GRC, yang merupakan singkatan dari Governance, Risk, and Compliance tersebar luas di ruang keamanan siber saat ini. Ini sebagai hasil dari organisasi standar industri dan pemerintah yang menanggapi lanskap pelanggaran data. Persyaratan kepatuhan yang baru sangat penting dalam pembuatan rencana manajemen risiko yang sangat efektif. Cara lain untuk melihat GRC adalah sebagai pendekatan dengan struktur untuk menyelaraskan Teknologi Informasi dengan tujuan bisnis sekaligus mengelola risiko dan mematuhi persyaratan.

Tata Kelola: Memastikan bahwa semua aktivitas organisasi selaras untuk mendukung tujuan bisnis jangka panjang. Tata kelola berkomunikasi dengan pemangku kepentingan eksternal dan internal untuk audit dan kelancaran semua proses.

Risiko berusaha untuk memastikan bahwa risiko dan peluang yang terkait dengan aktivitas organisasi selaras dengan tujuan bisnis.

Kepatuhan: Memastikan bahwa aktivitas dalam organisasi beroperasi dalam hukum dan peraturan yang mempengaruhi sistem.

Tata Kelola Audit

Apa itu Tata Kelola Perusahaan?

Perusahaan perlu menetapkan proses, praktik, dan aturan untuk membuktikan tata kelola. Secara kritis, tanggung jawab untuk meninjau risiko secara sadar terletak pada manajemen senior dan Dewan Direksi. Pemerintahan memberikan kekuasaan kepada kedua badan tersebut.

Apa itu Tata Kelola Perusahaan dalam Keamanan Siber?

Tata kelola perusahaan memiliki twist dalam keamanan siber. Dewan dan eksekutif tingkat senior harus memahami risiko keamanan siber sering kali sebagai akibat dari tujuan bisnis tetapi tidak perlu membuat keputusan terkait keamanan. Selain itu, tata kelola keamanan siber perlu meninjau keberhasilan pengendalian internal.

Apa Tanggung Jawab Komite Audit?

Banyak perusahaan sekarang berfokus pada keamanan siber dan menjadikan komite audit sebagai perantara yang menghubungkan Dewan direksi dengan program audit.

Oleh karena itu, anggota komite audit perlu memahami risiko dunia maya lebih baik daripada semua anggota organisasi lainnya. Namun, mereka tidak perlu melek teknologi. Mereka hanya perlu bekerja dengan para pemimpin TI (Teknologi Informasi) di dalam perusahaan untuk terlibat dalam percakapan yang mendetail.

Rencana audit perusahaan harus memperhatikan ancaman data bahkan ketika mereka menggunakan lebih banyak vendor Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS), dan Software-as-a-Service (SaaS). . Proses yang Anda gunakan untuk menentukan Indikator Kinerja Utama (KPI) Anda untuk program kepatuhan Anda adalah fokus utama dari rencana audit. Oleh karena itu, menyusun rencana audit keamanan siber akan memandu Anda tentang cara mengembangkan dan membuktikan tata kelola.

Waktu

Perencanaan audit internal adalah proses yang berkelanjutan. Tinjau pemeriksaan Anda sebelumnya untuk kekurangan kontrol sebelum Anda menetapkan rencana audit. Setelah itu, Anda dapat menentukan ruang lingkupnya.

Misalnya, jika organisasi Anda tidak memiliki sistem operasi dan manajemen tambalan perangkat lunak yang diperlukan, itu harus menjadi bagian dari cakupan audit berikutnya. Jika penambalan sempurna, tetapi audit Anda sebelumnya menemukan bahwa banyak jaringan dan sistem mempertahankan login bawaan pabrik, fokuslah pada hal itu.

Dengan kata lain, pertahankan perencanaan dan pengaturan waktu secara terus-menerus berdasarkan peningkatan yang Anda lakukan terhadap pengawasan keamanan siber Anda.

Tugas beresiko

Setiap rencana audit harus mencakup risiko keamanan siber dalam pandangan holistik. Pada saat membuat rencana audit, tetapkan toleransi risiko yang mencakup potensi pelanggaran data, lokasi, potensi biaya pelanggaran data, dan data. Fokus pada penilaian informasi yang memiliki risiko tertinggi saat Anda menentukan ruang lingkup rencana audit.

Komite Kepatuhan

Komite kepatuhan terdiri dari pemangku kepentingan internal yang bertugas untuk mendokumentasikan dan memantau pengendalian internal. Bersama dengan komite audit, komite kepatuhan memastikan bahwa perusahaan sejalan dengan perubahan peraturan dan standar. Oleh karena itu, mereka adalah garis pertahanan pertama dalam upaya menjaga kontrol tetap produktif dan menyediakan program untuk pemerintahan.

Bagaimana Auditor Internal Meninjau Tata Kelola Keamanan Siber

Ruang lingkup yang berisi langkah-langkah yang diperlukan untuk pembuktian tata kelola ditetapkan oleh rencana audit. Karena Anda membutuhkan pandangan kedua, audit internal Anda memainkan peran itu.

Anda akan membutuhkan orang independen untuk audit internal untuk menilai dan meninjau apakah keamanan siber memenuhi standar dan peraturan yang ditetapkan oleh persyaratan kepatuhan industri. Auditor internal akan mempertimbangkan semua dokumen yang terkait dengan program kepatuhan keamanan siber. Audit memeriksa apakah Anda mempertahankan kepatuhan melalui kontrol internal yang ditentukan.

Untuk tata kelola, auditor internal memeriksa apakah komite kepatuhan melapor kepada komite audit dan meninjau kontrol yang ditentukan oleh proses dan kebijakan.

Contoh peran komite internal adalah dapat meninjau risalah rapat komite audit dan kepatuhan untuk memastikan bahwa tim mengomunikasikan risiko dan memantau secara efektif. Auditor kemudian akan membandingkan catatan tersebut dengan risalah rapat Dewan untuk memastikan bahwa informasi tersebut melewati semua orang yang terlibat.

Idealnya, aktivitas dokumentasi dan komunikasi akan memberikan auditor bukti yang diperlukan untuk mengaudit tata kelola program keamanan siber.

Bagaimana Menggunakan Dokumentasi untuk Memudahkan Tata Kelola Audit

Otomatisasi membantu memfasilitasi audit tata kelola internal karena memungkinkan dokumentasi dan komunikasi yang substansial.

Organisasi berbeda dalam ukuran. Ukuran organisasi secara langsung mempengaruhi koordinasi pesan di seluruh komite audit, komite kepatuhan, dan Dewan Direksi. Materi komite audit harus mencakup ringkasan eksekutif yang diperlukan untuk identifikasi masalah, risiko, dan langkah selanjutnya.

Otomasi memainkan peran penting dalam merampingkan sistem audit tata kelola. Dengan berbagi drive, Anda sangat meringankan beban komunikasi. Sisi lain dari berbagi adalah ketika ada perubahan yang terpengaruh, file yang dibagikan diperbarui secara otomatis. Mencari dokumen sejarah, dalam hal ini, membutuhkan banyak waktu. Karena siapa pun yang memiliki akses dapat membuat perubahan dan pada gilirannya memperbarui semua file yang dibagikan, integritas informasi dikompromikan sehingga merusak tata kelola.

Oleh karena itu, organisasi memerlukan sumber informasi utama yang mengharuskan mereka untuk mendokumentasikan semua aktivitas kepatuhan mereka serta memilih siapa yang dapat mengedit atau mengubah dokumen.

Sebelum implementasi GRC, Anda perlu terlebih dahulu menyiapkan lingkungan. Periksa apakah Anda memiliki kontrol yang memadai dan apakah yang tersedia berfungsi penuh. Meskipun GRC berfokus pada TI, keterlibatan seluruh organisasi sangat penting ketika menerapkan strategi. Anda perlu memperhatikan dan menetapkan semua proses dan orang-orang yang mungkin terpengaruh oleh implementasi sebelumnya.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Tanggung jawab manajer kepatuhan
• Manajemen risiko untuk industri asuransi
• Keamanan siber & pendidikan tinggi
• Mengamankan awan
• Apa itu toleransi risiko dan selera risiko?