GRC, qui signifie gouvernance, risque et conformité, est aujourd'hui répandu dans l'espace de la cybersécurité. C'est le résultat de la réponse des organismes de normalisation de l'industrie et des gouvernements au paysage des violations de données. Les nouvelles exigences de conformité sont cruciales dans la création d'un plan de gestion des risques extrêmement efficace. Une autre façon de voir la GRC est une approche avec des structures pour aligner la technologie de l'information sur les objectifs commerciaux tout en gérant les risques et en se conformant aux exigences.

Gouvernance : garantit que toutes les activités de l'organisation s'alignent pour soutenir les objectifs commerciaux à long terme. La gouvernance communique avec les parties prenantes externes et internes pour l'audit et le bon fonctionnement de tous les processus.

Le risque cherche à s'assurer que les risques et les opportunités liés aux activités d'une organisation s'alignent sur les objectifs commerciaux.

Conformité : garantit que les activités au sein de l'organisation fonctionnent dans le cadre des lois et réglementations qui affectent les systèmes.

Audit Gouvernance

Qu'est-ce que la gouvernance d'entreprise ?

Les entreprises doivent établir des processus, des pratiques et des règles pour prouver la gouvernance. Surtout, la responsabilité d'examiner les risques en toute connaissance de cause incombe à la haute direction et au conseil d'administration. La gouvernance donne le pouvoir aux deux organes.

Qu'est-ce que la gouvernance d'entreprise en cybersécurité ?

La gouvernance d'entreprise a une tournure dans la cybersécurité. Le conseil d'administration et les cadres supérieurs doivent comprendre les risques de cybersécurité souvent en raison des objectifs commerciaux, mais n'ont pas besoin de prendre de décisions liées à la sécurité. De plus, la gouvernance de la cybersécurité doit examiner le succès des contrôles internes.

Quelle est la responsabilité des comités d'audit ?

De nombreuses entreprises se concentrent désormais sur la cybersécurité et font du comité d'audit un intermédiaire reliant le conseil d'administration au programme d'audit.

Par conséquent, les membres du comité d'audit doivent mieux comprendre le cyber-risque que tous les autres membres de l'organisation. Cependant, ils n'ont pas besoin d'être technophiles. Il leur suffit de travailler avec les responsables informatiques (technologies de l'information) de l'entreprise pour engager des conversations détaillées.

Les plans d'audit des entreprises doivent prêter attention aux menaces de données même si elles utilisent davantage les fournisseurs de plate-forme en tant que service (PaaS), d'infrastructure en tant que service (IaaS) et de logiciel en tant que service (SaaS). . Le processus que vous utilisez pour déterminer vos indicateurs de performance clés (KPI) pour votre programme de conformité est l'objectif principal des plans d'audit. Par conséquent, l'établissement d'un plan d'audit de cybersécurité vous guide sur la façon de développer et de prouver la gouvernance.

Horaire

La planification des audits internes est un processus continu. Examinez vos vérifications passées pour détecter les lacunes de contrôle avant d'établir un plan d'audit. Après cela, vous pouvez déterminer la portée.

Par exemple, si votre organisation ne disposait pas du système d'exploitation et de la gestion des correctifs logiciels requis, cela devrait faire partie de la portée du prochain audit. Si le correctif était parfait, mais que votre audit précédent a révélé que de nombreux réseaux et systèmes maintenaient les connexions prédéfinies en usine, concentrez-vous sur cela.

En d'autres termes, continuez à planifier et à chronométrer en permanence en fonction des améliorations que vous apportez à votre surveillance de la cybersécurité.

L'évaluation des risques

Chaque plan d'audit doit inclure le risque de cybersécurité dans une vue holistique. Au moment de créer un plan d'audit, établissez une tolérance au risque qui intègre le potentiel de violation de données, l'emplacement, le coût potentiel de la violation de données et les données. Concentrez-vous sur l'évaluation des informations qui présente le risque le plus élevé lorsque vous déterminez la portée du plan d'audit.

Comité de conformité

Un comité de conformité comprend des parties prenantes internes dont le devoir est de documenter et de surveiller les contrôles internes. En collaboration avec le comité d'audit, le comité de conformité veille à ce que l'entreprise s'aligne sur les évolutions de la réglementation et des normes. Ils sont donc la première ligne de défense pour s'efforcer de maintenir les contrôles productifs et fournir un programme de gouvernance.

Comment les auditeurs internes examinent la gouvernance de la cybersécurité

Le périmètre contenant les étapes nécessaires à la preuve de la gouvernance est défini par le plan d'audit. Puisque vous avez besoin d'un deuxième regard, votre audit interne joue ce rôle.

Vous aurez besoin d'une personne indépendante pour l'audit interne afin d'évaluer et de vérifier si la cybersécurité répond aux normes et réglementations établies par les exigences de conformité de l'industrie. L'auditeur interne examinera tous les documents liés au programme de conformité en matière de cybersécurité. L'audit vérifie si vous avez maintenu la conformité grâce aux contrôles internes définis.

Pour la gouvernance, l'auditeur interne examine si le comité de conformité rapporte au comité d'audit et examine les contrôles définis par les processus et les politiques.

Un exemple du rôle que joue le comité interne est qu'il peut examiner les procès-verbaux du comité d'audit et de conformité d'une réunion pour s'assurer que les équipes communiquent sur les risques et surveillent efficacement. L'auditeur comparera ensuite les notes aux procès-verbaux des réunions du conseil d'administration pour s'assurer que l'information passe par toutes les personnes concernées.

Idéalement, la documentation des activités et de la communication fournira aux auditeurs la preuve nécessaire pour auditer la gouvernance du programme de cybersécurité.

Comment utiliser la documentation pour faciliter la gouvernance de l'audit

L'automatisation aide à faciliter l'audit de la gouvernance interne car elle permet une documentation et une communication substantielles.

Les organisations sont de tailles différentes. La taille de l'organisation affecte directement la coordination d'un message à travers le comité d'audit, le comité de conformité et le conseil d'administration. Les documents du comité d'audit doivent inclure des résumés analytiques nécessaires à l'identification des problèmes, des risques et des prochaines étapes.

L'automatisation joue un rôle important dans la rationalisation du système d'audit de la gouvernance. En partageant les disques, vous allégez considérablement le fardeau de la communication. Le revers du partage est que lorsqu'un changement est affecté, les fichiers partagés sont automatiquement mis à jour. Trouver des documents historiques, dans ce cas, prend beaucoup de temps. Étant donné que toute personne ayant accès peut apporter des modifications et mettre à jour à son tour tous les fichiers partagés, l'intégrité des informations est compromise, ce qui compromet la gouvernance.

Les organisations ont donc besoin d'une source centrale d'informations qui les oblige à documenter toutes leurs activités de conformité et à identifier qui peut éditer ou modifier les documents.

Avant la mise en œuvre de GRC, vous devez d'abord préparer l'environnement. Vérifiez si vous disposez de contrôles adéquats et si ceux disponibles sont entièrement fonctionnels. Bien que GRC se concentre sur l'informatique, l'implication de l'ensemble de l'organisation est cruciale lors de la mise en œuvre d'une stratégie. Vous devrez faire attention et établir au préalable tous les processus et les personnes que la mise en œuvre peut affecter.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

• Responsabilités du responsable de la conformité
• Gestion des risques pour le secteur de l'assurance
• Cybersécurité & enseignement supérieur
• Sécuriser le cloud
• Qu'est-ce que la tolérance au risque et l'appétit pour le risque