Internal Audit Checklist for Your Manufacturing Company

Image

L’industria manifatturiera deve affrontare un crescente controllo da parte delle agenzie di regolamentazione. Poiché i criminali informatici aumentano le debolezze del sistema SCADA, la posizione di sicurezza informatica di un’organizzazione diventa più importante per la sua capacità di proteggere i dati e ottenere contratti importanti. A partire da un approccio security-first alla cybersecurity spesso protegge i dati, ma per soddisfare i requisiti di conformità, l’organizzazione ha bisogno di documentare l’efficacia dei propri controlli interni.

Quali sono le principali preoccupazioni di sicurezza informatica per l’industria manifatturiera?

Le reti SCADA sono una combinazione di hardware e software che controllano e monitorano i processi industriali. Consentono ai produttori di interagire con i dispositivi, registrare i dati e controllare i processi remoti e locali. Molti di questi dispositivi, tuttavia, non erano destinati alla connettività ora necessaria per mantenere un modello di business moderno. Pertanto, presentano un significativo rischio di sicurezza informatica che rende l’industria manifatturiera un obiettivo primario per gli attori malintenzionati.

Tuttavia, i rischi SCADA possono portare non solo alla perdita di produzione, ma, soprattutto, alla perdita di vite umane. Poiché i sistemi SCADA controllano le infrastrutture critiche, i criminali informatici li prendono sempre più di mira rispetto ai sistemi aziendali standard.

Quali sono i requisiti di conformità normativa per l’industria manifatturiera?

I requisiti di conformità normativa nel settore manifatturiero sono generalmente dettati dal governo federale. Questi requisiti specificano norme per garantire che i segreti nazionali siano protetti. Consentono alle entità non governative la possibilità di creare oggetti per uso governativo mentre sono ancora esistenti come imprese private.

International Traffic In Arms Regulation (ITAR)

ITAR copre sia le merci che la tecnologia, combinando obiettivi commerciali e di ricerca con requisiti di sicurezza nazionali. Regola gli articoli progettati per scopi commerciali che i militari possono anche adottare, come computer e software.

Defense Federal Acquisition Regulation Supplement (DFARS)

Le regole e le clausole di salvaguardia di DFARS stabiliscono standard minimi di sicurezza per i sistemi informativi che elaborano, memorizzano o trasmettono informazioni sui contratti federali. Questi controlli di base devono essere attuati in tutta la catena di approvvigionamento. NIST Pubblicazione speciale SP 800-171 set per le linee guida per la conformità.

Quali sono gli standard di settore primari che interessano l’industria manifatturiera?

L’industria manifatturiera deve tradizionalmente implementare controlli basati sugli standard ISO (International Organization for Standardization).

ISO/IEC 27001:2013

Questo approccio basato sul rischio consente a una varietà di organizzazioni e industrie di applicare ISO 27001. Questa flessibilità lo rende uno degli standard di sicurezza delle informazioni più utilizzati. Inoltre, ISO / IEC 27001 elenca una serie di controlli nell’allegato A che agisce più come un menu che crea un approccio alla sicurezza in stile choose-your-own-adventure. Questi set di controllo estesi offrono alla gestione la possibilità di evitare, trasferire o accettare i rischi piuttosto che mitigarli attraverso i controlli.

ISO 9001

ISO 9001 supporta specifica i requisiti per un sistema di gestione della qualità (SGQ). I sistemi di gestione della qualità documentano i processi, le procedure e le responsabilità rispetto agli obiettivi di qualità e controllo.

Gli audit ISO 9001 includono tre tipi di revisione: prodotto, processo e sistema. Il lungo elenco di documentazione richiesta include informazioni obbligatorie e non obbligatorie. L’elenco dei documenti obbligatori comprende procedure di controllo dei documenti, procedure di registrazione, procedure di audit interno, controllo delle procedure di non conformità, procedure di azione correttiva e procedure di azione preventiva. Mentre che non si sente schiacciante in un primo momento, ciascuna di queste categorie elenca i documenti aggiuntivi necessari per dimostrare il processo funziona in azione.

5 Passaggi per un audit interno nel settore manifatturiero

Sebbene gli audit interni possano sembrare onerosi, agiscono effettivamente come un “pretest” prima dell’arrivo dei revisori esterni. Un audit interno completo e di successo può agire come una “pratica” che consente di risolvere i problemi prima dell’audit esterno e prevenire i risultati ufficiali.

Identifica i tuoi esperti in materia (PMI)

Anche se si tratta di un audit interno, potrebbe essere necessario incorporare le parti interessate di tutta l’organizzazione. Ad esempio, gli esperti SCADA e gli esperti IT interni devono comunicare e lavorare insieme per creare un approccio olistico di security first compliance.

Documentare le procedure di controllo interno e le relative motivazioni

Indipendentemente dal livello di maturità, è necessario assicurarsi di stabilire un’analisi dei rischi, politiche, procedure e processi. Questa documentazione funge da tabella di marcia per il programma di conformità che aiuta a creare l’ambito di controllo.

Monitorare continuamente l’efficacia del controllo

I criminali informatici evolvono continuamente le loro metodologie di minaccia, il che significa che l’efficacia di un controllo può indebolirsi in qualsiasi momento. È necessario monitorare continuamente i controlli e porre rimedio a eventuali potenziali punti deboli il più presto possibile.

Documentare continuamente il monitoraggio

Gli audit si basano sulla documentazione. Anche se si sta monitorando continuamente, il revisore può restituire i risultati se non si dispone della documentazione. La documentazione dimostra la governance sul programma che consente al Consiglio di amministrazione di supervisionare il programma.

Creare un flusso di lavoro di audit interno

La comunicazione prima, durante e dopo l’audit aiuta a mantenere la sicurezza e la conformità. È necessario creare un processo per la preparazione, la revisione e la risposta all’audit interno per garantire che tutte le attività siano completate in modo tempestivo.

Come ZenGRC consente l’audit interno nell’industria manifatturiera

I programmi di conformità richiedono la comunicazione tra le parti interessate interne ed esterne e un sistema di audit che lo consenta.

ZenGRC offre la codifica del flusso di lavoro in modo da poter delegare le attività di conformità e monitorarne l’avanzamento e il completamento. Inoltre, ti consente di dare priorità alle attività in modo che i membri del tuo team sappiano come pianificare le loro attività.

Le funzionalità di gestione del flusso di lavoro di ZenGRC includono un dashboard centralizzato che documenta continuamente l’efficacia del controllo rendendo più semplice la documentazione di conformità.

Inoltre, consente di creare una traccia di controllo documentando e attività di correzione per supportare le risposte alle domande degli auditor.

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.