قسمت دوم
ریسکهای قابل توجه برای حسابرسان داخلی در سال ۲۰۱۹
۱. امنیت سایبری: راهبری فناوری اطلاعات و اشخاص ثالث
چند سال است که امنیت سایبری بهعنوان یکی از ریسکهای بااهمیت حوزه کسب وکار مطرح شده و نشانهای هم از کاهش اولویت آن مشاهده نمیشود. سازمانها در تلاشند از سیستمهای قدیمی خود فاصله گرفته و بهعنوان رویکردی برای مدیریت ریسکهای سایبری، توجهات به سمت اشخاص ثالث خارج از سازمان و شرکتهای امنیتی جلب شده است.
در تحقیق کمّیِ صورت گرفته، ۳۰۰ نفر از پاسخ دهندگان (از ۳۱۱ نفر) «امنیت سایبری» را مهمترین و بزرگترین ریسک سازمان خود معرفی کردهاند. دوسوم پاسخدهندگان نیز اذعان کردهاند که این ریسک یکی از ۵ ریسک بااولویت بالا برای سازمان آنها است. اگرچه از امنیت سایبری با عناوین «امنیت فناوری اطلاعات»، «امنیت اطلاعات»، و دیگر اسامی نیز یاد میشود، اما نیاز به حفاظت از شبکهها و دادههای تحت آنها فرای نام، موضوعی بااهمیت است. پیچیدگی فعالیت مهاجمان و ماهیت متغیر تهدیدها، جدالی ناتمام میان آنها و مدافعان امنیت سایبری به وجود آورده است.
مهمترین مانع حذف ریسک عدم امنیت سایبری، اتخاذ رویکرد تدریجی توسط سازمانها برای برنامه ریزی و توسعه زیرساختهای خود طی دهههای گذشته است. راهبری و نظارت ضعیف بر عملکرد و حسن ایفای وظایف ذاتی فناوری اطلاعات باعث شده سازمانها تدریجا سیستمهای ایزوله (از محیط واقعی کسب وکار) و پیچیدهای را بهعنوان بخشی از شبکه خود در زمان پایین بودن ریسک سایبری مستقر سازند؛ اما اکنون جرائم سایبری بهصورت فزایندهای در حال رشد بوده و انتظار میرود هزینه آسیب رسانی آنها تا سال ۲۰۲۱ نسبت به سال ۲۰۱۵ دو برابر شده و به رقم ۶ تریلیون دلار برسد.
گام اول برای گذر از سیستمهای قدیمی (مانند ویندوزهای ۹۸، NT، و ۲۰۰۰ و نرم افزارهای بدون پشتیبان مانند اینترنت اکسپلورر ۷ تا ۱۰) و منطقیسازی زیرساختهای فناوری اطلاعات در حال وقوع بوده و ارزش انجام تستهای آزمایشی نفوذ به سیستمها و هکهای اخلاقی برای شناسایی نقاط ضعف به خوبی درک شده است.
بهعنوان رویهای جدید و در سالهای اخیر، حملات هکرها بهصورت مستقیم به سازمانها صورت نمیگیرد؛ بلکه به واسطه تامینکنندگان کلیدی و شرکای تجاری فناوری آنها را مورد هدف و نفوذ قرار میدهند. بر اساس تخمینهای انجام شده، نفوذ بدافزارها از طریق زنجیره تامین (همان شرکای سازمانها) در سال ۲۰۱۷ تا ۲۰۰ درصد افزایش یافته است. همبستگی و ماهیت وابستگی کسبوکارها در دنیای امروز و استراتژیهای انجام عملیات هکِ این شبکه بههمپیوسته، احتمال قرارگیری در معرض حملات را افزایش داده و این یعنی توان دفاعی سازمانها به اندازه ضعیفترین حلقه زنجیره تامینشان خواهد بود.
یکپارچگی خدمات مبتنی بر «رایانش ابری» موضوع قابل توجه دیگری است. در حال حاضر، موج قدرتمندی در استفاده از چنین خدماتی میان کسب وکارها به راه افتاده است؛ چراکه این کار هزینههای نرمافزاری و سختافزاری را کاهش و امکان انجام کارها از راه دور، تعاملات بهتر سازمانها، کارکنان، مشتریان و بازیابی راحتتر اطلاعات را افزایش میدهد. شرکتهایی مانند گوگل، آمازون، مایکروسافت و آیبیام چنین خدماتی را ارائه میدهند. در سال ۲۰۱۷، مایکروسافت اعلام کرد از زمان آغاز ارائه خدمات، تعداد حملات به حساب مشتریان دریافتکننده خدمات رایانش ابری در هر سال نسبت به سال ماقبل چهار برابر شده است. بخش بزرگی از این تهدیدات نتیجه به کارگیری گذرواژههای ضعیف و قابل حدس و مدیریت ناصحیح آنها است که هدف حملات فیشینگ و نفوذ به خدمات ارائه شده از سوی اشخاص ثالث قرار میگیرند.
چشمانداز حسابرسی داخلی
ریسک عدم امنیت سایبری با کسب وکارها همراه بوده و از سومین لایه دفاعی انتظار میرود تا اطمینان منطقی نسبت به مدیریت داخلی این ریسک برای آینده قابل پیشبینی فرآهم آورد. طراحی فایروالهای ضروری، دریافت تاییدیههای امنیتی، مدیریت پتچینگ، کنترل دسترسی و پیشگیری از نفوذ بدافزارها باید بهعنوان موارد بااهمیت از سوی واحد فناوری اطلاعات سازمانها پی گرفته شده و این کنترلها مورد ارزیابی دورهای حسابرسان داخلی قرار گیرد. همین امر برای تستهای نفوذ صادق است؛ اگرچه احتمالا نفوذی در برههای از زمان روی خواهد داد، اما پایش مستمر و کشف نقاط ضعف توسط بخشهای امنیتی واحد فناوری اطلاعات همچنان بسیار بااهمیت است.
ارزیابی سازوکار راهبری فناوری اطلاعات در این حوزه نیز بسیار بااهمیت است. اغلب واحد فناوری اطلاعات مستقل از کسبوکار دیده شده و شاید در گذشته استقلال زیادی در شکلدهی ساختار شبکه و سیستمهای سازمان داشته است که میتواند در بلندمدت منجر به چالشهای امنیتی بااهمیتی شود. حسابرسی داخلی شاید این نکته را به مدیریت ارشد متذکر شود و اگر نیاز باشد، در راستای برداشتن گامهای راهبردیتر، نظارت بیشتر بر تصمیمات خرید و تامین خدمات از اشخاص ثالث برای اتخاذ رویکرد برنامهریزی آیندهنگرانه در جهت توسعه سیستمهای اطلاعاتی سازمان و اجتناب از شکلگیری زیرساختهای جزیرهای با امکان آسیبپذیری بالا و نقاط قابل نفوذ بالقوه صورت گیرد.
با توجه به ریسکهای مطرح شده درخصوص حملات به ارائهدهندگان خدمات مبتنی بر رایانش ابری مانند مایکروسافت، حسابرسی داخلی باید اطمینان یابد که ریسک عدم امنیت سایبری درخصوص اشخاص ثالث با همان استانداردهای داخلی حتی در موارد پایهای مانند مدیریت گذرواژهها، تحت کنترل قرار دارند. این موضوع شاید دربرگیرنده شناسایی اشخاص ثالثی باشد که بااهمیتترین خدمات فناوری اطلاعات را به سازمان ارائه میدهند تا اطمینان منطقی حاصل شود که آنان بیش از دیگران تحت پایش و ارزیابی مستمر قرار داشتهاند. همچنین، رعایت قوانین عمومی حفاظت از دادهها توسط این شرکتها باید مورد بررسی قرار گرفته و در کنار آن، حسابرسی اجازه آزمون توانمندی کنترلهای ناظر بر فعالیت آنها، اجرای فرآیندهای ارزیابی ویژه درخصوص تامینکنندگان جدید و اجرای تحقیقات مستقل درخصوص اشخاص ثالث بااهمیت فعال در بازار را داشته باشد.
سوالات کلیدی
حسابرسان داخلی جهت پوشش ریسکهای مترتب بر سازمان در این حوزه باید در جست وجوی پاسخ پرسشهای زیر بر آیند:
۱. آیا سازمان از سیستمهای قدیمی به سوی سیستمهای یکپارچهتر با امکان حفاظت آسانتر مهاجرت کرده یا در حال مهاجرت است؟
۲. آیا ملاحظات امنیتی در برنامه توسعه شبکه و فناوری اطلاعات مدنظر قرار گرفته است؟
۳. آیا سازوکار راهبری قدرتمندی در حوزه فناوری اطلاعات و نظارت بر به کارگیری خدمات درتوسعه شبکهها و زیرساختها وجود دارد؟
۴. در کنار وجود سازوکار دفاعی قدرتمند برای دفع حملات، آیا سازمان ظرفیت پایش اثربخش کشف نفوذهای احتمالی پس از وقوع را دارد؟
۵. آیا مدیریت ریسک امنیت سایبری به اندازهای در سازمان تکامل یافته است که توجهات را به سوی شرکای وابسته جلب کند؟
۶. سازمان از چه نوع خدمات مبتنی بر رایانش ابری استفاده کرده و چگونه اطمینان مییابد که خدمات دهندگان استانداردهای امنیتی بالا و کنترلهای قدرتمندی دارند؟
۷. آیا سازوکار استاندارد مدیریت گذرواژههای داخلی برای خدمات مبتنی بر رایانش ابری نیز به کار گرفته شده است؟
۸. در زمانی که بحث استفاده از خدمات تامینکنندگان و شرکای تجاری مطرح است، فرآیندهای ارزیابی ویژه این شرکت تا چه میزان در حوزه ریسک عدم امنیت سایبری قدرتمند است؟
قسمت اول این یادداشت در شنبه ۱۴ مهرماه در صفحه ۹ روزنامه چاپ شده است.
ارسال نظر