Lista de Comprobación de Auditoría Interna para Su Empresa de Fabricación
La industria manufacturera se enfrenta a un escrutinio cada vez mayor por parte de las agencias reguladoras. A medida que los ciberdelincuentes aumentan las debilidades del sistema SCADA objetivo, la postura de ciberseguridad de una organización se vuelve más importante para su capacidad de proteger datos y obtener contratos importantes. A partir de un enfoque de ciberseguridad que prioriza la seguridad, a menudo protege los datos, pero para cumplir con los requisitos de cumplimiento, la organización debe documentar la eficacia de sus controles internos.
¿Cuáles son las principales preocupaciones de ciberseguridad a las que se enfrenta la industria manufacturera?
Las redes SCADA son una combinación de hardware y software que controlan y supervisan los procesos industriales. Permiten a los fabricantes interactuar con dispositivos, registrar datos y controlar procesos remotos y locales. Sin embargo, muchos de estos dispositivos no estaban destinados a la conectividad que ahora se necesita para mantener un modelo de negocio moderno. Por lo tanto, vienen con un riesgo de ciberseguridad significativo, lo que convierte a la industria manufacturera en un objetivo principal para los actores maliciosos.
Sin embargo, los riesgos de SCADA pueden conducir no solo a la pérdida de producción, sino, lo que es más importante, a la pérdida de vidas. Dado que los sistemas SCADA controlan la infraestructura crítica, los ciberdelincuentes se dirigen cada vez más a ellos que a los sistemas empresariales estándar.
¿Cuáles son los requisitos de cumplimiento normativo para la industria manufacturera?
Los requisitos de cumplimiento normativo en la fabricación generalmente son dictados por el gobierno federal. Estos requisitos especifican normas para garantizar la protección de los secretos nacionales. Permiten a las entidades no gubernamentales la capacidad de crear artículos para uso del gobierno mientras aún existen como empresas privadas.
La Reglamentación del Tráfico Internacional de Armas (AR)
LaAR abarca tanto los bienes como la tecnología, combinando objetivos comerciales y de investigación con requisitos de seguridad nacional. Regula los artículos diseñados para fines comerciales que los militares también pueden adoptar, como las computadoras y los programas informáticos.
Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS)
Las reglas y cláusulas de protección de DFARS establecen estándares mínimos de seguridad para los sistemas de información que procesan, almacenan o transmiten información de contratos federales. Estos controles básicos deben implementarse en toda la cadena de suministro. La Publicación Especial SP 800-171 del NIST establece directrices para el cumplimiento.
¿Cuáles son los estándares de la industria primaria que afectan a la industria manufacturera?
La industria manufacturera tradicionalmente necesita implementar controles basados en las normas de la Organización Internacional de Normalización (ISO).
ISO/IEC 27001:2013
Este enfoque basado en el riesgo permite que una variedad de organizaciones e industrias apliquen la ISO 27001. Esta flexibilidad lo convierte en uno de los estándares de seguridad de la información más utilizados. Además, ISO / IEC 27001 enumera una serie de controles en el Anexo A que actúan más como un menú que crea un enfoque de seguridad de estilo «elige tu propia aventura». Estos conjuntos de control ampliados ofrecen a la administración la opción de evitar, transferir o aceptar riesgos en lugar de mitigarlos a través de controles.
ISO 9001
Los soportes ISO 9001 especifican los requisitos de un sistema de gestión de calidad (SGC). Los sistemas de gestión de calidad documentan los procesos, procedimientos y responsabilidades sobre los objetivos de calidad y control.
Las auditorías ISO 9001 incorporan tres tipos de revisión: producto, proceso y sistema. La extensa lista de documentación requerida incluye información obligatoria y no obligatoria. La lista de documentos obligatorios incluye procedimientos de control de documentos, procedimientos de registros, procedimientos de auditoría interna, procedimientos de control de no conformidad, procedimientos de acción correctiva y procedimientos de acción preventiva. Si bien eso no parece abrumador al principio, cada una de esas categorías enumera documentos adicionales necesarios para demostrar que el proceso funciona en acción.
5 Pasos para una Auditoría Interna en la fabricación
Aunque las auditorías internas pueden parecer engorrosas, actúan efectivamente como una» prueba previa » antes de que lleguen los auditores externos. Una auditoría interna completa y exitosa puede actuar como una» ejecución práctica » que le permite solucionar problemas antes de la auditoría externa y evitar hallazgos oficiales.
Identifique a sus Expertos en la Materia (PYMES)
Aunque se trata de una auditoría interna, es posible que deba incorporar a partes interesadas de toda la organización. Por ejemplo, los expertos de SCADA y los expertos de TI internos necesitan comunicarse y trabajar juntos para crear un enfoque holístico de cumplimiento de seguridad primero.
Documente sus procedimientos de control interno y sus razones
Independientemente del nivel de madurez, debe asegurarse de establecer un análisis de riesgos, políticas, procedimientos y procesos. Esta documentación actúa como la hoja de ruta para su programa de cumplimiento, lo que ayuda a crear el alcance de la auditoría.
Monitoree continuamente la eficacia del control
Los ciberdelincuentes evolucionan continuamente sus metodologías de amenazas, lo que significa que la eficacia de un control puede debilitarse en cualquier momento. Debe supervisar continuamente sus controles y remediar cualquier debilidad potencial lo antes posible.
Documente continuamente su supervisión
Las auditorías se basan en la documentación. Incluso si usted está monitoreando continuamente, el auditor puede devolver hallazgos si usted no tiene la documentación. La documentación demuestra la gobernanza del programa, lo que permite a la Junta Directiva supervisar el programa.
Crear un flujo de trabajo de auditoría interna
La comunicación antes, durante y después de la auditoría ayuda a mantener la seguridad y el cumplimiento. Debe crear un proceso para preparar, revisar y responder a la auditoría interna para garantizar que todas las tareas se completen de manera oportuna.
Cómo ZenGRC permite la Auditoría Interna en la Industria Manufacturera
Los programas de cumplimiento requieren comunicación entre las partes interesadas internas y externas y un sistema de auditoría que lo permita.
ZenGRC ofrece etiquetado de flujo de trabajo para que pueda delegar tareas de cumplimiento y supervisar su progreso y finalización. Además, le permite priorizar tareas para que los miembros de su equipo sepan cómo planificar sus actividades.
Las capacidades de gestión de flujo de trabajo de ZenGRC incluyen un panel centralizado que documenta continuamente la eficacia de su control, lo que facilita la documentación de cumplimiento.
Además, le ayuda a crear una pista de auditoría mediante la documentación y las actividades de corrección para respaldar sus respuestas a las preguntas de los auditores.