Operationele risico- en controlebeoordelingen automatiseren

In de Projecten-app kunt u beoordelingsdrivers aanmaken op basis van een metriek om beoordelingen van operationele risico's en controles te automatiseren en belangrijke belanghebbenden op de hoogte te stellen wanneer er wijzigingen optreden.

Voordat u begint

Voordat u beoordelingen kunt automatiseren, moet u een project opzetten met doelstellingen, risico's en controles. Om de knop Automatiseren aan te zetten, moet u of iemand in uw team de volgende taken uitvoeren:

Hoe het werkt

Een beoordelingsfactor is een automatiseringstool waarmee u uw beoordelingen actueel kunt houden in realtime. U kunt meerdere beoordelingsfactoren maken om verschillende risico- en controlebeoordelingen te automatiseren.

U kunt een beoordelingsfactor aanmaken door:

  1. door de risico- of controlebeoordeling te selecteren die u wilt automatiseren
  2. door metrische bereiken te definiëren die gebruikt zullen worden om:
    • de inherente risicoscore voor de risicobeoordeling invullen OF
    • de evaluatie van het ontwerp of de effectiviteit van een controle bepalen

Zodra u de beoordelingsfactor hebt aangemaakt, wordt de beoordeling automatisch bijgewerkt wanneer de metrische waarde een bepaalde drempel overschrijdt.

Waarom maak ik een beoordelingsstuurprogramma in een project vs. een raamwerk?

Actieve projecten zijn point-in-time beoordelingen, terwijl raamwerken continu zijn en geaggregeerde activiteiten over meerdere projecten weergeven. Het is waardevoller om beoordelingsstuurprogramma's binnen een project te maken, en de wijzigingen in een enkel raamwerk samen te voegen.

Hoe informeer ik belanghebbenden wanneer er wijzigingen in beoordelingen plaatsvinden?

De volgende gebruikers worden automatisch op de hoogte gebracht van wijzigingen in beoordelingen via de dagelijkse overzichtse-mail van Projecten:

  • Risicobeoordeling wijzigt de toegewezen gebruiker van de doelstelling
  • Controlebeoordeling wijzigt de Eigenaar van de controle en de toegewezen gebruiker van de doelstelling

De e-mail vat het volgende samen:

  • welke beoordelingen zijn bijgewerkt
  • het aantal keren dat elke beoordeling de afgelopen 24 uur werd bijgewerkt
  • alle beoordelingsfactoren die zijn uitgeschakeld vanwege een fout

Kan ik historische gegevens bekijken die zijn gekoppeld aan beoordelingsdrivers?

Ja. Wanneer een beoordelingsfactor een beoordeling bijwerkt, wordt het evenement gelogd in het Activiteitenlogboek binnen het projectdashboard en binnen de sectie Geschiedenis van het risico, de procedure uitvoeren, de stapsgewijze beschrijving of de test.

Een risico- of controlebeoordeling automatiseren

Taak Gedetailleerde informatie
Een risicobeoordeling automatiseren Operationele risicobeoordelingen automatiseren
Een controlebeoordeling automatiseren Controlebeoordelingen automatiseren

Voorbeelden

Scenario

Als onderdeel van uw Cyberveiligheidbeoordeling hebt u een risico geïdentificeerd in het identificatieproces:

Boetes, rechtszaken en juridische kosten als gevolg van niet-naleving of verlies van gevoelige informatie

Op basis van de resultaten van uw gegevensanalyse hebt u de globale kosten van beveiligingsincidenten geïdentificeerd en een statistiek genaamd “Globale kosten van beveiligingsincidenten” gecreëerd.

Proces

Eerst configureert u de risicoscore door de impact van het risico als volgt te kwantificeren:

  • < $ 10.000.000 = Laag
  • ≥ $ 10.000.000 < $ 65.000.000 = Gemiddeld
  • ≥ $ 65.000.000 = Hoog

Dan koppelt u de statistiek “Globale kosten van beveiligingsincidenten” die u aangemaakt heeft in Resultaten aan het risico in Projecten.

Ten slotte maakt u een beoordelingsfactor door een reeks statistiekbereiken te definiëren die wordt gebruikt om inherente risicoscores in te vullen:

Resultaat

De risicobeoordeling wordt geautomatiseerd:

Gebruikers krijgen automatisch een melding wanneer specifieke drempels worden overschreden, zodat ze de juiste actie kunnen ondernemen.

Scenario

Als onderdeel van uw Algemene IT-controlebeoordeling hebt u een controle geïdentificeerd in het fysiek beveligingsproces:

Alle ingangen van datacenters of serverfaciliteiten zijn beveiligd met een sleutelkaarttoegangssysteem

Op basis van de resultaten van uw gegevensanalyse hebt u 100 faciliteiteningangen in verschillende datacenters geïdentificeerd die allemaal met sleutelkaarttoegang beveiligd zouden moeten worden. De statistiek die u hebt gemaakt om de effectiviteit van de controle te beoordelen en te monitoren heet “% van beveiligde faciliteitstoegangen”. Deze statistiek monitort het percentage faciliteiteningangen waarvoor sleutelkaarttoegang is ingeschakeld.

Proces

Eerst koppelt u de statistiek “% beveiligde faciliteitstoegangen” die u in Resultaten hebt gemaakt aan de test in Projecten.

Vervolgens maakt u een beoordelingsfactorprogramma door een reeks statistische bereiken te definiëren die gebruikt zullen worden om de waarde van “Heeft deze controle effectief gefunctioneerd? :

  • > 99 = Werkt efficiënt
  • ≤ 99 = Uitzondering(en) opgemerkt

Resultaat

De controlebeoordeling wordt geautomatiseerd:

Gebruikers krijgen automatisch een melding wanneer specifieke drempels worden overschreden, zodat ze de juiste actie kunnen ondernemen.