Liste de contrôle d’audit interne pour Votre Entreprise manufacturière
L’industrie manufacturière fait l’objet d’une surveillance accrue de la part des organismes de réglementation. À mesure que les cybercriminels ciblent de plus en plus les faiblesses du système SCADA, la posture de cybersécurité d’une organisation devient plus importante pour sa capacité à protéger les données et à obtenir des contrats importants. En commençant par une approche de la cybersécurité axée sur la sécurité, les données sont souvent protégées, mais pour répondre aux exigences de conformité, l’organisation doit documenter l’efficacité de ses contrôles internes.
Quelles sont les principales préoccupations en matière de cybersécurité de l’industrie manufacturière?
Les réseaux SCADA sont une combinaison de matériel et de logiciels qui contrôlent et surveillent les processus industriels. Ils permettent aux fabricants d’interagir avec les appareils, de consigner les données et de contrôler les processus locaux et distants. Beaucoup de ces appareils, cependant, n’étaient pas destinés à la connectivité maintenant nécessaire pour maintenir un modèle commercial moderne. Par conséquent, ils comportent un risque de cybersécurité important, ce qui fait de l’industrie manufacturière une cible principale pour les acteurs malveillants.
Cependant, les risques de SCADA peuvent entraîner non seulement des pertes de production mais, plus important encore, des pertes en vies humaines. Étant donné que les systèmes SCADA contrôlent les infrastructures critiques, les cybercriminels les ciblent de plus en plus davantage que les systèmes d’entreprise standard.
Quelles sont les exigences de conformité réglementaire pour l’industrie manufacturière?
Les exigences de conformité réglementaire dans le secteur de la fabrication sont généralement dictées par le gouvernement fédéral. Ces exigences précisent les règles visant à garantir la protection des secrets nationaux. Ils permettent aux entités non gouvernementales de créer des articles à usage gouvernemental tout en existant en tant qu’entreprises privées.
Règlement sur le trafic international d’armes (ITAR)
L’ITAR couvre à la fois les biens et la technologie, combinant des objectifs commerciaux et de recherche avec des exigences de sécurité nationale. Il réglemente les articles conçus à des fins commerciales que les militaires peuvent également adopter, tels que les ordinateurs et les logiciels.
Supplément au Règlement fédéral sur les acquisitions de la Défense (DFARS)
Les règles et clauses de sauvegarde du DFARS établissent des normes de sécurité minimales pour les systèmes d’information qui traitent, stockent ou transmettent des informations sur les contrats fédéraux. Ces contrôles de base doivent être mis en œuvre tout au long de la chaîne d’approvisionnement. Publication spéciale SP 800-171 du NIST pour les directives de conformité.
Quelles sont les principales normes de l’industrie qui affectent l’industrie manufacturière?
L’industrie manufacturière doit traditionnellement mettre en œuvre des contrôles basés sur les normes de l’Organisation internationale de normalisation (ISO).
ISO/IEC 27001:2013
Cette approche basée sur les risques permet à une variété d’organisations et d’industries d’appliquer l’ISO 27001. Cette flexibilité en fait l’une des normes de sécurité de l’information les plus utilisées. De plus, la norme ISO/CEI 27001 énumère une série de contrôles à l’annexe A qui agit davantage comme un menu créant une approche de la sécurité de style choisissez votre propre aventure. Ces ensembles de contrôle étendus offrent à la direction la possibilité d’éviter, de transférer ou d’accepter des risques plutôt que de les atténuer par le biais de contrôles.
ISO 9001
Les supports ISO 9001 spécifient les exigences d’un système de management de la qualité (SMQ). Les systèmes de gestion de la qualité documentent les processus, les procédures et les responsabilités concernant les objectifs de qualité et de contrôle.
Les audits ISO 9001 intègrent trois types d’examen : produit, processus et système. La longue liste de documents requis comprend des informations obligatoires et non obligatoires. La liste des documents obligatoires comprend les procédures de contrôle des documents, les procédures d’enregistrement, les procédures d’audit interne, les procédures de contrôle des procédures de non-conformité, les procédures d’action corrective et les procédures d’action préventive. Bien que cela ne semble pas accablant au début, chacune de ces catégories répertorie les documents supplémentaires nécessaires pour prouver que le processus fonctionne en action.
5 Étapes d’un audit interne dans le secteur manufacturier
Bien que les audits internes puissent sembler fastidieux, ils servent effectivement de « pré-test » avant l’arrivée des auditeurs externes. Un audit interne réussi et complet peut agir comme une « exécution pratique » qui vous permet de résoudre les problèmes avant l’audit externe et d’empêcher les conclusions officielles.
Identifiez vos experts en la matière (PME)
Même s’il s’agit d’un audit interne, vous devrez peut-être intégrer des parties prenantes de l’ensemble de l’organisation. Par exemple, les experts SCADA et les experts informatiques internes doivent communiquer et travailler ensemble pour créer une approche holistique de la conformité axée sur la sécurité.
Documentez vos procédures de contrôle interne et vos motifs
Quel que soit le niveau de maturité, vous devez vous assurer d’établir une analyse des risques, des politiques, des procédures et des processus. Cette documentation sert de feuille de route pour votre programme de conformité, ce qui aide à créer la portée de l’audit.
Surveillez en permanence l’efficacité du contrôle
Les cybercriminels font évoluer en permanence leurs méthodologies de menace, ce qui signifie que l’efficacité d’un contrôle peut s’affaiblir à tout moment. Vous devez surveiller en permanence vos contrôles et corriger les faiblesses potentielles dès que possible.
Documentez en permanence votre surveillance
Les audits reposent sur la documentation. Même si vous surveillez en permanence, l’auditeur peut renvoyer des conclusions si vous n’avez pas la documentation. La documentation prouve la gouvernance du programme, ce qui permet au conseil d’administration de superviser le programme.
Créer un flux de travail d’audit interne
La communication avant, pendant et après l’audit permet de maintenir la sécurité et la conformité. Vous devez créer un processus de préparation, d’examen et de réponse à l’audit interne pour vous assurer que toutes les tâches sont exécutées en temps opportun.
Comment ZenGRC permet l’audit interne dans l’industrie manufacturière
Les programmes de conformité nécessitent une communication entre les parties prenantes internes et externes et un système d’audit qui le permet.
ZenGRC propose des balises de flux de travail afin que vous puissiez déléguer les tâches de conformité et surveiller leur progression et leur achèvement. De plus, il vous permet de hiérarchiser les tâches afin que les membres de votre équipe sachent planifier leurs activités.
Les fonctionnalités de gestion des flux de travail de ZenGRC incluent un tableau de bord centralisé qui documente en permanence l’efficacité de vos contrôles, facilitant ainsi la documentation de conformité.
De plus, il vous aide à créer une piste d’audit en documentant et en corrigeant les activités pour appuyer vos réponses aux questions des auditeurs.