Een nalevingsprogramma implementeren

Incidentrapportage en onderzoeken zijn essentiële componenten van een robuust nalevingsprogramma. Zonder de juiste resources om incidenten te identificeren en erop te reageren, en om beschuldigingen van wangedrag de onderzoeken, kan een organisatie te maken krijgen met ernstige financiële schade. Mogelijk wordt ook de geloofwaardigheid bij regelgevers in twijfel getrokken. In dit artikel wordt besproken hoe u een nalevingsprogramma kunt implementeren en automatiseren met behulp van de apps Resultaten en Storyboards.

Dit artikel borduurt voort op de voorbeelden in Naleving aantonen, en biedt een methode waarmee een organisatie het COBIT® 5 Framework kan naleven. Dezelfde workflow kan echter ook worden toegepast voor het implementeren en automatiseren van nalevingsprogramma's met:

  • regelgevingen die van toepassing zijn op financiële instellingen, zoals Truth-in Lending, Anti-Money Laundering of Depository Insurance
  • andere IT-beveiligingsraamwerken, zoals ISO of NIST
  • regelgevingen voor Gegevensprivacy, zoals de EU AVG, GLBA, HIPAA en FERPA
  • regelgevingen die van toepassing zijn op overheid of hoger onderwijs, zoals Uniform Grant Guidance, Single Audit of Title IV

Wat is erbij betrokken?

Het implementeren en automatiseren van een nalevingsprogramma omvat twee sleutelprocessen:

  • ontwikkeling van programma's om incidenten te identificeren en erop te reageren, normaal gesproken met behulp van geschaalde of geëscaleerde reactiesystemen
  • onderzoeken uitvoeren om de details van een of meer incidenten te monitoren en te beheren

Incidentrapportage en onderzoeken kunnen worden uitgevoerd tijdens het hele nalevingsbeheerproces, zodat beoordelaars het volgende kunnen doen:

  • incidenten vastleggen via gegevensanalyse
  • getriggerde workflows definiëren voor het beheren van incidenten
  • analyse van hoofdoorzaak en correctie-activiteiten uitvoeren
  • zaken sluiten zodra ze gereed zijn voor rapportage

Waar kan ik een nalevingsprogramma implementeren en automatiseren?

Bij Diligent gebruiken we de apps Resultaten en Storyboards om ons nalevingsprogramma te implementeren en te automatiseren. We hebben een raamwerk voor beveiligingsbeleid geïmplementeerd gebaseerd op ISO 27001/2 om minimale beveiligingsvereisten en verwachtingen voor beveiliging in de organisatie te definiëren.

Ons incidentresponsprogramma, dat ons algehele nalevingsprogramma ondersteunt, omvat het monitoren en onderzoeken van alle evenementen en rapporten of verdachte of onverwachte activiteiten. Als een incident wordt bevestigd, wordt de analyse gestart, wordt een ernstniveau toegewezen en wordt de record overeenkomstig geëscaleerd. Afhankelijk van de ernst en het incidenttype, verzamelt en analyseert ons team informatie, waarbij forensisch specialisten indien nodig aanwezig zijn, om de oorzaken, de impact, het type en alle andere relevante informatie met betrekking tot het incident te bepalen.

Het grote geheel

  • Vragenlijsten worden gebruikt om gegevens in context te plaatsen en reacties worden opgeslagen in Tabellen.
  • Triggers automatiseren de correctieprocessen van uw organisatie door een set acties uit te voeren die zijn gebaseerd op recordgegevens in een Tabel.
  • Storyboards tonen gegevensresultaten met behulp van meerdere visualisaties, wat is gebaseerd op recordgegevens in Tabellen.

Wanneer u de vereiste onderzoeken hebt uitgevoerd, kunt u Resultaten-gegevens koppelen aan uw beoordelingen in de Projecten-app om informatie te consolideren en deze eenvoudig goed te keuren wanneer correctie is voltooid.

Stappen

Klaar voor een rondleiding?

Laten we deze functies eens wat meer in context bekijken.

1. Uw gegevens instellen

De eerste stap is het instellen en indelen van uw gegevens in Resultaten. Er zijn drie organisatieniveaus voor gegevens: Verzamelingen, Analyses en Tabellen. Gegevens worden opgeslagen in tabellen genaamd Data Analytics. Elke tabel is opgenomen in een Analyse en een Verzameling.

Voorbeeld

Scenario

Als IT-beveiligingsprofessional moet u een beoordeling uitvoeren van kritieke systeemtoegangsgebeurtenissen die de afgelopen drie maanden (april-juni 2018) hebben plaatsgevonden. Als uw organisatie wil voldoen aan het COBIT® 5 Framework, moet u ervoor zorgen dat alleen bevoegde werknemers toegang hebben tot kritieke systemen.

U wilt uw brongegevens importeren naar een centrale locatie, zodat u onderzoekswerk kunt gaan uitvoeren.

Verwerken

Help-onderwerpResultaten instellen

U stelt de volgende gegevenscontainers in Resultaten in:

  • VerzamelingMonitoring van de operationele processen van toepassingssystemen
  • AnalyseSysteemtoegangsbeheer
  • GegevensanalyseToegang voor gebruikers met privileges

Vervolgens importeert u uw brongegevensbestand in de gegevensanalyse.

Resultaat

De brongegevens worden geïmporteerd en weergegeven in een tabel.

2. Een incidentresponsworkflow ontwikkelen

Nadat u uw gegevenscontainers hebt ingesteld in Resultaten, kunt u een incidentresponsworkflow ontwikkelen om incidenten om te leiden voor onderzoek en corrigerende actie. Hoofdoorzaakanalyse kan worden geautomatiseerd door een waarschuwing te triggeren (in de vorm van e-mailmeldingen) naar sleutelpersoneel dat een drilldown kan uitvoeren op afzonderlijke incidentdetails om de omstandigheden achter het incident te bepalen.

Tip

Het vastleggen van incidentgegevens kan ook worden geautomatiseerd met evenementrapporten. Organisaties kunnen efficiënt gegevens van klokkenluiders verzamelen om onethisch gedrag te constateren, corrigerende acties te ondernemen en toekomstige risicomitigatie-inspanningen te voorspellen.

Vragenlijsten maken

Vragenlijsten worden gebruikt om informatie van respondenten te verzamelen en de gegevens in context te plaatsen. Elke verzameling kan een of meer vragenlijsten hebben die u implementeert als opvolgingsmechanismen bij het corrigeren van records. Reacties worden vastgelegd in de opgegeven tabel met elke vraag gedefinieerd als een afzonderlijke kolom.

Tip

De verzameling Vragenlijstsjablonen bevat verschillende vooraf gemaakte vragenlijsten die u kopieert en gebruikt als beginpunt. Elk vragenlijstsjabloon heeft betrekking op verschillende sectorsegmenten en wordt vooraf ingevuld met een reeks vragen.

Voorbeeld

Scenario

Voor opvolging van de kritieke systeemtoegangsrecords moet u een vragenlijst sturen naar de e-mailadressen van de manager die u hebt opgeslagen. Zo krijgt u inzicht in de reden voor het verlenen van bevoegde toegang aan de werknemer, en of deze nog steeds toegang heeft tot het systeem.

Verwerken

Help-onderwerpVragenlijsten maken

U maakt een korte vragenlijst om meer informatie te verzamelen en koppelt de vragenlijst aan de gegevensanalyse.

Resultaat

U kunt de vragenlijst nu verzenden om aanvullende informatie van respondenten te verzamelen en gegevens in context te plaatsen.

Een getriggerde workflow definiëren voor het beheren van incidenten

Afhankelijk van het ernstniveau van het vastgelegde incident kunnen triggers worden ingesteld om noodmassameldingen uit te sturen naar grotere teams in een crisisbeheersituatie. Voor geïsoleerde incidenten kan een hoofdoorzaakanalyse worden uitgevoerd met behulp van afzonderlijke workflows gekoppeld met vragenlijsten om feedback te vragen van proceseigenaren. Het doel is de hoofdoorzaak van een vastgelegd incident te bepalen.

Tip

Bij incidentbeheer kunnen verschillende afdelingen of teams betrokken zijn die deelnemen aan het onderzoeken van uitzonderingen, en daarom kunnen ook workflowgroepen worden gebruikt om een incidentbeheerworkflow op te stellen op basis van de unieke beleidsregels en procedures van elke afdeling. Een Finance-team moet bijvoorbeeld mogelijk een transactie die een schending van het onkostenbeleid vertegenwoordigt, toewijzen om te worden beoordeeld door de manager van de betrokken afdeling. Hierbij kan alleen een Finance-teamlid het probleem 'sluiten' wanneer het is opgelost.

Voorbeeld

Scenario

Uw team vergelijkt gelogde kritieke systeemtoegangsgebeurtenissen met een goedgekeurde gebruikerslijst en beëindigingsdatum van werknemers van Active Directory. Elke potentieel onbevoegde toegang moet worden geëscaleerd naar kritieke prioriteit en voor onderzoek worden toegewezen aan het juiste teamlid voor onderzoek en correctie.

U moet een geautomatiseerde kritieke incidentresponsworkflow opstellen zodat uw team op efficiënte manier incidenten kan identificeren en erop kan reageren.

Verwerken

Help-onderwerpEen trigger maken

U configureert een realtime trigger op records met twee voorwaarden:

  • employee_terminated_date is niet leeg
  • het antwoord op de vraag "Heeft de werknemer nog steeds toegang tot het systeem?" bevat "Ja"

De trigger onderneemt de volgende acties wanneer records worden bijgewerkt:

  • escaleert de prioriteit van de record naar kritiek
  • wijst de record toe aan de IT-directeur voor onderzoek en correctie

Resultaat

De trigger stelt de IT-directeur op de hoogte en escaleert de prioriteit van de record wanneer aan de voorwaarden is voldaan. De actie wordt geautomatiseerd en het volledige proces wordt beheerd via Resultaten; zonder externe systemen of knelpunten

3. Records onderzoeken en corrigeren

Vanuit Resultaten kunt u het volledige correctieproces beheren. Dit omvat het verzamelen van bewijs of input om uw gemarkeerde record af te sluiten en zaken op te lossen. Alle acties worden vastgelegd als een verdedigbaar bewijsspoor om uw onderzoeken te ondersteunen.

Voorbeeld

Scenario

De trigger die u onlangs hebt ingesteld, heeft de IT-directeur op de hoogte gesteld van drie kritieke records:

Drie werknemers werken niet meer voor de organisatie, maar hebben wel nog steeds toegang tot kritieke systemen. De IT-directeur moet deze records corrigeren door de toegang tot de kritieke systemen van geïdentificeerde personen te beperken.

Verwerken

Help-onderwerpBezig met verwerken van gegevens

De IT-directeur voert de benodigde werkzaamheden uit om de toegang tot kritieke systemen te beperken voor de personen. Nadat de werkzaamheden zijn voltooid, voegt de IT-directeur een opmerking toe aan de records om te bevestigen dat correctiemaatregelen zijn genomen en sluit deze de records door het statusveld bij te werken.

Resultaat

Wanneer een record wordt bijgewerkt, wordt de gebeurtenis vastgelegd in het auditspoor van de record (deelvenster Procesweergave > tabblad Activiteit). De gebeurtenis omvat een beschrijving, de gebruiker die de wijziging heeft aangebracht en de datum en tijd waarop de wijziging heeft plaatsgevonden.

4. Rapporteren over gegevens

Met behulp van de resultaten van hoofdoorzaakanalyses van attestatieprojecten en incidentbeheer kunnen organisaties omissies of zwakke punten in bestaande beleidsregels identificeren. Ook kunnen ze beleidsschrijvers voorzien van feedback om nieuwe beleidsregels op te stellen of bestaande beleidsregels te versterken.

Tip

Beleidswijzigingen kunnen worden ingevuld in Nalevingskaarten om de nieuwe cyclus van toewijzen aan regelgevingen te starten. Zo kunnen teams zorgen voor naleving van beleidsvoorwaarden door controleraamwerken bij te werken, beleidseffectiviteit te evalueren via controle-attestatieprojecten en incidenten te beheren wanneer deze zich voordoen.

Gegevens visualiseren

U kunt resultaten visualiseren om beter inzicht te krijgen in de verborgen feiten en inzichten in de gegevens. Storyboards bieden een macroweergave van een grotere verzameling vergelijkbare incidenten om trends te bepalen en de hoofdoorzaak van systeemproblemen te analyseren. Voor regelmatig terugkerende incidenten kunnen storyboards worden gebruikt om over het incidentenportfolio als geheel te rapporteren.

Voorbeeld

Scenario

U moet nu uw bevindingen van uw onderzoekswerk visualiseren en presenteren. Met het visualiseren van gegevens hoopt u omissies of kwetsbaarheden in bestaande bedrijfsprocessen te identificeren en feedback te bieden aan de relevante belanghebbenden om nieuwe bedrijfsprocessen te ontwikkelen of bestaande bedrijfsprocessen te versterken.

Verwerken

Help-onderwerpen

Eerst maakt u een gefilterde tabel waarin de drie kritieke records worden weergegeven, geïdentificeerd via een trigger. Vervolgens maakt u visualisaties die de kritieke systemen tonen die per afdeling worden gebruikt, en het aantal werknemers binnen elke afdeling die de kritieke systemen heeft gebruikt. Ten slotte maakt u een storyboard om uw bevindingen te presenteren aan de relevante belanghebbenden.

Resultaat

Het storyboard toont meerdere visualisaties en tekstinhoud op een enkel communicatieplatform. Beheerders en andere belanghebbenden kunnen deze informatie gebruiken om patronen of trends te detecteren, de hoofdoorzaak van systeemproblemen te analyseren en efficiëntere en effectievere bedrijfsprocessen te ontwikkelen.

Een aanbeveling voor een efficiënter bedrijfsproces is bijvoorbeeld mogelijk het instellen van een aanvraagformulier voor bevoegde gebruikerstoegang, zodat werknemers toegang tot kritieke systemen kunnen aanvragen. Dit is iets wat u kunt doen met behulp van de vragenlijstfunctie in Resultaten.

Resultaten-gegevens koppelen aan uw beoordelingen in Projecten

Tijdens elke beoordelingsfase kunt u Resultaten-gegevens koppelen ter ondersteuning van uw documentatie in Projecten. Als u Resultaten-gegevens koppelt, kunt u uitzonderingen of belangrijke informatie met betrekking tot een controle die niet lukt markeren, en subjectiviteit in risicobeoordelingen wegnemen.

Voorbeeld

Scenario

Als Auditor die werk uitvoert als onderdeel van het nalevingsbeoordelingsproces, moet u rapporteren over uitzonderingsgegevens die betrekking hebben op een logische toegangscontrolefout. Eerder hebt u een fout opgemerkt met betrekking tot de volgende controle in het project Beoordeling algemene IT-controles:

LA-008Toegang tot de databases die de productietoepassing ondersteunen, is beperkt tot alleen die personen die dergelijke toegang tot hun taakfuncties voor databasebeheer nodig hebben.

U hebt ook eerder een probleem gemaakt, en een actie als opvolgingsmaatregel:

ItemBeschrijving
Probleem Onbevoegde werknemers hebben mogelijk toegang tot kritieke systemen

Er is geen proces aanwezig om ervoor te zorgen dat alleen bevoegde werknemers toegang hebben tot kritieke systemen.

ActieBevoegde toegang tot kritieke systemen op regelmatige basis monitoren

Monitor productietoegangslogboeken en vergelijk gelogde gebeurtenissen met een goedgekeurde gebruikerslijst.

Verwerken

Help-onderwerpBewijs van resultaten koppelen

In Projecten gaat u naar de juiste controle en koppelt u de Resultaten-gegevens om uw documentatie te ondersteunen:

Resultaat

De Resultaten-gegevens worden samengevoegd en gekoppeld aan uw Projecten-documentatie. U kunt de uitzonderingsgegevens nu eenvoudig beoordelen en controleren of het probleem echt is gecorrigeerd. Het bewijs suggereert dat de organisatie maatregelen gaat implementeren om bevoegde toegang tot kritieke systemen te monitoren om te voldoen aan het COBIT® 5 Framework.

Wat gaat er nu gebeuren? 

Lees hoe u garantie over een nalevingsprogramma laat zien

De apps Projecten, Raamwerken en Nalevingskaarten kunnen worden gebruikt om attestatieprojecten uit te bouwen, problemen vast te leggen en toe te wijzen voor correctie tijdens het nalevingsbeoordelingsproces, te rapporteren over de effectiviteit van controles en documentnaleving te valideren.

Zie Naleving aantonen voor meer informatie.