ta’ rieżami:
“Il-Fornitur ta’ Appoġġ tal-IT għandu jwettaq rieżami annwali tar-regoli tal-firewall, tal-arkitettura tan-network u tal-konfigurazzjonijiet mingħajr fili”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.6.1.
Il-linji bażi tal-endpoints jeħtieġu attenzjoni ugwali. Il-Protezzjoni tal-Endpoint - Politika dwar il-Malware - SME ta’ Clarysec tgħid:
“L-apparati għandhom jiddiżattivaw protokolli skaduti (eż., SMBv1) li jistgħu jiġu sfruttati minn malware”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.3.
Għal ambjenti IoT u OT, konfigurazzjonijiet predefiniti mhux siguri jibqgħu espożizzjoni rikorrenti. Il-Politika tas-Sigurtà tal-Internet of Things (IoT) / Operational Technology (OT) - SME tgħid:
“Passwords predefiniti jew inkorporati għandhom jinbidlu qabel ma l-apparati jiġu attivati”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.3.2.
Dawn il-klawżoli tal-politika mhumiex dikjarazzjonijiet astratti. Huma rekwiżiti tal-linja bażi li jistgħu jiġu ttestjati, ippruvati b’evidenza u traċċati. Għal SME li qed tipprepara għal diliġenza dovuta mill-klijenti, rieżamijiet tal-fornituri allinjati ma’ NIS2, assigurazzjoni ċibernetika jew ċertifikazzjoni ISO/IEC 27001:2022, joħolqu valur immedjat.
Ġestjoni tal-eċċezzjonijiet: il-kontroll li jifred il-maturità mill-karti
Kull linja bażi se jkollha eċċezzjonijiet. Applikazzjoni legata tista’ teħtieġ protokoll antik. Appliance ta’ fornitur jista’ ma jappoġġjax is-setting preferut tal-iċċifrar. Ftuħ temporanju tal-firewall jista’ jkun meħtieġ għal migrazzjoni. Il-mistoqsija mhijiex jekk jeżistux eċċezzjonijiet. Il-mistoqsija hija jekk humiex governati.
Reġistru matur tal-eċċezzjonijiet jinkludi:
- Ir-rekwiżit tal-linja bażi li qed jinkiser.
- Il-ġustifikazzjoni tan-negozju.
- L-assi affettwat u s-sid tiegħu.
- Il-valutazzjoni tar-riskju.
- Il-kontrolli kumpensatorji.
- L-awtorità tal-approvazzjoni.
- Id-data tal-iskadenza.
- Ir-rekwiżit tal-monitoraġġ.
- Il-pjan ta’ rimedjazzjoni.
Hawnhekk it-trattament tar-riskju ta’ ISO/IEC 27001:2022 u l-proporzjonalità ta’ DORA jaħdmu flimkien. ISO/IEC 27001:2022 teħtieġ li d-deċiżjonijiet dwar il-kontrolli jiġu ġġustifikati permezz ta’ valutazzjoni tar-riskju, trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà u approvazzjoni mis-sid tar-riskju. DORA tippermetti implimentazzjoni proporzjonata skont id-daqs, il-profil tar-riskju u n-natura, l-iskala u l-kumplessità tas-servizzi, iżda xorta tistenna governanza dokumentata tar-riskju tal-ICT, monitoraġġ, kontinwità, ittestjar u sensibilizzazzjoni.
Il-proporzjonalità mhijiex permess biex taqbeż il-linji bażi. Hija rekwiżit biex tiskalahom b’mod intelliġenti.
Għal entità finanzjarja mikro jew iżgħar taħt qafas simplifikat tar-riskju tal-ICT, il-linja bażi tista’ tkun konċiża u appoġġjata minn kampjunar manwali. Għal entità finanzjarja akbar, l-istess dominju x’aktarx jeħtieġ verifiki awtomatizzati tal-konfigurazzjoni, involviment tal-awditjar intern, ittestjar annwali u rappurtar lill-korp maniġerjali.
Il-Politika tal-Ġestjoni tat-Tibdil tfakkar ukoll lill-organizzazzjonijiet biex joqogħdu attenti għal:
“Devjazzjoni mill-konfigurazzjoni bażi jew tbagħbis wara bidliet approvati”
Mis-sezzjoni “Applikazzjoni u konformità”, klawżola tal-politika 8.1.2.3.
Dik il-frażi tgħaqqad il-kontroll tat-tibdil mal-iskoperta ta’ devjazzjoni mil-linja bażi. Bidla tista’ tkun approvata u xorta toħloq riskju jekk l-istat implimentat ikun differenti mill-istat approvat, jew jekk setting temporanju jibqa’ wara li tingħalaq it-tieqa tat-tibdil.
Bini ta’ traċċa waħda ta’ evidenza għal ħafna obbligi ta’ konformità
Linja bażi ta’ konfigurazzjoni sigura m’għandhiex toħloq ħames flussi separati ta’ xogħol għall-konformità. Il-mudell ta’ Clarysec juża traċċa waħda ta’ evidenza mmappjata għal diversi obbligi.
| Artifact ta’ evidenza | Użu għal ISO/IEC 27001:2022 | Użu għal NIS2 | Użu għal DORA | Użu għal GDPR | Użu għal NIST u COBIT 2019 |
|---|---|---|---|---|---|
| Standard tal-linja bażi | Jappoġġja l-għażla tal-kontrolli tal-Anness A u t-trattament tar-riskju | Juri iġjene ċibernetika u manutenzjoni sigura | Jappoġġja l-qafas tar-riskju tal-ICT u operazzjonijiet siguri tal-ICT | Juri miżuri tekniċi xierqa | Jappoġġja settings tal-konfigurazzjoni u objettivi ta’ governanza |
| Immappjar bejn assi u linja bażi | Jappoġġja l-inventarju tal-assi u l-kamp ta’ applikazzjoni | Juri li s-sistemi użati għat-twassil tas-servizz huma kkontrollati | Jappoġġja l-identifikazzjoni tal-assi u d-dipendenzi tal-ICT | Jidentifika sistemi li jipproċessaw data personali | Jappoġġja inventarji u ġestjoni tal-komponenti |
| Tickets tat-tibdil | Juri implimentazzjoni kkontrollata u devjazzjonijiet | Juri kontroll operattiv ibbażat fuq ir-riskju | Jappoġġja ġestjoni tat-tibdil, patching u aġġornamenti | Juri responsabbiltà għal bidliet li jaffettwaw data personali | Jappoġġja kontroll tat-tibdil u traċċi tal-awditjar |
| Rapporti ta’ devjazzjoni mil-linja bażi | Juru monitoraġġ u evalwazzjoni tal-effettività | Juru evalwazzjoni tal-miżuri tekniċi | Juru monitoraġġ kontinwu u kontroll | Juru protezzjoni kontinwa tad-data | Jappoġġjaw monitoraġġ kontinwu u konformità |
| Reġistru tal-eċċezzjonijiet | Juri approvazzjoni mis-sid tar-riskju tar-riskju residwu | Juri ġestjoni tar-riskju proporzjonata | Juri aċċettazzjoni tar-riskju tal-ICT u traċċar tar-rimedjazzjoni | Juri responsabbiltà u salvagwardji | Jappoġġja rispons għar-riskju u sorveljanza tal-maniġment |
| Minuti tar-rieżami | Jappoġġjaw rieżami tal-maniġment u titjib kontinwu | Jappoġġjaw sorveljanza tal-maniġment taħt Article 20 | Jappoġġjaw responsabbiltà tal-korp maniġerjali | Jappoġġjaw rieżami u aġġornament tal-miżuri | Jappoġġjaw rappurtar tal-governanza u metriċi |
Il-punt ewlieni huwa t-traċċabbiltà. Zenith Blueprint, il-fażi Audit, Review and Improvement, Pass 24, jordna lill-organizzazzjonijiet jaġġornaw id-Dikjarazzjoni ta’ Applikabbiltà u jivverifikawha mal-pjan ta’ trattament tar-riskju. Jekk kontroll huwa applikabbli, għandek bżonn raġunament. Dak ir-raġunament għandu jkun marbut mar-riskju, obbligu legali, rekwiżit kuntrattwali jew ħtieġa tan-negozju.
Għall-konfigurazzjoni sigura, l-entrata tas-SoA għal A.8.9 għandha tirreferi għall-istandard tal-linja bażi ta’ konfigurazzjoni sigura, il-kategoriji tal-assi koperti, is-sidien tal-linji bażi, il-proċedura tal-ġestjoni tat-tibdil, il-metodu tal-monitoraġġ, il-proċess tal-eċċezzjonijiet, il-frekwenza tar-rieżami u l-obbligi ta’ konformità inkroċjata bħal NIS2 Article 21, DORA Articles 6, 8 u 9, GDPR Article 32 u impenji mal-klijenti.
Kif l-awdituri jittestjaw il-linji bażi ta’ konfigurazzjoni sigura
Il-konfigurazzjoni sigura hija attraenti għall-awdituri għax hija rikka fl-evidenza. Tista’ tiġi ttestjata permezz ta’ dokumenti, intervisti, kampjunar u spezzjoni teknika.
| Lenti tal-awditjar | X’se jistaqsi l-awditur | Evidenza li taħdem |
|---|---|---|
| Awditur tal-ISMS ISO/IEC 27001:2022 | Il-ġestjoni tal-konfigurazzjoni tinsab fil-kamp ta’ applikazzjoni, ġiet evalwata għar-riskju, magħżula fis-SoA, implimentata u mmonitorjata? | Entrata tas-SoA, pjan ta’ trattament tar-riskju, standard tal-linja bażi, evidenza ta’ sistema kampjun, riżultati tal-awditjar intern |
| Awditur tekniku | Is-sistemi attwali jaqblu mal-linji bażi approvati u d-devjazzjonijiet jiġu kkoreġuti? | Esportazzjonijiet tal-konfigurazzjoni, screenshots, esportazzjonijiet GPO, rapporti ta’ devjazzjoni mil-linja bażi, reġistri tal-azzjonijiet korrettivi |
| Valutatur NIST | Il-konfigurazzjonijiet bażi huma dokumentati, is-settings siguri huma infurzati, l-inventarji jinżammu u d-devjazzjonijiet jiġu mmonitorjati? | Checklists tal-hardening, CMDB, rapporti awtomatizzati tal-konformità, outputs ta’ benchmark scan |
| Awditur COBIT 2019 | Il-linji bażi tal-konfigurazzjoni huma governati, approvati, immonitorjati u rrappurtati lill-maniġment? | Metriċi tal-governanza, rapporti tal-maniġment, tickets tat-tibdil, Reġistru tal-Eċċezzjonijiet |
| Awditur allinjat ma’ ISACA ITAF | Hemm evidenza xierqa u suffiċjenti li l-kontroll huwa ddisinjat u qed jopera b’mod effettiv? | Intervisti, walkthroughs, reġistri tal-awditjar tal-konfigurazzjoni, reġistri tal-inċidenti marbuta ma’ konfigurazzjoni ħażina |
Il-mistoqsijiet prattiċi huma prevedibbli:
- Tużaw checklist tal-hardening meta tinstallaw servers ġodda?
- Kif tipprevjenu servizzi mhux siguri bħal Telnet milli jaħdmu fuq routers?
- Ir-riżorsi tal-ħażna cloud huma privati b’mod predefinit?
- Min jista’ japprova devjazzjoni mil-linja bażi?
- Kif tiskopru devjazzjoni mil-linja bażi wara bidla?
- Tistgħu turu rieżami reċenti tal-konfigurazzjoni?
- Tistgħu turu li devjazzjoni skoperta ġiet ikkoreġuta?
- Il-konfigurazzjonijiet tan-network u tal-cloud huma backed up u taħt kontroll tal-verżjoni?
- Il-proċeduri ta’ treġġigħ lura huma dokumentati u ttestjati?
L-organizzazzjonijiet l-aktar b’saħħithom iżommu pakkett ta’ evidenza tal-linja bażi għal kull kategorija ewlenija ta’ sistemi. Dan iqassar l-awditi, itejjeb it-tweġibiet għad-diliġenza dovuta tal-klijenti u jgħin lill-maniġment jifhem il-prestazzjoni attwali tal-kontrolli.
Ibdel id-devjazzjoni mil-linja bażi f’metrika ta’ iġjene ċibernetika fil-livell tal-bord
Il-bordijiet m’għandhomx bżonn kull regola tal-firewall. Għandhom bżonn ikunu jafu jekk l-iġjene ċibernetika hix qed titjieb jew tmur għall-agħar.
Dashboard utli ta’ konfigurazzjoni sigura jinkludi:
- Perċentwal ta’ assi mmappjati ma’ linja bażi approvata.
- Perċentwal ta’ assi li jgħaddu mill-kontrolli tal-linja bażi.
- Numru ta’ devjazzjonijiet kritiċi mil-linja bażi.
- Età medja tad-devjazzjonijiet miftuħa.
- Numru ta’ eċċezzjonijiet skaduti.
- Numru ta’ bidliet mhux awtorizzati fil-konfigurazzjoni skoperti.
- Perċentwal ta’ bidliet privileġġjati fil-konfigurazzjoni b’tickets approvati.
- Eċċezzjonijiet ta’ espożizzjoni pubblika fil-cloud.
- Status tar-rieżami tal-linja bażi skont il-familja teknoloġika.
Dawn il-metriċi jappoġġjaw l-evalwazzjoni tal-prestazzjoni ta’ ISO/IEC 27001:2022, is-sorveljanza tal-maniġment taħt NIS2 u r-rappurtar tar-riskju tal-ICT taħt DORA. Jimmappjaw ukoll b’mod naturali ma’ riżultati ta’ governanza ta’ NIST CSF 2.0 u objettivi ta’ monitoraġġ u konformità ta’ COBIT 2019.
Regola eżekuttiva sempliċi tgħin: ebda sistema kritika ma tidħol live mingħajr evidenza tal-linja bażi. Dan jista’ jiġi infurzat permezz ta’ ġestjoni tat-tibdil, gates ta’ CI/CD, verifiki tal-politika cloud, rieżami ta’ infrastructure-as-code, konformità MDM, infurzar GPO jew rieżami tal-konfigurazzjoni tan-network. Il-livell ta’ maturità jista’ jvarja, iżda l-loġika tal-kontroll m’għandhiex.
Il-playbook ta’ 90 jum għal-linji bażi ta’ konfigurazzjoni sigura
Jekk qed tibda mix-xejn, tippruvax issolvi kull kwistjoni ta’ konfigurazzjoni f’daqqa. Uża pjan ta’ 90 jum.
Jum 1 sa 30: iddefinixxi l-linja bażi minima
Identifika kategoriji kritiċi tal-assi. Għal kull waħda, assenja sid tekniku, sid tar-riskju u awtorità tal-approvazzjoni. Oħloq l-ewwel linja bażi għas-settings l-aktar rilevanti għar-reżiljenza kontra ransomware, espożizzjoni cloud, aċċess privileġġjat, logging, iċċifrar u protezzjoni tad-data.
Oħloq ir-reġistru tal-linji bażi u immappjah mal-kamp ta’ applikazzjoni tal-ISMS, ir-Reġistru tar-Riskji u d-Dikjarazzjoni ta’ Applikabbiltà. Jekk inti soġġett għal NIS2, identifika jekk intix entità essenzjali jew importanti, jew jekk il-klijenti jistennewx iġjene ċibernetika allinjata ma’ NIS2. Jekk inti entità finanzjarja taħt DORA, identifika liema assi tal-ICT jappoġġjaw funzjonijiet kritiċi jew importanti. Jekk tipproċessa data personali, immappja s-sistemi mal-attivitajiet ta’ pproċessar GDPR u l-kategoriji tad-data.
Jum 31 sa 60: applika u iġbor l-evidenza
Applika l-linja bażi għal kampjun ta’ sistemi b’riskju għoli. Uża awtomazzjoni fejn possibbli, iżda tistenniex għodod perfetti. Esporta konfigurazzjonijiet, aqbad screenshots, salva settings tal-politiki u rreġistra tickets tat-tibdil.
Għal kull eċċezzjoni, oħloq reġistru tar-riskju b’data tal-iskadenza. Għal kull devjazzjoni, oħloq ticket ta’ rimedjazzjoni.
Jum 61 sa 90: immonitorja, irrapporta u tejjeb
Wettaq rieżami tal-konfigurazzjoni. Ikkampjona server wieħed, endpoint wieħed, apparat wieħed tan-network u ambjent cloud wieħed. Qabbel is-settings attwali mal-linja bażi approvata. Iddokumenta d-devjazzjonijiet u l-azzjonijiet korrettivi.
Irrapporta l-konformità mal-linja bażi lill-maniġment. Aġġorna d-Dikjarazzjoni ta’ Applikabbiltà u l-pjan ta’ trattament tar-riskju. Daħħal id-devjazzjonijiet rikorrenti fl-analiżi tal-kawża ewlenija. Jekk konfigurazzjoni ħażina kkawżat jew ikkontribwiet għal inċident, aġġorna l-linja bażi rilevanti bħala parti mil-lessons learned.
Dan jagħti lill-awdituri xi ħaġa li tista’ tiġi ttestjata, lir-regolaturi xi ħaġa li tinftiehem u lill-maniġment xi ħaġa li tista’ tiġi governata.
Ħsieb finali: il-konfigurazzjoni sigura hija iġjene ċibernetika b’evidenza
NIS2 tuża l-lingwa tal-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u l-iġjene ċibernetika bażika. DORA tuża l-lingwa tar-riskju tal-ICT, ir-reżiljenza, il-monitoraġġ, il-kontinwità u l-ittestjar. GDPR tuża l-lingwa tal-miżuri xierqa u r-responsabbiltà. ISO/IEC 27001:2022 tuża l-lingwa tat-trattament tar-riskju, il-kontrolli, l-informazzjoni dokumentata, l-evalwazzjoni tal-prestazzjoni u t-titjib kontinwu.
Il-linji bażi ta’ konfigurazzjoni sigura jgħaqqduhom kollha.
Juru li s-sistemi ma jiġux implimentati b’konfigurazzjonijiet predefiniti mhux siguri. Juru li l-bidliet huma kkontrollati. Juru li d-devjazzjoni mil-linja bażi tiġi skoperta. Juru li l-eċċezzjonijiet jiġu aċċettati skont ir-riskju. Juru li l-evidenza teżisti qabel ma jistaqsi l-awditur.
L-aktar importanti, inaqqsu riskju operattiv reali. Ir-regola tal-firewall tal-Ġimgħa wara nofsinhar, il-bucket pubbliku fil-cloud, is-setting SMBv1 minsija, il-password predefinita tal-IoT u l-console amministrattiva mingħajr logging mhumiex sejbiet teoretiċi tal-awditjar. Huma punti prattiċi ta’ falliment.
Clarysec tgħin lill-organizzazzjonijiet jibdlu dawk il-punti ta’ falliment f’linji bażi kkontrollati, immonitorjati u li jistgħu jiġu awditjati.
Passi li jmiss
Jekk l-organizzazzjoni tiegħek teħtieġ li tipprova konfigurazzjoni sigura għal ISO/IEC 27001:2022, iġjene ċibernetika NIS2, ġestjoni tar-riskju tal-ICT DORA, responsabbiltà GDPR jew assigurazzjoni tal-klijenti, ibda bit-toolkit ta’ Clarysec:
- Uża Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għal awditur biex timplimenta l-ġestjoni tal-konfigurazzjoni fil-fażi Controls in Action, Pass 19, u tivvalidaha permezz tal-fażi Audit, Review and Improvement, Pass 24.
- Uża Zenith Controls: Il-gwida għall-konformità inkroċjata biex timmappja l-ġestjoni tal-konfigurazzjoni ma’ kontrolli ta’ appoġġ ta’ ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST SP 800-53, COBIT 2019 u metodoloġiji tal-awditjar.
- Uża politiki ta’ Clarysec bħall-Politika tas-Sigurtà tal-Informazzjoni, il-Politika dwar l-Użu tal-Cloud, il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità, il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches, il-Politika tas-Sigurtà tan-Network - SME, il-Protezzjoni tal-Endpoint - Politika dwar il-Malware - SME u l-Politika tas-Sigurtà tal-Internet of Things (IoT) / Operational Technology (OT) - SME biex tiddefinixxi, tapplika u tipprovdi evidenza għar-rekwiżiti tal-linja bażi tiegħek.
Linja bażi sigura mhijiex biss checklist tal-hardening. Hija prova li l-organizzazzjoni tiegħek taf kif tidher konfigurazzjoni sigura, tapplikaha b’mod konsistenti u tista’ turiha meta jkun meħtieġ.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
