GRC steht für Governance, Risk and Compliance und ist heute im Bereich der Cybersicherheit weit verbreitet. Dies ist das Ergebnis von Industriestandardorganisationen und Regierungen, die auf die Landschaft der Datenschutzverletzungen reagieren. Die neuen Compliance-Anforderungen sind entscheidend für die Erstellung eines äußerst effektiven Risikomanagementplans . Eine andere Möglichkeit, GRC zu betrachten, ist ein Ansatz mit Strukturen zur Ausrichtung der Informationstechnologie an den Geschäftszielen bei gleichzeitigem Risikomanagement und Einhaltung der Anforderungen.

Governance: Stellt sicher, dass alle Aktivitäten der Organisation darauf ausgerichtet sind, langfristige Geschäftsziele zu unterstützen. Governance kommuniziert sowohl mit externen als auch mit internen Stakeholdern, um alle Prozesse zu prüfen und reibungslos ablaufen zu lassen.

Risiko soll sicherstellen, dass sowohl Risiken als auch Chancen, die mit den Aktivitäten einer Organisation verbunden sind, mit den Geschäftszielen übereinstimmen.

Compliance: Stellt sicher, dass Aktivitäten innerhalb der Organisation den Gesetzen und Vorschriften entsprechen, die sich auf die Systeme auswirken.

Audit-Governance

Was ist Corporate Governance?

Unternehmen müssen Prozesse, Praktiken und Regeln einführen, um Governance nachzuweisen. Entscheidend ist, dass die Verantwortung für die sachkundige Überprüfung der Risiken bei der Geschäftsleitung und dem Verwaltungsrat liegt. Governance gibt den beiden Körpern die Macht.

Was ist Corporate Governance in der Cybersicherheit?

Corporate Governance hat eine Wendung in der Cybersicherheit. Der Vorstand und die Geschäftsleitung müssen die Cybersicherheitsrisiken oft aufgrund von Geschäftszielen verstehen, müssen aber keine sicherheitsbezogenen Entscheidungen treffen. Außerdem muss die Cybersicherheits-Governance den Erfolg interner Kontrollen überprüfen.

Welche Verantwortung haben die Prüfungsausschüsse?

Viele Unternehmen konzentrieren sich jetzt auf Cybersicherheit und machen den Prüfungsausschuss zu einem Vermittler, der den Vorstand mit dem Prüfungsprogramm verbindet.

Daher müssen die Mitglieder des Prüfungsausschusses Cyberrisiken besser verstehen als alle anderen Mitglieder der Organisation. Sie müssen jedoch nicht technisch versiert sein. Sie müssen nur mit den IT-Verantwortlichen (Informationstechnologie) im Unternehmen zusammenarbeiten, um detaillierte Gespräche zu führen.

Unternehmen müssen bei ihren Prüfplänen auf Datenbedrohungen achten, auch wenn sie mehr Anbieter von Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) und Software-as-a-Service (SaaS) nutzen . Der Prozess, den Sie verwenden, um Ihre (KPIs) Key Performance Indicators für Ihr Compliance-Programm zu bestimmen, steht im Mittelpunkt der Auditpläne. Daher hilft Ihnen die Erstellung eines Cybersicherheits-Auditplans bei der Entwicklung und dem Nachweis von Governance.

Zeitliche Koordinierung

Die Planung interner Audits ist ein kontinuierlicher Prozess. Überprüfen Sie Ihre bisherige Prüfung auf Kontrollmängel, bevor Sie einen Prüfungsplan erstellen. Danach können Sie den Umfang bestimmen.

Wenn Ihr Unternehmen beispielsweise nicht über das erforderliche Betriebssystem- und Software-Patch-Management verfügt, sollte dies Teil des Umfangs des nächsten Audits sein. Wenn das Patchen perfekt war, aber Ihr vergangenes Audit ergab, dass viele Netzwerke und Systeme die werkseitig voreingestellten Logins beibehalten haben, konzentrieren Sie sich darauf.

Mit anderen Worten, planen und planen Sie kontinuierlich auf der Grundlage der Verbesserungen, die Sie an Ihrer Aufsicht über die Cybersicherheit vornehmen.

Risikoabschätzung

Jeder Prüfungsplan sollte das Cybersicherheitsrisiko in einer ganzheitlichen Betrachtung enthalten. Legen Sie zum Zeitpunkt der Erstellung eines Auditplans eine Risikotoleranz fest, die potenzielle Datenschutzverletzungen, Standort, potenzielle Kosten für Datenschutzverletzungen und Daten umfasst. Konzentrieren Sie sich bei der Bestimmung des Prüfungsplanumfangs auf die Informationsbewertung, die das höchste Risiko birgt.

Compliance-Ausschuss

Ein Compliance-Ausschuss besteht aus internen Stakeholdern, deren Aufgabe es ist, interne Kontrollen zu dokumentieren und zu überwachen. Zusammen mit dem Prüfungsausschuss stellt der Compliance-Ausschuss sicher, dass sich das Unternehmen an Änderungen von Vorschriften und Standards anpasst. Sie sind daher die erste Verteidigungslinie bei dem Bestreben, die Kontrollen produktiv zu halten und ein Programm für die Governance bereitzustellen.

Wie Interne Prüfer die Cybersicherheits-Governance überprüfen

Der Prüfungsplan legt den Umfang fest, der die erforderlichen Schritte zum Nachweis der Governance enthält. Da Sie ein zweites Paar Augen brauchen, spielt Ihre Interne Revision diese Rolle.

Sie benötigen eine unabhängige Person für die interne Revision, um zu bewerten und zu überprüfen, ob die Cybersicherheit den Standards und Vorschriften der Branchen-Compliance-Anforderungen entspricht. Der interne Prüfer prüft alle Dokumente, die sich auf das Cybersicherheits-Compliance-Programm beziehen. Das Audit prüft, ob Sie die Compliance durch die definierten internen Kontrollen eingehalten haben.

Für die Governance prüft der interne Revisor, ob der Compliance-Ausschuss an den Prüfungsausschuss berichtet, und überprüft die Kontrollen, die durch Prozesse und Richtlinien definiert sind.

Ein Beispiel für die Rolle, die ein interner Ausschuss spielt, ist, dass er die Protokolle des Prüfungs- und Compliance-Ausschusses für eine Sitzung überprüfen kann, um sicherzustellen, dass die Teams Risiken kommunizieren und effektiv überwachen. Der Prüfer vergleicht dann die Notizen mit dem Protokoll der Vorstandssitzung, um sicherzustellen, dass die Informationen alle beteiligten Personen durchlaufen.

Im Idealfall liefert die Dokumentation von Aktivitäten und Kommunikation den Prüfern den Nachweis, der für die Prüfung der Governance über das Cybersicherheitsprogramm erforderlich ist.

So verwenden Sie die Dokumentation, um die Auditing-Governance zu vereinfachen

Die Automatisierung hilft, die interne Governance-Prüfung zu erleichtern, da sie eine umfassende Dokumentation und Kommunikation ermöglicht.

Organisationen sind unterschiedlich groß. Die Größe der Organisation wirkt sich direkt auf die Koordination einer Botschaft zwischen Audit Committee, Compliance Committee und Board of Directors aus. Die Materialien des Prüfungsausschusses sollten Zusammenfassungen enthalten, die zur Identifizierung von Problemen, Risiken und nächsten Schritten erforderlich sind.

Die Automatisierung spielt eine wichtige Rolle bei der Rationalisierung des Governance-Audit-Systems. Durch die gemeinsame Nutzung von Laufwerken entlasten Sie die Kommunikation erheblich. Die Kehrseite der Freigabe ist, dass die freigegebenen Dateien automatisch aktualisiert werden, wenn eine Änderung vorgenommen wird. Das Auffinden historischer Dokumente nimmt in diesem Fall viel Zeit in Anspruch. Da jeder mit Zugriff Änderungen vornehmen und im Gegenzug alle gemeinsam genutzten Dateien aktualisieren kann, wird die Informationsintegrität beeinträchtigt, wodurch die Governance untergraben wird.

Organisationen benötigen daher eine zentrale Informationsquelle, die sie dazu auffordert, alle ihre Compliance-Aktivitäten zu dokumentieren und festzulegen, wer die Dokumente bearbeiten oder ändern kann.

Vor der Implementierung von GRC müssen Sie zunächst die Umgebung vorbereiten. Prüfen Sie, ob Sie über ausreichende Bedienelemente verfügen und ob die verfügbaren voll funktionsfähig sind. Obwohl sich GRC auf die IT konzentriert, ist die Einbeziehung der gesamten Organisation bei der Umsetzung einer Strategie entscheidend. Sie müssen darauf achten und alle Prozesse und Personen festlegen, die die Implementierung im Voraus betreffen kann.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• Verantwortlichkeiten des Compliance-Managers
• Risikomanagement für die Versicherungswirtschaft
• Cybersicherheit & Hochschulbildung
• Sicherung der Cloud
• Was ist Risikobereitschaft und Risikobereitschaft