Gjør revisjoner betyr noe med integrering i tekniske arkitekturer

Praksisstandarder er gode guider for organisasjoner som søker å opprette og administrere sikkerhetspolitikk og prosesser. Og mange revisorer bruker standarder for å lage relevante lister over nøkkelkontroller og hvordan du bruker disse nøkkelkontrollene på sikkerhetsinnsats. Organisasjoner drar nytte av disse aktivitetene hvis ledelse, revisjon og sikkerhet jobber tett sammen for å sikre at de muliggjør virksomheten. Organisasjoner de opererer innen siloer kan lide av produktivitet, noe som hindrer organisasjonen i å bevege seg mot forretningsmessige mål.

Utfordringen

Forretningsledere har ett primært resultat: å optimalisere gevinsten. Alle andre forretningsaktiviteter støtter dette. Ja, mange organisasjoner gir tilbake til lokalsamfunnene og tar veldig godt vare på de ansatte. Men et selskap kan ikke gjøre noe hvis bunnlinjen kontinuerlig er i det røde.

En virksomhet som opererer i dag står overfor en betydelig utfordring som aldri var forventet for flere tiår siden: hvordan man bruker informasjonsteknologi for å forbli konkurransedyktig og samtidig beskytte lagring og bevegelse av elektronisk åndsverk og sensitiv personlig informasjon. Rollen til IS-sikkerhet og revisorene (både intern og tredjepart) er å gjøre virksomheten i stand til å realisere dette målet.

Sikkerhetsteam og revisorer velger vanligvis en eller flere standarder for praksis for å hjelpe deg med å velge riktige kontroller. Når den ikke blir administrert riktig, kan denne valg- og implementeringsprosessen:

  • Hindre organisasjonens fremgang mot sine strategiske, taktiske og operasjonelle mål; og
  • Lag en rift mellom IS-sikkerhet og revisjon som pleier et miljø med konfrontasjon.

I begge tilfeller lider organisasjonen.

Løsningen

La oss først definere formålet med en standard for praksis. En standard er en retningslinje, ikke et sett med obligatoriske administrative, fysiske og tekniske kontroller. Verken COBIT eller ISO-standardene skal sees på som å ha bibelsk vekt. Når den brukes på riktig måte, hjelper en standard med sikkerhet sikkerhet og revisjon med å stille de riktige spørsmålene og veilede designteam.

For det andre bør revisjon og sikkerhet ikke fungere fra to forskjellige standarder. De bør samarbeide for å velge og implementere en eller flere standarder for praksis som gir mening for deres unike organisasjon. Men selv når sikkerhet og revisjon er enige om standardene som skal brukes, hva som skal implementeres og i hvilken grad ofte er det stridsområder.

Sikkerhet og revisjon kan eliminere de fleste uenighetspunkter hvis de holder forretningsmessige mål fremst i hodet. Med andre ord, de skal samarbeide for å gjøre det mulig for virksomheten å oppfylle sine forretningsmessige mål. Dette er ikke mulig uten en klar forståelse av arkitektoniske krav.

Arkitektur

Arkitekturer danner et rammeverk hvor sikkerhet og revisjon integrerer alle andre løsninger, inkludert kontroller. De gir et utgangspunkt for å diskutere hvilke kontroller som er nødvendige og hvordan man måler dem. Det er fire grunnleggende arkitekturer som danner grunnlaget for all sikkerhet, revisjon og informasjonsteknologi design og implementering: informasjon, nettverk, system og sikkerhet.

Figur 1

Som vist i figur 1, er informasjonsarkitektur avledet fra forretningskrav. Den beskriver hvilken informasjon som er nødvendig, hvem som trenger den, hvor og når. En godt designet informasjonsarkitektur muliggjør effektiv bruk av informasjon for å oppfylle forretningsmessige mål.

Nettverksarkitektur beskriver hvordan informasjon beveger seg og lagres i bedriften. Inkludert i denne designen er grensesnitt med eksterne enheter som organisasjonen deler data med.

Systemarkitektur definerer systemdesign. Det gjør det mulig for systemer, for eksempel prosesseringssystemer for økonomiske og menneskelige ressurser, å behandle data og gi meningsfull informasjon som definert i informasjonsarkitekturen.

Underliggende til alle teknologiorkitekturene - nettverk og systemer - er sikkerhetsarkitekturen. Det muliggjør bruk av de andre arkitekturene med sikkerhet for at informasjonsbruk er i samsvar med myndighetskrav og kunders og ansattes personvernforventninger.

Alle arkitekturdesignene skal sammenlignes med en eller flere standarder for praksis. Denne sammenligningen, som oppstår under alle arkitekturdesignaktiviteter, gjør det mulig for ledelse, nettverks- og systemingeniører og utviklere å stille de riktige spørsmålene. Svarene på disse spørsmålene, inkludert hvordan hvert element av standarder gjelder organisasjonens unike miljø, hjelper til med å skape et informasjonsbehandlingsmiljø som har akkurat den rette sikkerhetsmengden. Med andre ord beskytter sikkerhet operasjonelle aktiviteter uten unødig innblanding.

Revidere

Et trinn ofte savnet under arkitektonisk design er definisjon av hvordan man måler suksess. Hvordan vil organisasjonen avgjøre om resultatene av arkitekturdesignene oppfyller forventningene? Hvem er ansvarlig for å validere at arkitekturene blir brukt på riktig måte og oppnådd samsvar? Svaret på begge spørsmålene er revisjon. Revisjonskonstruksjon ligger til grunn for all forretningsvirksomhet, inkludert teknologidesign og implementering.

Teamet som har til oppgave å bygge og vedlikeholde arkitekturer, bør inneholde en representant fra revisjonsteamet. Denne personen er ansvarlig for å sikre definisjon av viktige resultatindikatorer og hvordan han skal måle dem. Ved å integrere revisjon i designprosessen:

  • Administrasjons-, tekniske og revisjonsteam bruker alle samme standardsett;
  • Alle interessenter i arkitekturen er enige om hvordan suksess ser ut; og
  • Alle interessenter i arkitekturen er enige om hvordan man måler suksess.

Å integrere revisjon i tekniske arkitekturer sikrer at nøkkelkontroller faktisk betyr noe. I stedet for vilkårlig overholdelse av en viss praksis, gjenspeiler de virksomhetens behov.

Det siste ordet

Systematisk implementering av teknologier som muliggjør virksomhet, krever standardveiledning, bruk av arkitekturer for konsistens og anvendelse av revisjonsmetoder for å sikre utfall. En organisasjon der disse aktivitetene ikke er integrert, vil kontinuerlig oppleve konflikt mellom virksomhetsstyring, sikkerhet og revisorer. Å bringe alle krav og bekymringer til en tabell for diskusjon og integrering i arkitektoniske design bidrar til å eliminere uproduktiv bickring og unødvendige kontroller, mens du flytter virksomheten nærmere å oppfylle sine strategiske, taktiske og operasjonelle mål.

© Copyright 2021 | pepebotifarra.com