Yönetiminizi denetleme

Yayınlanan: 2019-05-21

Yönetişim, Risk ve Uyumluluk anlamına gelen GRC, günümüzde siber güvenlik alanında yaygın olarak kullanılmaktadır. Bu, endüstri standartları kuruluşlarının ve hükümetlerin veri ihlali ortamına yanıt vermelerinin bir sonucudur. Yeni uyumluluk gereksinimleri , son derece etkili bir risk yönetim planının oluşturulmasında çok önemlidir. GRC'ye bakmanın bir başka yolu, Bilgi Teknolojisini iş hedefleriyle uyumlu hale getirirken aynı zamanda riski yönetmek ve gereksinimlere uymak için yapılara sahip bir yaklaşımdır.

Yönetişim: Tüm organizasyon faaliyetlerinin uzun vadeli iş hedeflerini destekleyecek şekilde hizalanmasını sağlar. Yönetişim, tüm süreçlerin denetlenmesi ve sorunsuz çalışması için hem dış hem de iç paydaşlarla iletişim kurar.

Risk, bir kuruluşun faaliyetleriyle bağlantılı hem risklerin hem de fırsatların iş hedefleriyle uyumlu olmasını sağlamaya çalışır.

Uyum: Kuruluş içindeki faaliyetlerin sistemleri etkileyen yasa ve yönetmelikler çerçevesinde çalışmasını sağlar.

Denetim Yönetişim

Kurumsal Yönetim Nedir?

Şirketlerin yönetişimi kanıtlamak için süreçler, uygulamalar ve kurallar oluşturması gerekir. Kritik olarak, riskleri bilgili bir şekilde gözden geçirme sorumluluğu üst yönetime ve Yönetim Kurulu'na aittir. Yönetim, gücü iki organa verir.

Siber Güvenlikte Kurumsal Yönetim Nedir?

Kurumsal yönetişim siber güvenlikte bir bükülme var. Yönetim Kurulu ve üst düzey yöneticiler, genellikle iş hedeflerinin bir sonucu olarak siber güvenlik risklerini anlamak zorundadır, ancak güvenlikle ilgili kararlar almak zorunda değildir. Ayrıca, siber güvenlik yönetişiminin iç kontrollerin başarısını gözden geçirmesi gerekir.

Denetim Komitelerinin Sorumluluğu Nedir?

Birçok şirket artık siber güvenliğe odaklanıyor ve denetim komitesini, yönetim kurulunu denetim programına bağlayan bir aracı yapıyor.

Bu nedenle, denetim komitesi üyelerinin siber riski organizasyonun diğer tüm üyelerinden daha iyi anlaması gerekir. Bununla birlikte, teknoloji konusunda bilgili olmaları gerekmez. Ayrıntılı görüşmelerde bulunmak için yalnızca şirket içindeki BT (Bilgi Teknolojisi) liderleriyle çalışmaları gerekir.

Şirketlerin denetim planları, daha fazla Hizmet Olarak Platform (PaaS), Hizmet Olarak Altyapı (IaaS) ve Hizmet Olarak Yazılım (SaaS) satıcılarını kullandıklarında bile veri tehditlerine dikkat etmelidir. . Uyum programınız için (KPI'ler) Temel Performans Göstergelerinizi belirlemek için kullandığınız süreç, denetim planlarının ana odak noktasıdır. Bu nedenle, bir siber güvenlik denetim planı oluşturmak, yönetişimi nasıl geliştireceğiniz ve kanıtlayacağınız konusunda size rehberlik eder.

Zamanlama

İç denetim planlaması sürekli bir süreçtir. Bir denetim planı oluşturmadan önce kontrol eksiklikleri için geçmiş kontrollerinizi gözden geçirin. Bundan sonra kapsamı belirleyebilirsiniz.

Örneğin, kuruluşunuzda gerekli işletim sistemi ve yazılım yama yönetimi yoksa, bu bir sonraki denetimde kapsamın bir parçası olmalıdır. Yama mükemmeldiyse, ancak geçmiş denetiminiz birçok ağın ve sistemin fabrikada ön ayarlı oturum açma işlemlerini sürdürdüğünü tespit ettiyse, buna odaklanın.

Diğer bir deyişle, siber güvenlik gözetiminizde yaptığınız iyileştirmelere dayalı olarak sürekli olarak planlama ve zamanlamaya devam edin.

Risk değerlendirmesi

Her denetim planı, bütünsel bir bakış açısıyla siber güvenlik riskini içermelidir. Bir denetim planı oluşturma noktasında, veri ihlali potansiyeli, konum, olası veri ihlali maliyeti ve verileri içeren bir risk toleransı oluşturun. Denetim planı kapsamını belirlerken en yüksek riske sahip bilgi değerlendirmesine odaklanın.

Uyum Komitesi

Uyum komitesi, görevi iç kontrolleri belgelemek ve izlemek olan iç paydaşlardan oluşur. Denetim komitesi ile birlikte uyum komitesi, şirketin mevzuat ve standartlardaki değişikliklere uyum sağlamasını sağlar. Bu nedenle, kontrolleri üretken tutmak ve yönetişim için bir program sağlamak için çabalayan ilk savunma hattıdır.

İç Denetçiler Siber Güvenlik Yönetimini Nasıl İnceliyor?

Yönetişimin kanıtı için gerekli adımları içeren kapsam, denetim planı tarafından belirlenir. İkinci bir göze ihtiyacınız olduğundan, bu rolü iç denetim biriminiz oynar.

Siber güvenliğin endüstri uyumluluk gereksinimleri tarafından belirlenen standartları ve düzenlemeleri karşılayıp karşılamadığını değerlendirmek ve gözden geçirmek için iç denetim için bağımsız bir kişiye ihtiyacınız olacaktır. İç denetçi, siber güvenlik uyum programıyla ilgili tüm belgeleri dikkate alacaktır. Denetim, tanımlanan iç kontroller aracılığıyla uyumluluğu sürdürüp sürdürmediğinizi kontrol eder.

Yönetişim için, iç denetçi, uyum komitesinin denetim komitesine rapor verip vermediğini inceler ve süreçler ve politikalar tarafından tanımlanan kontrolleri gözden geçirir.

İç komitenin oynadığı role bir örnek, ekiplerin riskleri iletmesini ve etkin bir şekilde izlemesini sağlamak için bir toplantı için denetim ve uyum komitesi tutanaklarını gözden geçirebilmesidir. Denetçi daha sonra, bilgilerin ilgili tüm kişilerden geçmesini sağlamak için notları Kurul toplantı tutanaklarıyla karşılaştıracaktır.

İdeal olarak, faaliyetlerin ve iletişimin belgelenmesi, denetçilere siber güvenlik programı üzerinden yönetişimi denetlemek için gereken kanıtı sağlayacaktır.

Denetim Yönetimini Kolaylaştırmak için Belgeler Nasıl Kullanılır?

Otomasyon, önemli dokümantasyon ve iletişime olanak sağladığı için iç yönetişim denetimini kolaylaştırmaya yardımcı olur.

Organizasyonların boyutları farklıdır. Kuruluşun büyüklüğü, denetim komitesi, uyum komitesi ve Yönetim Kurulu arasında bir mesajın koordinasyonunu doğrudan etkiler. Denetim komitesi materyalleri, sorunların, risklerin ve sonraki adımların belirlenmesi için ihtiyaç duyulan yönetici özetlerini içermelidir.

Otomasyon, yönetişim denetim sisteminin düzenlenmesinde önemli bir rol oynar. Sürücüleri paylaşarak, iletişim yükünü büyük ölçüde hafifletirsiniz. Paylaşımın diğer tarafı, herhangi bir değişiklik etkilendiğinde, paylaşılan dosyaların otomatik olarak güncellenmesidir. Bu durumda tarihi belgeleri bulmak çok zaman alır. Erişimi olan herkes değişiklik yapıp tüm paylaşılan dosyaları güncelleyebildiğinden, bilgi bütünlüğü tehlikeye atılır ve bu da yönetişime zarar verir.

Bu nedenle kuruluşlar, tüm uyumluluk faaliyetlerini belgelemelerini ve belgeleri kimin düzenleyebileceğini veya değiştirebileceğini belirlemelerini gerektiren merkezi bir bilgi kaynağına ihtiyaç duyar.

GRC'nin uygulanmasından önce ortamı hazırlamanız gerekir. Yeterli kontrollere sahip olup olmadığınızı ve mevcut olanların tamamen işlevsel olup olmadığını kontrol edin. GRC, BT'ye odaklansa da, bir stratejiyi uygularken tüm organizasyonun katılımı çok önemlidir. Dikkat etmeniz ve uygulamanın etkileyebileceği tüm süreçleri ve kişileri önceden belirlemeniz gerekecektir.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

  • Uyum yöneticisi sorumlulukları
  • Sigorta sektörü için risk yönetimi
  • Siber güvenlik ve yüksek öğrenim
  • Bulutun güvenliğini sağlamak
  • Risk toleransı ve risk iştahı nedir?