GRC, что расшифровывается как Governance, Risk, and Compliance, сегодня широко распространено в сфере кибербезопасности. Это результат того, что организации по отраслевым стандартам и правительства реагируют на утечку данных. Новые требования соответствия имеют решающее значение для создания чрезвычайно эффективного плана управления рисками . Другой способ взглянуть на GRC — это подход со структурами для согласования информационных технологий с бизнес-целями при одновременном управлении рисками и соблюдении требований.

Управление: Гарантирует, что все действия организации соответствуют долгосрочным бизнес-целям. Руководство общается как с внешними, так и с внутренними заинтересованными сторонами для аудита и бесперебойной работы всех процессов.

Риск направлен на то, чтобы как риски, так и возможности, связанные с деятельностью организации, соответствовали бизнес-целям.

Соблюдение: гарантирует, что деятельность внутри организации осуществляется в рамках законов и правил, влияющих на системы.

Аудит

Что такое корпоративное управление?

Компаниям необходимо установить процессы, методы и правила, чтобы доказать эффективность управления. Важно отметить, что ответственность за осознанный анализ рисков лежит на высшем руководстве и совете директоров. Управление дает власть двум органам.

Что такое корпоративное управление в кибербезопасности?

Корпоративное управление имеет свою особенность в области кибербезопасности. Совет директоров и руководители высшего звена должны понимать риски кибербезопасности часто в результате бизнес-целей, но им не нужно принимать решения, связанные с безопасностью. Кроме того, управление кибербезопасностью должно анализировать эффективность внутреннего контроля.

Какова ответственность ревизионных комитетов?

Многие компании в настоящее время сосредоточены на кибербезопасности и превращают комитет по аудиту в посредника, связывающего совет директоров с программой аудита.

Поэтому члены комитета по аудиту должны понимать киберриски лучше, чем все остальные члены организации. Однако им не обязательно быть технически подкованными. Им нужно только работать с лидерами ИТ (информационных технологий) внутри компании, чтобы участвовать в подробных беседах.

Планы аудита компаний должны уделять внимание угрозам данных, даже если они используют больше поставщиков платформы как услуги (PaaS), инфраструктуры как услуги (IaaS) и программного обеспечения как услуги (SaaS). . Процесс, который вы используете для определения ваших (KPI) ключевых показателей эффективности для вашей программы соответствия, является основным направлением планов аудита. Таким образом, составление плана аудита кибербезопасности поможет вам разработать и подтвердить управление.

Сроки

Планирование внутренних аудитов — это непрерывный процесс. Перед составлением плана аудита просмотрите свою прошлую проверку на наличие недостатков контроля. После этого можно определить область применения.

Например, если в вашей организации не было требуемой операционной системы и управления исправлениями программного обеспечения, это должно быть частью объема следующего аудита. Если исправление прошло идеально, но в ходе предыдущей проверки было обнаружено, что многие сети и системы сохраняют предустановленные на заводе логины, сосредоточьтесь на этом.

Другими словами, продолжайте планировать и планировать постоянно, основываясь на улучшениях, которые вы вносите в свой надзор за кибербезопасностью.

Оценка рисков

Каждый план аудита должен включать риски кибербезопасности в целостном виде. В момент создания плана аудита установите допустимый риск, который включает потенциал утечки данных, местоположение, потенциальную стоимость утечки данных и данные. Сосредоточьтесь на оценке информации, которая имеет самый высокий риск, когда вы определяете объем плана аудита.

Комитет по соблюдению

Комитет по соблюдению состоит из внутренних заинтересованных сторон, обязанностью которых является документирование и мониторинг внутреннего контроля. Вместе с комитетом по аудиту комитет по соблюдению обеспечивает соответствие компании изменениям в правилах и стандартах. Таким образом, они являются первой линией защиты в попытках сохранить продуктивность контроля и обеспечить программу управления.

Как внутренние аудиторы проверяют управление кибербезопасностью

Объем, содержащий необходимые шаги для доказательства корпоративного управления, определяется планом аудита. Поскольку вам нужна вторая пара глаз, эту роль играет ваш внутренний аудит.

Вам понадобится независимый человек для внутреннего аудита, чтобы оценить и проверить, соответствует ли кибербезопасность стандартам и правилам, установленным отраслевыми требованиями соответствия. Внутренний аудитор рассмотрит все документы, связанные с программой соответствия требованиям кибербезопасности. Аудит проверяет, поддерживали ли вы соблюдение установленных правил внутреннего контроля.

Что касается управления, внутренний аудитор проверяет, отчитывается ли комитет по соответствию перед комитетом по аудиту, и анализирует средства контроля, определенные процессами и политиками.

Примером роли, которую играет внутренний комитет, является то, что он может просматривать протоколы заседаний комитета по аудиту и соблюдению требований, чтобы убедиться, что команды сообщают о рисках и эффективно их контролируют. Затем аудитор сравнивает записи с протоколами заседаний Совета, чтобы убедиться, что информация проходит через всех вовлеченных людей.

В идеале, документирование действий и коммуникации предоставит аудиторам доказательства, необходимые для аудита управления программой кибербезопасности.

Как использовать документацию для облегчения управления аудитом

Автоматизация помогает облегчить аудит внутреннего управления, поскольку позволяет вести существенную документацию и обмениваться данными.

Организации бывают разные по размеру. Размер организации напрямую влияет на координацию сообщения в комитете по аудиту, комитете по соблюдению требований и совете директоров. Материалы комитета по аудиту должны включать резюме, необходимые для выявления проблем, рисков и последующих шагов.

Автоматизация играет важную роль в рационализации системы аудита управления. Делясь дисками, вы значительно облегчаете коммуникативную нагрузку. Обратной стороной общего доступа является то, что при внесении каких-либо изменений общие файлы обновляются автоматически. Поиск исторических документов в этом случае занимает много времени. Поскольку любой, у кого есть доступ, может вносить изменения и, в свою очередь, обновлять все общие файлы, целостность информации нарушается, что подрывает управление.

Таким образом, организациям необходим центральный источник информации, который требует от них документирования всех их действий по обеспечению соответствия, а также определения того, кто может редактировать или изменять документы.

Перед внедрением GRC нужно сначала подготовить среду. Проверьте, есть ли у вас адекватные элементы управления и полностью ли функциональны доступные. Хотя GRC фокусируется на ИТ, участие всей организации имеет решающее значение при реализации стратегии. Вам нужно будет обратить внимание и заранее установить все процессы и людей, на которые может повлиять внедрение.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.

Рекомендации редакции:

• Обязанности комплаенс-менеджера
• Управление рисками в страховой отрасли
• Кибербезопасность и высшее образование
• Защита облака
• Что такое толерантность к риску и склонность к риску