IT risk and security audit

La fonction d’audit est un élément important de la gouvernance d’entreprise, fournissant une assurance sur l’efficacité du cadre de contrôle, du programme de gestion des risques informatiques et de la conformité réglementaire. Dans un monde où la législation, la surveillance gouvernementale et l’attention des médias sont de plus en plus fortes, les organisations doivent démontrer avec diligence un environnement de contrôle adéquat et des pratiques proactives de gestion des risques. Pour cette raison, les audits doivent être menés par un personnel indépendant, objectif et formé pour examiner les risques, identifier les vulnérabilités, documenter les résultats et fournir des recommandations pour remédier aux défauts audités.

Un audit est un examen méthodique et structuré qui requiert des compétences et des connaissances dans le domaine audité. Si l’auditeur n’est pas familier avec la technologie utilisée, la signification du contexte opérationnel ou les exigences commerciales, l’audit pourrait être inexact et fournir une valeur limitée. Les audits doivent également être indépendants. La haute direction est souvent impliquée dans la création du plan d’audit, et si un responsable particulier est impliqué dans une activité inappropriée, la capacité de l’équipe d’audit à s’acquitter efficacement de ses tâches pourrait être compromise. Même en l’absence de faute, l’apparence de partialité pourrait jeter le doute sur les résultats d’un audit, créant ainsi moins de valeur que prévu. Le professionnel du risque doit examiner la relation entre l’auditeur et le domaine audité pour s’assurer qu’il n’y a pas de conflit d’intérêts.

La gestion des risques informatiques guide la sélection des contrôles et justifie leur mise en œuvre et leur fonctionnement continu. Si la gestion des risques informatiques n’est pas correctement menée, les contrôles de sécurité de l’information seront presque certainement mal conçus, mal mis en œuvre et mal exploités. Chaque contrôle doit être rattachable au risque informatique spécifique qu’il a été conçu pour atténuer, et le professionnel du risque doit être en mesure de démontrer l’objectif de chaque contrôle et d’expliquer la justification de sa sélection.

Un contrôle est choisi pour atténuer un risque, mais si le contrôle ne fonctionne pas correctement, il peut ne pas empêcher une défaillance ou une vulnérabilité et peut créer un faux sentiment de sécurité. Une sélection de contrôle incorrecte, une configuration de contrôle incorrecte, un fonctionnement de contrôle incorrect, un manque de surveillance et de révision du contrôle ou un manquement du contrôle à répondre à de nouvelles menaces peuvent introduire un risque de défaillance du contrôle.

Enfin, lors de la sélection d’un contrôle, tenez compte du nombre de facteurs pour trouver le contrôle le plus efficace et le plus efficient. Sachez qu’il existe différents types de contrôles et comprenez les capacités et les limites des contrôles recommandés. Offrez au propriétaire du risque plusieurs options de contrôle, car proposer une seule option revient en réalité à lui donner un ultimatum.

Quand avez-vous effectué un audit pour la dernière fois ?

Commentaires