GRC, que significa Gobernanza, Riesgo y Cumplimiento, está muy extendido en el espacio de la ciberseguridad en la actualidad. Esto se debe a que las organizaciones de estándares de la industria y los gobiernos responden al panorama de la violación de datos. Los nuevos requisitos de cumplimiento son cruciales en la creación de un plan de gestión de riesgos que sea extremadamente efectivo. Otra forma de ver GRC es como un enfoque con estructuras para alinear la tecnología de la información con los objetivos comerciales al mismo tiempo que administra el riesgo y cumple con los requisitos.

Gobernanza: asegura que todas las actividades de la organización se alineen para respaldar los objetivos comerciales a largo plazo. Gobernanza se comunica con las partes interesadas tanto externas como internas para la auditoría y el buen funcionamiento de todos los procesos.

El riesgo busca garantizar que tanto los riesgos como las oportunidades que están vinculados a las actividades de una organización se alineen con los objetivos comerciales.

Cumplimiento: Asegura que las actividades dentro de la organización operen dentro de las leyes y regulaciones que afectan los sistemas.

Gobernanza de auditoría

¿Qué es el Gobierno Corporativo?

Las empresas necesitan establecer procesos, prácticas y reglas para demostrar la gobernabilidad. Fundamentalmente, la responsabilidad de revisar los riesgos con conocimiento recae en la alta gerencia y la Junta Directiva. La gobernanza otorga el poder a los dos órganos.

¿Qué es el Gobierno Corporativo en Ciberseguridad?

El gobierno corporativo tiene un giro en la ciberseguridad. La junta directiva y los ejecutivos de alto nivel deben comprender los riesgos de seguridad cibernética a menudo como resultado de los objetivos comerciales, pero no es necesario que tomen decisiones relacionadas con la seguridad. Además, la gobernanza de la ciberseguridad debe revisar el éxito de los controles internos.

¿Cuál es la Responsabilidad de los Comités de Auditoría?

Muchas empresas ahora se están enfocando en la seguridad cibernética y están convirtiendo al comité de auditoría en un intermediario que vincula a la Junta Directiva con el programa de auditoría.

Por lo tanto, los miembros del comité de auditoría deben comprender el riesgo cibernético mejor que todos los demás miembros de la organización. Sin embargo, no es necesario que sean expertos en tecnología. Solo necesitan trabajar con los líderes de TI (tecnología de la información) dentro de la empresa para entablar conversaciones detalladas.

Los planes de auditoría de las empresas deben prestar atención a las amenazas de datos incluso cuando utilizan más proveedores de plataforma como servicio (PaaS), infraestructura como servicio (IaaS) y software como servicio (SaaS). . El proceso que utiliza para determinar sus indicadores clave de rendimiento (KPI) para su programa de cumplimiento es el enfoque principal de los planes de auditoría. Por lo tanto, establecer un plan de auditoría de seguridad cibernética lo guía sobre cómo desarrollar y probar la gobernanza.

Sincronización

La planificación de las auditorías internas es un proceso continuo. Revise su verificación anterior para detectar deficiencias de control antes de establecer un plan de auditoría. Después de eso, puede determinar el alcance.

Por ejemplo, si su organización no contaba con el sistema operativo y la administración de parches de software requeridos, eso debería ser parte del alcance en la próxima auditoría. Si la aplicación de parches fue perfecta, pero su auditoría anterior descubrió que muchas redes y sistemas mantenían los inicios de sesión preestablecidos de fábrica, concéntrese en eso.

En otras palabras, siga planificando y cronometrando continuamente en función de las mejoras que realice en su supervisión de ciberseguridad.

Evaluación de riesgos

Cada plan de auditoría debe incluir el riesgo de ciberseguridad en una visión holística. En el momento de crear un plan de auditoría, establezca una tolerancia al riesgo que incorpore el potencial de filtración de datos, la ubicación, el costo potencial de la filtración de datos y los datos. Concéntrese en la evaluación de la información que tiene el mayor riesgo cuando determina el alcance del plan de auditoría.

Comité de Cumplimiento

Un comité de cumplimiento se compone de partes interesadas internas cuyo deber es documentar y monitorear los controles internos. Junto con el comité de auditoría, el comité de cumplimiento se asegura de que la empresa se alinee con los cambios en los reglamentos y normas. Por lo tanto, son la primera línea de defensa en el esfuerzo por mantener los controles productivos y proporcionar un programa de gobernabilidad.

Cómo los auditores internos revisan la gobernanza de la ciberseguridad

El plan de auditoría establece el alcance que contiene los pasos necesarios para la prueba de gobierno. Dado que necesita un segundo par de ojos, su auditoría interna desempeña ese papel.

Necesitará una persona independiente para la auditoría interna para evaluar y revisar si la seguridad cibernética cumple con los estándares y regulaciones establecidos por los requisitos de cumplimiento de la industria. El auditor interno considerará todos los documentos que estén relacionados con el programa de cumplimiento de ciberseguridad. La auditoría verifica si mantuvo el cumplimiento a través de los controles internos definidos.

Para el gobierno, el auditor interno examina si el comité de cumplimiento informa al comité de auditoría y revisa los controles que están definidos por procesos y políticas.

Un ejemplo del papel que desempeña el comité interno es que puede revisar las actas del comité de auditoría y cumplimiento de una reunión para garantizar que los equipos comuniquen los riesgos y realicen un seguimiento eficaz. Luego, el auditor comparará las notas con las actas de la reunión de la Junta para asegurarse de que la información pase a todas las personas involucradas.

Idealmente, la documentación de las actividades y la comunicación proporcionará a los auditores la prueba necesaria para auditar la gobernanza del programa de ciberseguridad.

Cómo utilizar la documentación para facilitar la gobernanza de la auditoría

La automatización ayuda a facilitar la auditoría de gobierno interno, ya que permite una documentación y comunicación sustanciales.

Las organizaciones son diferentes en tamaño. El tamaño de la organización afecta directamente la coordinación de un mensaje entre el comité de auditoría, el comité de cumplimiento y la Junta Directiva. Los materiales del comité de auditoría deben incluir resúmenes ejecutivos necesarios para la identificación de problemas, riesgos y próximos pasos.

La automatización juega un papel importante en la racionalización del sistema de auditoría de gobierno. Al compartir unidades, alivia en gran medida la carga de la comunicación. La otra cara de compartir es que cuando se ve afectado algún cambio, los archivos compartidos se actualizan automáticamente. Encontrar documentos históricos, en este caso, lleva mucho tiempo. Dado que cualquier persona con acceso puede realizar cambios y, a su vez, actualizar todos los archivos compartidos, la integridad de la información se ve comprometida, lo que socava la gobernanza.

Las organizaciones, por lo tanto, necesitan una fuente central de información que les obligue a documentar todas sus actividades de cumplimiento, así como a identificar quién puede editar o cambiar los documentos.

Antes de la implementación de GRC, primero debe preparar el entorno. Compruebe si tiene los controles adecuados y si los disponibles son completamente funcionales. Aunque GRC se enfoca en TI, la participación de toda la organización es crucial al implementar una estrategia. Deberá prestar atención y establecer todos los procesos y personas a las que puede afectar la implementación de antemano.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Responsabilidades del gerente de cumplimiento
• Gestión de riesgos para la industria de seguros
• Ciberseguridad y educación superior
• Asegurando la nube
• ¿Qué es la tolerancia al riesgo y el apetito por el riesgo?