行动对内部审计网络安全、数据的风险

网络攻击的数量继续增加明显,演员变得更加成熟和威胁多元化的方法。这并不令人惊讶的是,网络安全防范2019年内部审计重点位列榜首。

其他数据和问题也在内部审计的雷达,根据Gartner热点审计计划。网络安全2019年位居榜首的12个新兴风险,其次是数据治理、第三方和数据隐私。

“这些风险,或热点,是商业领导人期望的重要问题的内部审计评估和减轻他们,以及沟通组织和利益相关者的影响,”马尔科姆·默里说,在Gartner副总裁,团队经理。

在cyberpreparedness审计能做什么

Gartner 2019审计关键风险和重点调查显示,77%的审计部门肯定计划涵盖网络安全检测和预防在未来12 - 18个月的审计活动。只有5%的人没有这样的活动计划。然而,只有53%的审计部门高度自信的能力保证了网络安全检测和预防风险。

这里有一些审计可以采取的措施来解决网络安全防范:

• 审查设备加密所有设备,包括手机和笔记本电脑。评估密码强度和多因素识别的使用。
• 检查访问管理政策和控制和设置用户访问和权限定义业务需求。当角色改变迅速修改访问。
• 回顾补丁管理政策,评估的平均时间从补丁发布实施和更新的频率。确保补丁覆盖物联网设备。
• 评估员工的安全培训确保宽度、频率和内容是有效的。别忘了钓鱼等构建共同的安全威胁的意识。
• 参与网络工作小组委员会制定网络安全战略和政策。帮助确定组织识别、评估和减轻cyberrisk和加强当前的网络安全控制。

阅读更多:前风险审计的领导人

数据治理

大数据战略重要性的增加有效机制来收集、使用、存储和管理组织数据,但是很多组织仍然缺乏正式的数据治理框架和难以建立组织的一致性。一些扩展程序有效地满足日益增长的数据量。尚未解决的,这些治理的挑战可能导致运行阻力,延迟决策和不必要的重复工作。

审计能做什么:

• 检查数据资产库存必须包括,至少,最有价值的数据资产的组织。评估的程度结构化和非结构化数据资产。
• 审查数据的分类和相关的流程和政策。分析数据将被保留,摧毁,加密需求和相关类别的使用是否已经建立。
• 参与相关工作组织和委员会跟上治理框架构建时努力和提供咨询的输入。
• 审查数据分析培训和人才评估,确定技能和计划如何填补空缺。评估现有培训的内容和可用性。
• 回顾分析工具库存整个组织。确定它有一个经批准的供应商名单上的分析工具和什么正在努力教育业务批准的使用工具。

了解更多:审计风险地区的手表

第三方

努力以洋地黄治疗系统和流程添加新的、复杂的维度第三方的挑战已经长期关心组织。近70%的首席审计执行官报告第三方风险是他们最关心的问题之一,但组织仍然难以管理这种风险。审计能做什么:

• 对战略计划的评估情况分析分析潜在的风险和结果与相互依存的伙伴组织的商业生态系统。考虑企业的风险偏好和识别触发事件,导致组织采取纠正行动。
• 评估第三方合同和合规工作,充分保证合同规定信息安全、数据隐私和nth-party需求。保证监控第三方遵守合同。
• 调查第三方监管要求,评估高级管理层沟通如何更有效地监管更新整个业务和清晰地阐述了第三方的要求。
• 评估第三方风险的分类并确认第三方的业务进行随机检查,确保分类妥善解决实际的风险水平。

数据隐私

公司今天收集前所未有的个人信息,和管理和保护这些数据的成本正在上升。百分之七十七的审计部门说数据隐私肯定会在未来12 - 18个月审计活动。审计能做什么:

• 审查数据保护培训并确保各级员工完成培训。包括元素,如如何报告数据泄露和协议进行数据共享。
• 评估当前的GDPR合规水平并确定合规缺口。审查数据隐私政策确保语言是清晰的和客户明确表示同意。
• 评估数据访问和存储。确保访问敏感信息是正确设置和监控基于角色和特权。
• 审查数据漏洞响应计划。快速评估公司识别违反和通知机制影响消费者和监管者。
• 评估数据丢失保护和检查工具扫描数据是否在休息和运动。