lista de verificação de Auditoria Interna para sua empresa de manufatura
a indústria de manufatura enfrenta um escrutínio crescente das agências reguladoras. À medida que os cibercriminosos aumentam os pontos fracos do sistema SCADA, a postura de segurança cibernética de uma organização se torna mais importante para sua capacidade de proteger dados e obter contratos importantes. Começando com uma abordagem de segurança em primeiro lugar para a segurança cibernética, muitas vezes protege os dados, mas para atender aos requisitos de conformidade, a organização precisa documentar a eficácia de seus controles internos.
quais são as principais preocupações de segurança cibernética que a indústria de manufatura enfrenta?As redes SCADA são uma combinação de hardware e software que controlam e monitoram processos industriais. Eles permitem que os fabricantes interajam com dispositivos, registrem dados e controlem processos remotos e locais. Muitos desses dispositivos, no entanto, não se destinavam à conectividade agora necessária para manter um modelo de Negócios Moderno. Portanto, eles vêm com um risco significativo de segurança cibernética, tornando a indústria de manufatura um alvo principal para atores mal-intencionados.
no entanto, os riscos de SCADA podem levar não apenas à perda de produção, mas, mais importante, à perda de vidas. Como os sistemas SCADA controlam a infraestrutura crítica, os cibercriminosos os direcionam cada vez mais mais do que os sistemas de negócios padrão.
quais são os requisitos de Conformidade Regulatória para a indústria de manufatura?Os requisitos de conformidade regulatória na fabricação são geralmente ditados pelo governo federal. Esses requisitos especificam regras para garantir que os segredos nacionais sejam protegidos. Eles permitem que entidades não governamentais a capacidade de criar itens para uso do governo enquanto ainda existem como empresas privadas.
international Traffic In Arms Regulation (ITAR)
a ITAR abrange bens e tecnologia, combinando objetivos comerciais e de pesquisa com requisitos de segurança nacional. Ele regula itens projetados para fins comerciais que os militares também podem adotar, como computadores e software.
Suplemento de regulamento de aquisição Federal de Defesa (DFARS)
as regras e cláusulas de salvaguarda da DFARS estabelecem padrões mínimos de segurança para sistemas de informação que processam, armazenam ou transmitem informações de contratos federais. Esses controles básicos devem ser implementados em toda a cadeia de suprimentos. NIST publicação especial SP 800-171 definido para Diretrizes de Conformidade.
quais são os principais padrões da indústria que afetam a indústria de manufatura?
a indústria manufatureira tradicionalmente precisa implementar controles baseados nos padrões da Organização Internacional para Padronização (ISO).
ISO/IEC 27001: 2013
esta abordagem baseada em risco permite que uma variedade de organizações e indústrias apliquem a ISO 27001. Essa flexibilidade o torna um dos padrões de segurança da informação mais utilizados. Além disso, a ISO / IEC 27001 lista uma série de controles no Anexo A que atua mais como um menu criando uma abordagem de segurança no estilo Escolha sua própria aventura. Esses conjuntos de controle estendidos oferecem ao gerenciamento a opção de evitar, transferir ou aceitar riscos, em vez de mitigá-los por meio de controles.
ISO 9001
ISO 9001 suporta especifica os requisitos para um sistema de gestão da Qualidade (SGQ). Os sistemas de gestão da qualidade documentam os processos, procedimentos e responsabilidades sobre os objetivos de qualidade e controle.As auditorias ISO 9001 incorporam três tipos de revisão: produto, processo e sistema. A longa lista de documentação necessária inclui informações obrigatórias e não obrigatórias. A lista de documentos obrigatórios inclui procedimentos de controle de documentos, procedimentos de registros, procedimentos de auditoria interna, controle de procedimentos de não conformidade, procedimentos de ação corretiva e procedimentos de ação preventiva. Embora isso não pareça esmagador no início, cada uma dessas categorias lista documentos adicionais necessários para provar que o processo funciona em ação.
5 passos para uma Auditoria Interna na fabricação
embora as auditorias internas possam parecer onerosas, elas efetivamente atuam como um “pré-teste” antes da chegada dos auditores externos. Uma auditoria interna bem-sucedida e abrangente pode atuar como uma” execução prática ” que permite corrigir problemas antes da auditoria externa e evitar descobertas oficiais.
Identifique seus especialistas em assuntos (PMEs)
mesmo que esta seja uma auditoria interna, você pode precisar incorporar partes interessadas de toda a organização. Por exemplo, especialistas em SCADA e especialistas internos em TI precisam se comunicar e trabalhar juntos para criar uma abordagem holística de Conformidade de segurança em primeiro lugar.
documente seus procedimentos de controle interno e suas razões para eles
independentemente do nível de maturidade, você precisa estabelecer uma análise de risco, políticas, procedimentos e processos. Esta documentação atua como o roteiro para o seu programa de Conformidade, o que ajuda a criar o escopo da auditoria.
monitorar continuamente a eficácia do controle
os cibercriminosos evoluem continuamente suas metodologias de ameaça, o que significa que a eficácia de um controle pode enfraquecer a qualquer momento. Você precisa monitorar continuamente seus controles e corrigir quaisquer fraquezas potenciais o mais rápido possível.
documente continuamente seu monitoramento
as auditorias dependem da documentação. Mesmo se você estiver monitorando continuamente, o auditor poderá retornar as descobertas se você não tiver a documentação. A documentação comprova a governança sobre o programa, o que permite que o Conselho de Administração supervisione o programa.
crie um fluxo de trabalho de auditoria interna
A comunicação antes, durante e depois da auditoria ajuda a manter a segurança e a conformidade. Você precisa criar um processo para preparar, revisar e responder à Auditoria Interna para garantir que todas as tarefas sejam concluídas em tempo hábil.
como o ZenGRC permite a Auditoria Interna na indústria de manufatura
os programas de Conformidade exigem comunicação entre partes interessadas internas e externas e um sistema de auditoria que permite isso.
o ZenGRC oferece marcação de fluxo de trabalho para que você possa delegar tarefas de conformidade e monitorar seu progresso e conclusão. Além disso, permite priorizar tarefas para que os membros da sua equipe saibam como planejar suas atividades.Os recursos de gerenciamento de fluxo de trabalho do ZenGRC incluem um painel centralizado que documenta continuamente sua eficácia de controle, facilitando a documentação de Conformidade.Além Disso, ele ajuda você a criar uma trilha de auditoria documentando e remediando atividades para apoiar suas respostas às perguntas do auditor.