4.7 Associé, risques technologiques, cybersécurité et protection de la vie privée
Level: Intermediate
Pour les auditeurs externes et internes, le plus grand défi aujourd’hui n’est pas de trouver des lacunes de contrôle importantes et des cyber-risques non atténués dans les organisations… c’est de faire des recommandations avec une portée pertinente et suffisamment bien ciblé pour orienté les audités vers des recommandations qui s’intègrent facilement, rapidement et à faible coût dans leur modèle opérationnel.
Cette session expose des recommandations simples, peu coûteuses et très efficaces aux observations les plus courantes et les plus critiques en matière de cybersécurité dans le paysage technologique en évolution rapide d’aujourd’hui. Des problèmes liés aux enjeux de protection de la vie privé surexposés à la mauvaise mise en œuvre des contrôles Cloud, nous examinons comment les auditeurs peuvent aider les petites et moyennes entreprises canadiennes à mieux gérer les risques cyber.
L’accent sera mis sur les petites / moyennes organisations qui présentent un degré élevé de risque technologique, telles que celles qui fournissent des services numériques, des services financiers et de santé, etc.
Le format consistera à présenter les observations d’audit les plus courantes (par exemple : couverture insuffisante des solutions d’authentification multi-facteurs pour les systèmes externes ou sensibles) et à fournir des modèles de solutions que les équipes opérationnelles peuvent rapidement comprendre et agir pour réduire les risques à des niveaux acceptables ( ex : étendre l’utilisation d’un service Microsoft 365 MFA qui est déjà payé et utilisé à des composants au-delà du Microsoft Cloud pour traiter des systèmes critiques actuellement non couverts par MFA).
EX : Observation critique -> Modèle de solution
Cela fournira des informations suffisamment détaillées pour que les équipes informatiques et de sécurité opérationnelles puissent agir sur les problèmes qui leur sont signalés. Il inclura également des stratégies d’externalisation lorsque la gestion interne des contrôles n’est pas pratique pour les petites équipes.
Cette présentation n’a PAS pour but de fournir un nouveau cadre universel de haut niveau pour la plupart des situations et des types d’organisations (ex : CIS Top 18 Controls), elle est destinée à fournir des outils de travail aux auditeurs qui travaillent fréquemment avec des petites et moyennes organisations pour être plus utile aux équipes opérationnelles TI et cybersécurité.