COBIT 5 for informasjonssikkerhet: De underliggende prinsippene

Bilde: iStockphoto / Drazen Zigic

COBITs tilstedeværelse i bedriften. Før SOX så børsnoterte organisasjoner veldig lite tilsyn med elektronisk utnyttelse av data og sikkerhet. Sikkerhetsfagfolk stod i stedet sterkt på standarder for beste praksis, for eksempel ITIL for å ivareta ressursene. Revisorer valgte imidlertid å bruke de begrensede retningslinjene til COBIT 4 for å regulere SOX-samsvar. Mens COBIT 4 ga noen veiledning om informasjonssikkerhet (InfoSec), manglet den omfattende dekningen av tradisjonelle standarder. Dette endret seg med utgivelsen av COBIT 5.

Kontrollerer matrise

En metode for å sikre optimal bruk av kontroller er oppretting og styring av en kontrollmatrise. En matrise bør omfatte interesseområder og kritiske kontroller, enten utviklet under risikovurderinger eller ved å bruke standarder for beste praksis:

Enabler Integration

  • Både IT- og forretningsgrupper bruker prosesser for å få gjort arbeid med jevnlige resultater. Sikkerhetsteam må inkludere hvordan arbeid utføres når du utformer et sikkerhetsrammeverk og et program.
  • En organisasjonsstruktur (et styringshierarki) er designet for å overvåke og nå strategiske og operasjonelle mål. Ledere (beslutningstakere) fra hvert nivå er typisk interessenter i forretningsprosesser og forventede resultater.
  • En organisasjon er en levende enhet, med sin egen kultur, etikk og oppførsel som utstilt av sine ansatte. Det er ikke lett å endre måten ansatte ser på arbeidsverdenen sin, og må tas i betraktning når du prøver å sikre arbeidsplassen.
  • Informasjon er det vi prøver å beskytte… og det er vanligvis overalt. I de fleste tilfeller er informasjon kritisk for forretningsdrift og må være tilgjengelig når og hvor det er nødvendig. Videre bør tilgang til dataene ikke komme med uakseptable responstider forårsaket av dårlig utformede sikkerhetskontroller.
  • IT leverer informasjon via tjenester, infrastruktur og applikasjoner .
  • Alle implementeringer av sikkerhetskontroll krever oppmerksomhet til mennesker, ferdigheter og kompetanser : både inn og ut av IT. Er det for eksempel mer hensiktsmessig å håndheve en policy med teknisk kontroll, eller er de ansatte i stand til administrativt å oppfylle forventede risikoutfall?
  • Prinsipper, retningslinjer og rammer gir midler til å integrere alle muliggjørere i en helhetlig løsning som resulterer i sikker driftssuksess. Aktiverne hjelper til med å oppnå resultatene som forventes når de utvikler prinsipper, politikk og rammer.

Prinsipp 5: Å skille styring fra ledelse

Dette prinsippet etablerer en linje mellom å sette mål og måle utfall. I følge COBIT 5 for informasjonssikkerhet:

"Styring sikrer at interessenters behov, betingelser og alternativer evalueres for å bestemme balanser, avtalt virksomhetsmål som skal oppnås; sette retning gjennom prioritering og beslutningstaking, og overvåke ytelse og overholdelse av avtalt retning og mål.

"Ledelse planlegger, bygger, driver og overvåker aktiviteter i samsvar med retningen satt av styringsorganet for å nå bedriftsmålene" (s. 23).

Mens styring og ledelse er separate funksjoner som utføres av utpekte team, må de støtte hverandre. Styring definerer utfall og ledelse implementerer teknologi og prosesser for å oppfylle resultatene. Styring avgjør deretter om resultatene blir oppfylt og gir tilbakemelding for å hjelpe ledelsen med å gjøre nødvendige justeringer.

gatekjøkken

  1. COBIT 5 for Informasjonssikkerhet gir et omfattende rammeverk for integrering av sikkerhet i forretningsprosesser. Det gir også et sett av muliggjørere som, når de blir brukt, bidrar til å sikre aksept av interessenter og effektiv forretningsdrift.
  2. Organisasjoner må integrere sikkerhet i enhver faset av ledelse og drift. Dette begynner med å identifisere alle forretningsprosesser og tilhørende interessenter, inkludert revisjons- og InfoSec-team.
  3. Point-and-shoot-tilnærminger for å håndtere sikkerhet vil ikke oppnå de beste samlede resultatene. En helhetlig tilnærming - en som definerer et komplett rammeverk som brukes til å integrere nye kontroller eller sårbarhetsutbedring - er nødvendig for både sikkerhet og økonomisk effektivitet og effektivitet.

© Copyright 2020 | mobilegn.com