Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u tal-Patches

Il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u tal-Patches (P19) tiddefinixxi l-approċċ strutturat meħtieġ għall-identifikazzjoni, il-klassifikazzjoni, ir-rimedjazzjoni u l-monitoraġġ ta’ vulnerabbiltajiet tekniċi u difetti tas-softwer fl-assi kollha rregolati mis-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) tal-organizzazzjoni. L-għan primarju tagħha huwa li tnaqqas l-espożizzjoni għar-riskju minn dgħufijiet mhux indirizzati billi tiżgura proċess ikkoordinat għall-valutazzjoni tal-vulnerabbiltajiet, l-ipprijoritizzazzjoni, ir-rimedjazzjoni u t-traċċar tal-konformità, adattat għall-prijoritajiet operazzjonali u l-pajsaġġ regolatorju rilevanti għall-organizzazzjoni. Il-politika tapplika mal-kumpanija kollha għas-sistemi kollha tal-informazzjoni, applikazzjonijiet, infrastruttura tan-netwerk, firmware, riżorsi tal-cloud, interfaċċi tal-ipprogrammar tal-applikazzjonijiet, endpoints, servers, infrastruttura virtwali, u pjattaformi ta’ partijiet terzi irrispettivament mill-ambjent ta’ hosting. Torbot kemm lit-timijiet interni kif ukoll lill-fornituri ta’ servizzi esterni, u timponi approċċ ta’ ċiklu tal-ħajja sħiħ, li jibda bi skannjar ta’ vulnerabbiltajiet u skoperta regolari, jgħaddi minn punteġġjar tar-riskju u akkwist tal-patch, u jasal għal skjerament fil-ħin, immaniġġjar tal-eċċezzjonijiet, monitoraġġ u rappurtar. Tingħata enfasi speċjali lil skannjar awtentikat u aġġustat għar-riskju f’intervalli definiti, b’mod partikolari għal assi esposti għall-internet jew ta’ valur għoli, b’proċeduri assoċjati għall-onboarding ta’ sistemi ġodda u ż-żamma tal-konformità tul iċ-ċiklu tal-ħajja tagħhom. Ir-rwoli u r-responsabbiltajiet huma delineati b’mod preċiż biex jissaħħaħ l-obbligu ta’ rendikont. L-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) għandu s-sjieda tal-integrazzjoni tal-politika u l-allinjament tar-riskju; il-mexxejja tal-ġestjoni tal-vulnerabbiltajiet jissorveljaw it-twassil operazzjonali; sidien tas-sistema u sidien tal-applikazzjonijiet huma responsabbli biex japplikaw ir-rimedjazzjonijiet u jivvalidaw l-istabbiltà tas-sistema; Operazzjonijiet tal-IT jeżegwixxu bidliet fi ħdan twieqi stabbiliti, u l-analisti tas-sigurtà jżommu viġilanza permezz ta’ monitoraġġ u sejbien ta’ theddid u valutazzjonijiet tar-riskju aġġornati. Hemm rekwiżiti formali għall-fornituri terzi biex jiżguraw li s-sistemi esterni jaderixxu mal-istess ftehimiet dwar il-livell tas-servizz (SLAs) tal-patches, b’awditi perjodiċi u kontrolli fuq il-proċessi tagħhom ta’ ġestjoni tal-patches. Qafas ta’ governanza, inkluż reġistru tal-ġestjoni tal-vulnerabbiltajiet miżmum ċentralment u SLAs ibbażati fuq ir-riskju, jissostni l-politika. Is-sistema tinforza l-urġenza tal-patches skont is-severità (kif determinata mill-punteġġjar CVSS), il-kritiċità tal-assi, u l-espożizzjoni, filwaqt li tintegra mal-Politika tal-Ġestjoni tat-Tibdil għal traċċabbiltà u stabbiltà. Protokolli dettaljati ta’ eċċezzjonijiet jistipulaw rekwiżiti għal approvazzjoni formali, kontrolli kumpensatorji, frekwenza ta’ rieżami, limiti ta’ żmien għal riskji kritiċi, u traċċar obbligatorju fir-reġistri tal-ISMS magħżula. L-infurzar tal-politika jiddependi fuq monitoraġġ kontinwu tal-konformità, rappurtar tal-istatus, u eskalazzjoni strutturata. Il-politika timponi wkoll awditi, investigazzjonijiet retrospettivi wara inċidenti, u protokoll robust ta’ rieżami/aġġornament biex tiżgura allinjament kontinwu ma’ obbligi regolatorji li qed jevolvu, bidliet teknoloġiċi, u intelligence dwar theddid ta’ profil għoli. Hija marbuta direttament ma’ politiki fundamentali, bħall-Politika tas-Sigurtà tal-Informazzjoni, il-Politika tal-Ġestjoni tat-Tibdil, il-ġestjoni tar-riskju, il-ġestjoni tal-assi, il-Politika tal-Illoggjar u l-Monitoraġġ, u l-Politika ta’ Rispons għall-Inċidenti (P30), biex tiżgura kopertura minn tarf sa tarf.