O GRC, que significa Governança, Risco e Conformidade, é amplamente difundido no espaço de segurança cibernética hoje. Isso é resultado de organizações de padrões do setor e governos que respondem ao cenário de violação de dados. Os novos requisitos de compliance são cruciais na criação de um plano de gestão de risco extremamente eficaz. Outra forma de olhar para o GRC é como uma abordagem com estruturas para alinhar a Tecnologia da Informação com os objetivos do negócio ao mesmo tempo em que gerencia os riscos e atende aos requisitos.

Governança: Garante que todas as atividades da organização estejam alinhadas para apoiar as metas de negócios de longo prazo. A governança se comunica com as partes interessadas externas e internas para auditoria e bom funcionamento de todos os processos.

O risco procura garantir que tanto os riscos quanto as oportunidades que estão ligados às atividades de uma organização estejam alinhados com os objetivos do negócio.

Conformidade: Garante que as atividades dentro da organização operem dentro das leis e regulamentos que afetam os sistemas.

Governança de Auditoria

O que é Governança Corporativa?

As empresas precisam estabelecer processos, práticas e regras para comprovar a governança. Fundamentalmente, a responsabilidade de revisar os riscos com conhecimento é da alta administração e do Conselho de Administração. A governança dá o poder aos dois órgãos.

O que é Governança Corporativa em Cibersegurança?

A governança corporativa tem uma reviravolta na segurança cibernética. O Conselho e os executivos de nível sênior precisam entender os riscos de segurança cibernética geralmente como resultado dos objetivos de negócios, mas não precisam tomar decisões relacionadas à segurança. Além disso, a governança de segurança cibernética precisa revisar o sucesso dos controles internos.

Qual é a responsabilidade dos Comitês de Auditoria?

Muitas empresas agora estão se concentrando na segurança cibernética e tornando o comitê de auditoria um intermediário ligando o conselho de administração ao programa de auditoria.

Portanto, os membros do comitê de auditoria precisam entender o risco cibernético melhor do que todos os outros membros da organização. Eles, no entanto, não precisam ser conhecedores de tecnologia. Eles só precisam trabalhar com os líderes de TI (Tecnologia da Informação) dentro da empresa para se envolver em conversas detalhadas.

Os planos de auditoria das empresas precisam prestar atenção às ameaças de dados, mesmo quando usam mais fornecedores de plataforma como serviço (PaaS), infraestrutura como serviço (IaaS) e software como serviço (SaaS) . O processo que você usa para determinar seus indicadores-chave de desempenho (KPIs) para seu programa de conformidade é o foco principal dos planos de auditoria. Portanto, estabelecer um plano de auditoria de segurança cibernética orienta você sobre como desenvolver e comprovar a governança.

Tempo

O planejamento de auditorias internas é um processo contínuo. Revise sua verificação anterior quanto a deficiências de controle antes de definir um plano de auditoria. Depois disso, você pode determinar o escopo.

Por exemplo, se sua organização não tiver o sistema operacional e o gerenciamento de patches de software necessários, isso deve fazer parte do escopo na próxima auditoria. Se a correção foi perfeita, mas sua auditoria anterior descobriu que muitas redes e sistemas mantinham os logins predefinidos de fábrica, concentre-se nisso.

Em outras palavras, continue planejando e cronometrando continuamente com base nas melhorias que você faz em sua supervisão de segurança cibernética.

Avaliação de risco

Todo plano de auditoria deve incluir o risco de segurança cibernética em uma visão holística. No ponto de criar um plano de auditoria, estabeleça uma tolerância ao risco que incorpore o potencial de violação de dados, localização, custo potencial de violação de dados e dados. Concentre-se na avaliação de informações que apresenta o maior risco ao determinar o escopo do plano de auditoria.

Comitê de Conformidade

Um comitê de compliance é composto por stakeholders internos, cuja função é documentar e monitorar os controles internos. Juntamente com o comitê de auditoria, o comitê de conformidade garante que a empresa esteja alinhada às mudanças nos regulamentos e normas. Eles são, portanto, a primeira linha de defesa no esforço para manter os controles produtivos e fornecer um programa de governança.

Como os auditores internos analisam a governança de segurança cibernética

O escopo contendo as etapas necessárias para a comprovação da governança é definido pelo plano de auditoria. Como você precisa de um segundo par de olhos, sua auditoria interna desempenha esse papel.

Você precisará de uma pessoa independente para a auditoria interna avaliar e analisar se a segurança cibernética atende aos padrões e regulamentos estabelecidos pelos requisitos de conformidade do setor. O auditor interno considerará todos os documentos relacionados ao programa de conformidade de segurança cibernética. A auditoria verifica se você manteve a conformidade por meio dos controles internos definidos.

Para governança, o auditor interno examina se o comitê de compliance se reporta ao comitê de auditoria e revisa os controles definidos por processos e políticas.

Um exemplo do papel que o comitê interno desempenha é que ele pode revisar as atas do comitê de auditoria e conformidade para uma reunião para garantir que as equipes comuniquem os riscos e monitorem com eficácia. O auditor então comparará as notas com as atas da reunião do Conselho para garantir que as informações passem por todas as pessoas envolvidas.

Idealmente, documentar as atividades e a comunicação fornecerá aos auditores as provas necessárias para auditar a governança do programa de segurança cibernética.

Como usar a documentação para facilitar a governança de auditoria

A automação ajuda a facilitar a auditoria de governança interna, pois permite documentação e comunicação substanciais.

As organizações são diferentes em tamanho. O tamanho da organização afeta diretamente a coordenação de uma mensagem entre o comitê de auditoria, o comitê de conformidade e o Conselho de Administração. Os materiais do comitê de auditoria devem incluir resumos executivos necessários para a identificação de questões, riscos e próximos passos.

A automação desempenha um papel significativo na simplificação do sistema de auditoria de governança. Ao compartilhar drives, você alivia bastante a carga de comunicação. O outro lado do compartilhamento é que, quando qualquer alteração é afetada, os arquivos compartilhados são atualizados automaticamente. Encontrar documentos históricos, neste caso, leva muito tempo. Como qualquer pessoa com acesso pode fazer alterações e, por sua vez, atualizar todos os arquivos compartilhados, a integridade das informações fica comprometida, prejudicando a governança.

As organizações, portanto, precisam de uma fonte central de informações que exija que documentem todas as suas atividades de conformidade, bem como identifiquem quem pode editar ou alterar os documentos.

Antes da implementação do GRC, você precisa primeiro preparar o ambiente. Verifique se você possui controles adequados e se os disponíveis estão totalmente funcionais. Embora o GRC se concentre em TI, o envolvimento de toda a organização é crucial na implementação de uma estratégia. Você precisará prestar atenção e estabelecer todos os processos e pessoas que a implementação pode afetar de antemão.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• Responsabilidades do gerente de conformidade
• Gestão de risco para o setor de seguros
• Cibersegurança e ensino superior
• Protegendo a nuvem
• O que é tolerância ao risco e apetite ao risco