GRC, che sta per Governance, Risk e Compliance, è oggi diffuso nello spazio della sicurezza informatica. Ciò è il risultato delle organizzazioni di standard del settore e dei governi che rispondono al panorama delle violazioni dei dati. I nuovi requisiti di compliance sono determinanti nella creazione di un piano di gestione del rischio estremamente efficace. Un altro modo di guardare al GRC è come un approccio con strutture per allineare l'Information Technology con gli obiettivi di business e allo stesso tempo gestire il rischio e rispettare i requisiti.

Governance: garantisce che tutte le attività dell'organizzazione siano allineate per supportare gli obiettivi aziendali a lungo termine. La governance comunica con gli stakeholder esterni e interni per l'audit e il regolare svolgimento di tutti i processi.

Il rischio cerca di garantire che sia i rischi che le opportunità collegati alle attività di un'organizzazione siano allineati con gli obiettivi aziendali.

Conformità: garantisce che le attività all'interno dell'organizzazione operino nel rispetto delle leggi e dei regolamenti che interessano i sistemi.

Governance della revisione

Che cos'è il governo societario?

Le aziende devono stabilire processi, pratiche e regole per dimostrare la governance. Fondamentalmente, la responsabilità di esaminare i rischi in modo consapevole spetta all'alta dirigenza e al Consiglio di amministrazione. La governance attribuisce il potere ai due organi.

Che cos'è la corporate governance nella sicurezza informatica?

La corporate governance ha una svolta nella sicurezza informatica. Il consiglio di amministrazione e i dirigenti di alto livello devono comprendere i rischi per la sicurezza informatica spesso come risultato di obiettivi aziendali, ma non devono prendere decisioni relative alla sicurezza. Inoltre, la governance della sicurezza informatica deve rivedere il successo dei controlli interni.

Qual è la responsabilità dei comitati di audit?

Molte aziende si stanno ora concentrando sulla sicurezza informatica e rendendo il comitato di audit un intermediario che collega il consiglio di amministrazione al programma di audit.

Pertanto, i membri del comitato di audit devono comprendere il rischio informatico meglio di tutti gli altri membri dell'organizzazione. Tuttavia, non è necessario che siano esperti di tecnologia. Hanno solo bisogno di lavorare con i leader IT (Information Technology) all'interno dell'azienda per impegnarsi in conversazioni dettagliate.

I piani di audit delle aziende devono prestare attenzione alle minacce ai dati anche se utilizzano più fornitori di Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) e Software-as-a-Service (SaaS) . Il processo che utilizzi per determinare i tuoi (KPI) Key Performance Indicators per il tuo programma di conformità è l'obiettivo principale dei piani di audit. Pertanto, la creazione di un piano di audit della sicurezza informatica guida l'utente su come sviluppare e dimostrare la governance.

Tempi

La pianificazione degli audit interni è un processo continuo. Rivedi il tuo controllo passato per le carenze di controllo prima di definire un piano di audit. Successivamente, puoi determinare l'ambito.

Ad esempio, se la tua organizzazione non disponeva del sistema operativo e della gestione delle patch software richiesti, questo dovrebbe rientrare nell'ambito del controllo successivo. Se l'applicazione delle patch è stata perfetta, ma il tuo controllo passato ha rilevato che molte reti e sistemi hanno mantenuto gli accessi preimpostati in fabbrica, concentrati su quello.

In altre parole, continua a pianificare e cronometrare continuamente in base ai miglioramenti apportati alla supervisione della sicurezza informatica.

Valutazione del rischio

Ogni piano di audit dovrebbe includere il rischio di sicurezza informatica in una visione olistica. Al momento della creazione di un piano di audit, stabilire una tolleranza al rischio che includa il potenziale di violazione dei dati, l'ubicazione, il potenziale costo di violazione dei dati e i dati. Concentrarsi sulla valutazione delle informazioni che presenta il rischio più elevato quando si determina l'ambito del piano di audit.

Comitato di Conformità

Un comitato di conformità è composto da stakeholder interni il cui compito è quello di documentare e monitorare i controlli interni. Insieme al comitato di audit, il comitato di conformità assicura che l'azienda si allinei alle modifiche ai regolamenti e agli standard. Sono quindi la prima linea di difesa nel tentativo di mantenere i controlli produttivi e fornire un programma di governance.

Come i revisori interni esaminano la governance della sicurezza informatica

L'ambito contenente le fasi necessarie per la prova della governance è definito dal piano di audit. Dal momento che hai bisogno di un secondo paio di occhi, il tuo audit interno gioca quel ruolo.

Avrai bisogno di una persona indipendente per l'audit interno per valutare e verificare se la sicurezza informatica soddisfa gli standard e i regolamenti stabiliti dai requisiti di conformità del settore. Il revisore interno prenderà in considerazione tutti i documenti relativi al programma di conformità alla sicurezza informatica. L'audit verifica se hai mantenuto la conformità attraverso i controlli interni definiti.

Per la governance, il revisore interno esamina se il comitato di conformità riferisce al comitato di revisione e rivede i controlli definiti da processi e politiche.

Un esempio del ruolo svolto dal comitato interno è che può rivedere i verbali del comitato di audit e conformità per una riunione per garantire che i team comunichino i rischi e monitorino in modo efficace. Il revisore confronta quindi le note con i verbali delle riunioni del Consiglio per garantire che l'informazione passi attraverso tutte le persone coinvolte.

Idealmente, la documentazione delle attività e della comunicazione fornirà agli auditor le prove necessarie per controllare la governance sul programma di sicurezza informatica.

Come utilizzare la documentazione per facilitare la governance dell'audit

L'automazione aiuta a facilitare l'audit della governance interna in quanto consente una documentazione e una comunicazione sostanziali.

Le organizzazioni sono di dimensioni diverse. La dimensione dell'organizzazione influisce direttamente sul coordinamento di un messaggio tra il comitato di audit, il comitato di conformità e il consiglio di amministrazione. I materiali del comitato di audit dovrebbero includere riepiloghi esecutivi necessari per l'identificazione di problemi, rischi e fasi successive.

L'automazione svolge un ruolo significativo nello snellimento del sistema di controllo della governance. Condividendo le unità, allevii notevolmente il carico di comunicazione. Il rovescio della medaglia è che quando viene modificata qualsiasi modifica, i file condivisi si aggiornano automaticamente. Trovare documenti storici, in questo caso, richiede molto tempo. Poiché chiunque abbia accesso può apportare modifiche e, a sua volta, aggiornare tutti i file condivisi, l'integrità delle informazioni è compromessa, minando così la governance.

Le organizzazioni, quindi, hanno bisogno di una fonte centrale di informazioni che richieda loro di documentare tutte le loro attività di conformità e di individuare chi può modificare o modificare i documenti.

Prima dell'implementazione di GRC, è necessario prima preparare l'ambiente. Verifica se disponi di controlli adeguati e se quelli disponibili sono perfettamente funzionanti. Sebbene GRC si concentri sull'IT, il coinvolgimento dell'intera organizzazione è fondamentale nell'implementazione di una strategia. Dovrai prestare attenzione e stabilire in anticipo tutti i processi e le persone che l'implementazione potrebbe influenzare.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• Responsabilità del responsabile della conformità
• Gestione del rischio per il settore assicurativo
• Sicurezza informatica e istruzione superiore
• Mettere in sicurezza il cloud
• Che cos'è la tolleranza al rischio e la propensione al rischio