Politika dwar il-Ġestjoni tal-Kontijiet tal-Utenti u l-Privileġġi

Il-Politika dwar il-Ġestjoni tal-Kontijiet tal-Utenti u l-Privileġġi (Dokument P11) tipprovdi qafas strutturat u obbligatorju biex tikkontrolla kif il-kontijiet tal-utenti u l-privileġġi ta’ aċċess jiġu ġestiti fis-sistemi ta’ informazzjoni tal-organizzazzjoni u t-teknoloġiji kollha. L-għan ewlieni tagħha huwa li tiżgura li r-riżorsi tal-organizzazzjoni jiġu aċċessati biss minn individwi awtorizzati, skont rwoli validati u ħtiġijiet operazzjonali. Il-politika tirrikonoxxi u tinforza prinċipji ewlenin tas-sigurtà tal-informazzjoni, bħall-prinċipju tal-inqas privileġġ u s-segregazzjoni tad-dmirijiet, u tobbliga proċessi awditabbli għall-forniment ta’ aċċess, ġestjoni, monitoraġġ, u tneħħija tal-aċċess tal-kontijiet tal-utenti. Applikabbli għall-utenti kollha, inkluż impjegati u kuntratturi, fornituri ta’ servizzi ta’ partijiet terzi, u konsulenti, din il-politika tirregola kwalunkwe sistema fejn hemm awtentikazzjoni tal-utent. Dan il-kamp ta’ applikazzjoni komprensiv ikopri applikazzjonijiet tal-intrapriża, ambjenti cloud u SaaS, sistemi amministrattivi, u għodod ta’ aċċess remot, kif ukoll pjattaformi ta’ ġestjoni tal-identità u tal-aċċess. Kemm kontijiet standard kif ukoll kontijiet privileġġjati jaqgħu taħt ir-rekwiżiti tagħha, b’enfasi qawwija fuq l-identifikazzjoni unika ta’ kull kont u l-prevenzjoni tal-użu ta’ kredenzjali kondiviżi jew kontijiet kondiviżi jew ġeneriċi (ħlief għal xenarji ta’ emerġenza kkontrollati b’mod strett). L-objettivi ewlenin tal-politika jinkludu l-infurzar ta’ kontijiet tal-utenti uniċi, ġustifikabbli u traċċabbli; l-implimentazzjoni ta’ kontrolli tal-prinċipju tal-inqas privileġġ biex jipproteġu kontra drittijiet ta’ aċċess eċċessivi; ir-rekwiżit ta’ bidliet fil-pront fl-istatus tal-kont wara bidliet fir-rwoli jew terminazzjonijiet; u ċ-ċentralizzazzjoni tal-attivitajiet ta’ ġestjoni taċ-ċiklu tal-ħajja tal-aċċess għall-konsistenza u l-awditabbiltà. Huma stabbiliti dispożizzjonijiet għas-sejbien proattiv ta’ kredenzjali tal-utent inattivi jew kontijiet użati ħażin permezz ta’ rieżamijiet regolari u l-użu ta’ għodod awtomatizzati. Il-politika hija mfassla b’mod espliċitu biex tallinja ma’ standards ewlenin tas-sigurtà (bħal ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR, u COBIT 2019) biex tissodisfa kemm rekwiżiti regolatorji kif ukoll tal-aħjar prattiki. Ir-rwoli u r-responsabbiltajiet huma definiti b’mod ċar, mis-sorveljanza legali u r-rwol tal-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) fil-ġestjoni tal-eċċezzjonijiet, sal-azzjonijiet tekniċi tal-amministraturi tal-kontroll tal-aċċess, l-awtorizzazzjonijiet tal-aċċess mill-kapijiet tad-dipartimenti, u l-integrazzjoni tar-Riżorsi Umani mal-proċessi ta’ integrazzjoni inizjali u proċedura ta’ tluq. Il-proċeduri jiżguraw li l-ħolqien, il-modifika, u d-diżattivazzjoni tal-kontijiet ikunu governati b’mod strett, b’aċċess privileġġjat soġġett għal skrutinju addizzjonali, approvazzjonijiet, restrizzjonijiet tekniċi marbuta biż-żmien, u reġistrazzjoni tal-awditjar imsaħħa. Kontrolli ta’ awtentikazzjoni, inkluż politiki obbligatorji tal-password, awtentikazzjoni b’diversi fatturi għal kontijiet ewlenin, illokkjar tas-sessjoni, u protokolli ta’ aċċess remot siguri, jiffurmaw rekwiżit ewlieni, u jiżguraw li l-verifika tal-identità ma tistax tiġi evitata. Monitoraġġ robust, logs, u miżuri ta’ rieżami perjodiku jgħinu biex jinżammu inventarji preċiżi tal-kontijiet u biex tiġi infurzata konformità mal-politika. L-immaniġġjar tal-eċċezzjonijiet huwa bbażat fuq ir-riskju u kkontrollat, b’xenarji ta’ aċċess ta’ emerġenza (“break-glass”) li jirċievu attenzjoni proċedurali speċjali. Il-konformità obbligatorja hija enfasizzata permezz ta’ mudell progressiv ta’ infurzar u konformità, inkluż diżattivazzjoni tal-aċċess, taħriġ mill-ġdid, miżuri dixxiplinari, u eskalazzjoni legali/regolatorja għal ksur. L-integrazzjoni ma’ politiki organizzattivi relatati tiżgura approċċ koerenti fl-oqsma kollha tas-sigurtà tal-informazzjoni, u r-rekwiżit għal rieżamijiet annwali (jew immexxija minn avvenimenti) tal-politika jiggarantixxi titjib kontinwu u allinjament ma’ sistemi, mudelli tan-negozju, u xenarji regolatorji li qed jevolvu. Il-Politika dwar il-Ġestjoni tal-Kontijiet tal-Utenti u l-Privileġġi hija fundamentali għall-istrateġija ta’ ġestjoni tar-riskji tas-sigurtà tal-informazzjoni tal-organizzazzjoni, billi ssaħħaħ is-sigurtà operazzjonali u l-konformità regolatorja.