مركز الخليج للأبحاث (GRC) ، والذي يرمز إلى الحوكمة والمخاطر والامتثال ، منتشر على نطاق واسع في مجال الأمن السيبراني اليوم. هذا نتيجة استجابة منظمات معايير الصناعة والحكومات لمشهد خرق البيانات. تعتبر المتطلبات الجديدة للامتثال ضرورية في إنشاء خطة إدارة مخاطر فعالة للغاية. هناك طريقة أخرى للنظر إلى مركز الخليج للأبحاث وهي كنهج مع هياكل لمواءمة تقنية المعلومات مع أهداف العمل في نفس الوقت إدارة المخاطر والامتثال للمتطلبات.

الحوكمة: يضمن توافق جميع أنشطة المنظمة لدعم أهداف العمل طويلة الأجل. تتواصل الحوكمة مع أصحاب المصلحة الخارجيين والداخليين للتدقيق والتشغيل السلس لجميع العمليات.

تسعى إدارة المخاطر إلى ضمان توافق المخاطر والفرص المرتبطة بأنشطة المنظمة مع أهداف العمل.

الامتثال: يضمن أن الأنشطة داخل المنظمة تعمل ضمن القوانين واللوائح التي تؤثر على الأنظمة.

حوكمة المراجعة

ما هي حوكمة الشركات؟

تحتاج الشركات إلى إنشاء عمليات وممارسات وقواعد لإثبات الحوكمة. بشكل حاسم ، تقع مسؤولية مراجعة المخاطر عن علم على عاتق الإدارة العليا ومجلس الإدارة. يعطي الحكم السلطة للهيئتين.

ما هي حوكمة الشركات في الأمن السيبراني؟

حوكمة الشركات لها تطور في الأمن السيبراني. يتعين على مجلس الإدارة والمسؤولين التنفيذيين رفيعي المستوى فهم مخاطر الأمن السيبراني غالبًا نتيجة لأهداف العمل ولكنهم لا يحتاجون إلى اتخاذ قرارات متعلقة بالأمن. أيضًا ، تحتاج حوكمة الأمن السيبراني إلى مراجعة نجاح الضوابط الداخلية.

ما هي مسؤولية لجان المراجعة؟

تركز العديد من الشركات الآن على الأمن السيبراني وتجعل لجنة التدقيق وسيلة ربط تربط مجلس الإدارة ببرنامج التدقيق.

لذلك ، يحتاج أعضاء لجنة التدقيق إلى فهم المخاطر الإلكترونية بشكل أفضل من جميع الأعضاء الآخرين في المؤسسة. ومع ذلك ، فهم لا يحتاجون إلى أن يكونوا على دراية بالتكنولوجيا. يحتاجون فقط إلى العمل مع قادة تكنولوجيا المعلومات (تكنولوجيا المعلومات) داخل الشركة للمشاركة في محادثات مفصلة.

يتعين على خطط تدقيق الشركات الانتباه إلى تهديدات البيانات حتى عندما تستخدم المزيد من بائعي النظام الأساسي كخدمة (PaaS) والبنية التحتية كخدمة (IaaS) والبرمجيات كخدمة (SaaS) . إن العملية التي تستخدمها لتحديد مؤشرات الأداء الرئيسية (KPIs) لبرنامج الامتثال الخاص بك هي المحور الرئيسي لخطط التدقيق. لذلك ، فإن وضع خطة تدقيق للأمن السيبراني يرشدك إلى كيفية تطوير الحوكمة وإثباتها.

توقيت

تخطيط التدقيق الداخلي هو عملية مستمرة. راجع فحصك السابق بحثًا عن أوجه القصور في التحكم قبل أن تضع خطة تدقيق. بعد ذلك ، يمكنك تحديد النطاق.

على سبيل المثال ، إذا لم يكن لدى مؤسستك نظام التشغيل المطلوب وإدارة تصحيح البرامج ، فيجب أن يكون ذلك جزءًا من النطاق في التدقيق التالي. إذا كان التصحيح مثاليًا ، لكن تدقيقك السابق وجد أن العديد من الشبكات والأنظمة تحافظ على عمليات تسجيل الدخول المحددة مسبقًا في المصنع ، فركز على ذلك.

بمعنى آخر ، استمر في التخطيط والتوقيت بناءً على التحسينات التي تجريها على إشرافك على الأمن السيبراني.

تقييم المخاطر

يجب أن تتضمن كل خطة تدقيق مخاطر الأمن السيبراني من منظور شامل. عند إنشاء خطة تدقيق ، قم بإنشاء تحمل للمخاطر يتضمن إمكانية خرق البيانات والموقع والتكلفة المحتملة لخرق البيانات والبيانات. ركز على تقييم المعلومات الذي ينطوي على أعلى مخاطر عند تحديد نطاق خطة التدقيق.

لجنة الامتثال

تتألف لجنة الامتثال من أصحاب المصلحة الداخليين الذين تتمثل مهمتهم في توثيق ومراقبة الضوابط الداخلية. جنبًا إلى جنب مع لجنة التدقيق ، تضمن لجنة الامتثال أن الشركة تتماشى مع التغييرات في اللوائح والمعايير. ولذلك فهي تمثل خط الدفاع الأول في محاولة الحفاظ على إنتاجية الضوابط وتوفير برنامج للحكم.

كيف يراجع المدققون الداخليون حوكمة الأمن السيبراني

يتم تحديد النطاق الذي يحتوي على الخطوات اللازمة لإثبات الحوكمة في خطة التدقيق. نظرًا لأنك بحاجة إلى مجموعة ثانية من العيون ، فإن التدقيق الداخلي الخاص بك يلعب هذا الدور.

ستحتاج إلى شخص مستقل للتدقيق الداخلي لتقييم ومراجعة ما إذا كان الأمن السيبراني يفي بالمعايير واللوائح التي تحددها متطلبات الامتثال الصناعية. سينظر المدقق الداخلي في جميع الوثائق المتعلقة ببرنامج الامتثال للأمن السيبراني. يتحقق التدقيق مما إذا كنت قد حافظت على الامتثال من خلال الضوابط الداخلية المحددة.

بالنسبة للحوكمة ، يفحص المدقق الداخلي ما إذا كانت لجنة الامتثال تقدم تقاريرها إلى لجنة التدقيق ويراجع الضوابط التي تم تحديدها من خلال العمليات والسياسات.

مثال على الدور الذي تلعبه اللجنة الداخلية هو أنها قد تراجع محاضر لجنة التدقيق والامتثال للاجتماع للتأكد من أن الفرق تبلغ عن المخاطر وتراقب بشكل فعال. سيقارن المدقق بعد ذلك الملاحظات بمحاضر اجتماعات مجلس الإدارة للتأكد من أن المعلومات تمر عبر جميع الأشخاص المعنيين.

من الناحية المثالية ، سيوفر توثيق الأنشطة والاتصالات للمدققين الدليل اللازم لتدقيق الحوكمة على برنامج الأمن السيبراني.

كيفية استخدام التوثيق لتسهيل حوكمة التدقيق

تساعد الأتمتة في تسهيل تدقيق الحوكمة الداخلية لأنها تتيح التوثيق والاتصال الجوهريين.

المنظمات مختلفة في الحجم. يؤثر حجم المنظمة بشكل مباشر على تنسيق الرسالة عبر لجنة التدقيق ولجنة الامتثال ومجلس الإدارة. يجب أن تتضمن مواد لجنة التدقيق ملخصات تنفيذية ضرورية لتحديد المشكلات والمخاطر والخطوات التالية.

تلعب الأتمتة دورًا مهمًا في تبسيط نظام تدقيق الحوكمة. من خلال مشاركة محركات الأقراص ، فإنك تخفف عبء الاتصال إلى حد كبير. الجانب الآخر للمشاركة هو أنه عندما يتأثر أي تغيير ، يتم تحديث الملفات المشتركة تلقائيًا. البحث عن الوثائق التاريخية ، في هذه الحالة ، يستغرق الكثير من الوقت. نظرًا لأن أي شخص لديه حق الوصول يمكنه إجراء تغييرات وبالتالي تحديث جميع الملفات المشتركة ، يتم اختراق سلامة المعلومات وبالتالي تقويض الحوكمة.

لذلك ، تحتاج المنظمات إلى مصدر مركزي للمعلومات التي تتطلب منها توثيق جميع أنشطة الامتثال الخاصة بها وكذلك تحديد من يمكنه تحرير المستندات أو تغييرها.

قبل تنفيذ مركز الخليج للأبحاث ، تحتاج أولاً إلى تهيئة البيئة. تحقق مما إذا كان لديك ضوابط كافية وما إذا كانت العناصر المتاحة تعمل بكامل طاقتها. على الرغم من أن مركز الخليج للأبحاث يركز على تكنولوجيا المعلومات ، إلا أن مشاركة المنظمة بأكملها أمر بالغ الأهمية عند تنفيذ الإستراتيجية. ستحتاج إلى الاهتمام وإنشاء جميع العمليات والأشخاص الذين قد يؤثر عليهم التنفيذ مسبقًا.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

• مسؤوليات مدير الامتثال
• إدارة المخاطر لصناعة التأمين
• الأمن السيبراني والتعليم العالي
• تأمين السحابة
• ما هو تحمل المخاطر والرغبة في المخاطرة