Operationele risico- en controlebeoordelingen automatiseren
In de Projecten-app kunt u beoordelingsdrivers aanmaken op basis van een metriek om beoordelingen van operationele risico's en controles te automatiseren en belangrijke belanghebbenden op de hoogte te stellen wanneer er wijzigingen optreden.
Voordat u begint
Voordat u beoordelingen kunt automatiseren, moet u een project opzetten met doelstellingen, risico's en controles. Om de knop Automatiseren aan te zetten, moet u of iemand in uw team de volgende taken uitvoeren:
- Statistieken maken in Resultaten, zie Belangrijke indicatoren monitoren met meetwaarden
- De statistiek koppelen aan de beoordeling in een project zie Bewijs van resultaten koppelen
Hoe het werkt
Een beoordelingsfactor is een automatiseringstool waarmee u uw beoordelingen actueel kunt houden in realtime. U kunt meerdere beoordelingsfactoren maken om verschillende risico- en controlebeoordelingen te automatiseren.
U kunt een beoordelingsfactor aanmaken door:
- door de risico- of controlebeoordeling te selecteren die u wilt automatiseren
- door metrische bereiken te definiëren die gebruikt zullen worden om:
- de inherente risicoscore voor de risicobeoordeling invullen OF
- de evaluatie van het ontwerp of de effectiviteit van een controle bepalen
Zodra u de beoordelingsfactor hebt aangemaakt, wordt de beoordeling automatisch bijgewerkt wanneer de metrische waarde een bepaalde drempel overschrijdt.
Waarom maak ik een beoordelingsstuurprogramma in een project vs. een raamwerk?
Actieve projecten zijn point-in-time beoordelingen, terwijl raamwerken continu zijn en geaggregeerde activiteiten over meerdere projecten weergeven. Het is waardevoller om beoordelingsstuurprogramma's binnen een project te maken, en de wijzigingen in een enkel raamwerk samen te voegen.
Hoe informeer ik belanghebbenden wanneer er wijzigingen in beoordelingen plaatsvinden?
De volgende gebruikers worden automatisch op de hoogte gebracht van wijzigingen in beoordelingen via de dagelijkse overzichtse-mail van Projecten:
- Risicobeoordeling wijzigt de toegewezen gebruiker van de doelstelling
- Controlebeoordeling wijzigt de Eigenaar van de controle en de toegewezen gebruiker van de doelstelling
De e-mail vat het volgende samen:
- welke beoordelingen zijn bijgewerkt
- het aantal keren dat elke beoordeling de afgelopen 24 uur werd bijgewerkt
- alle beoordelingsfactoren die zijn uitgeschakeld vanwege een fout
Kan ik historische gegevens bekijken die zijn gekoppeld aan beoordelingsdrivers?
Ja. Wanneer een beoordelingsfactor een beoordeling bijwerkt, wordt het evenement gelogd in het Activiteitenlogboek binnen het projectdashboard en binnen de sectie Geschiedenis van het risico, de procedure uitvoeren, de stapsgewijze beschrijving of de test.
Een risico- of controlebeoordeling automatiseren
Taak | Gedetailleerde informatie |
---|---|
Een risicobeoordeling automatiseren | Operationele risicobeoordelingen automatiseren |
Een controlebeoordeling automatiseren | Controlebeoordelingen automatiseren |
Voorbeelden
Scenario
Als onderdeel van uw Cyberveiligheidbeoordeling hebt u een risico geïdentificeerd in het identificatieproces:
Boetes, rechtszaken en juridische kosten als gevolg van niet-naleving of verlies van gevoelige informatie
Op basis van de resultaten van uw gegevensanalyse hebt u de globale kosten van beveiligingsincidenten geïdentificeerd en een statistiek genaamd “Globale kosten van beveiligingsincidenten” gecreëerd.
Proces
Eerst configureert u de risicoscore door de impact van het risico als volgt te kwantificeren:
- < $ 10.000.000 = Laag
- ≥ $ 10.000.000 < $ 65.000.000 = Gemiddeld
- ≥ $ 65.000.000 = Hoog
Dan koppelt u de statistiek “Globale kosten van beveiligingsincidenten” die u aangemaakt heeft in Resultaten aan het risico in Projecten.
Ten slotte maakt u een beoordelingsfactor door een reeks statistiekbereiken te definiëren die wordt gebruikt om inherente risicoscores in te vullen:
Resultaat
De risicobeoordeling wordt geautomatiseerd:
Gebruikers krijgen automatisch een melding wanneer specifieke drempels worden overschreden, zodat ze de juiste actie kunnen ondernemen.
Scenario
Als onderdeel van uw Algemene IT-controlebeoordeling hebt u een controle geïdentificeerd in het fysiek beveligingsproces:
Alle ingangen van datacenters of serverfaciliteiten zijn beveiligd met een sleutelkaarttoegangssysteem
Op basis van de resultaten van uw gegevensanalyse hebt u 100 faciliteiteningangen in verschillende datacenters geïdentificeerd die allemaal met sleutelkaarttoegang beveiligd zouden moeten worden. De statistiek die u hebt gemaakt om de effectiviteit van de controle te beoordelen en te monitoren heet “% van beveiligde faciliteitstoegangen”. Deze statistiek monitort het percentage faciliteiteningangen waarvoor sleutelkaarttoegang is ingeschakeld.
Proces
Eerst koppelt u de statistiek “% beveiligde faciliteitstoegangen” die u in Resultaten hebt gemaakt aan de test in Projecten.
Vervolgens maakt u een beoordelingsfactorprogramma door een reeks statistische bereiken te definiëren die gebruikt zullen worden om de waarde van “Heeft deze controle effectief gefunctioneerd? :
- > 99 = Werkt efficiënt
- ≤ 99 = Uitzondering(en) opgemerkt
Resultaat
De controlebeoordeling wordt geautomatiseerd:
Gebruikers krijgen automatisch een melding wanneer specifieke drempels worden overschreden, zodat ze de juiste actie kunnen ondernemen.