۱. امنیت سایبری: راهبری فناوری اطلاعات و اشخاص ثالث

چند سال است که امنیت سایبری به‌عنوان یکی از ریسک‌های بااهمیت حوزه کسب وکار مطرح شده و نشانه‌ای هم از کاهش اولویت آن مشاهده نمی‌شود. سازمان‌ها در تلاشند از سیستم‌های قدیمی خود فاصله گرفته و به‌عنوان رویکردی برای مدیریت ریسک‌های سایبری، توجهات به سمت اشخاص ثالث خارج از سازمان و شرکت‌های امنیتی جلب شده است.

در تحقیق کمّیِ صورت گرفته، ۳۰۰ نفر از پاسخ دهندگان (از ۳۱۱ نفر) «امنیت سایبری» را مهم‌ترین و بزرگ‌ترین ریسک سازمان خود معرفی کرده‌اند. دو‌سوم پاسخ‌دهندگان نیز اذعان کرده‌اند که این ریسک یکی از ۵ ریسک بااولویت بالا برای سازمان آنها است. اگرچه از امنیت سایبری با عناوین «امنیت فناوری اطلاعات»، «امنیت اطلاعات»، و دیگر اسامی نیز یاد می‌شود، اما نیاز به حفاظت از شبکه‌ها و داده‌های تحت آنها فرای نام، موضوعی بااهمیت است. پیچیدگی فعالیت مهاجمان و ماهیت متغیر تهدیدها، جدالی ناتمام میان آنها و مدافعان امنیت سایبری به وجود آورده است.

مهم‌ترین مانع حذف ریسک عدم امنیت سایبری، اتخاذ رویکرد تدریجی توسط سازمان‌ها برای برنامه ریزی و توسعه زیرساخت‌های خود طی دهه‌های گذشته است. راهبری و نظارت ضعیف بر عملکرد و حسن ایفای وظایف ذاتی فناوری اطلاعات باعث شده سازمان‌ها تدریجا سیستم‌های ایزوله (از محیط واقعی کسب وکار) و پیچیده‌ای را به‌عنوان بخشی از شبکه خود در زمان پایین بودن ریسک سایبری مستقر سازند؛ اما اکنون جرائم سایبری به‌صورت فزاینده‌ای در حال رشد بوده و انتظار می‌رود هزینه آسیب رسانی آنها تا سال ۲۰۲۱ نسبت به سال ۲۰۱۵ دو برابر شده و به رقم ۶ تریلیون دلار برسد.

گام اول برای گذر از سیستم‌های قدیمی (مانند ویندوزهای ۹۸، NT، و ۲۰۰۰ و نرم افزارهای بدون پشتیبان مانند اینترنت اکسپلورر ۷ تا ۱۰) و منطقی‌سازی زیرساخت‌های فناوری اطلاعات در حال وقوع بوده و ارزش انجام تست‌های آزمایشی نفوذ به سیستم‌ها و هک‌های اخلاقی برای شناسایی نقاط ضعف به خوبی درک شده است.

به‌عنوان رویه‌ای جدید و در سال‌های اخیر، حملات هکرها به‌صورت مستقیم به سازمان‌ها صورت نمی‌گیرد؛ بلکه به واسطه تامین‌کنندگان کلیدی و شرکای تجاری فناوری آنها را مورد هدف و نفوذ قرار می‌دهند. بر اساس تخمین‌های انجام شده، نفوذ بدافزارها از طریق زنجیره تامین (همان شرکای سازمان‌ها) در سال ۲۰۱۷ تا ۲۰۰ درصد افزایش یافته است. همبستگی و ماهیت وابستگی کسب‌وکارها در دنیای امروز و استراتژی‌های انجام عملیات هکِ این شبکه به‌هم‌پیوسته، احتمال قرارگیری در معرض حملات را افزایش داده و این یعنی توان دفاعی سازمان‌ها به اندازه ضعیف‌ترین حلقه زنجیره تامین‌شان خواهد بود.

یکپارچگی خدمات مبتنی بر «رایانش ابری» موضوع قابل توجه دیگری است. در حال حاضر، موج قدرتمندی در استفاده از چنین خدماتی میان کسب وکارها به راه افتاده است؛ چراکه این کار هزینه‌های نرم‌افزاری و سخت‌افزاری را کاهش و امکان انجام کارها از راه دور، تعاملات بهتر سازمان‌ها، کارکنان، مشتریان و بازیابی راحت‌تر اطلاعات را افزایش می‌دهد. شرکت‌هایی مانند گوگل، آمازون، مایکروسافت و آی‌بی‌ام چنین خدماتی را ارائه می‌دهند. در سال ۲۰۱۷، مایکروسافت اعلام کرد از زمان آغاز ارائه خدمات، تعداد حملات به حساب مشتریان دریافت‌کننده خدمات رایانش ابری در هر سال نسبت به سال ماقبل چهار برابر شده است. بخش بزرگی از این تهدیدات نتیجه به کارگیری گذرواژه‌های ضعیف و قابل حدس و مدیریت ناصحیح آنها است که هدف حملات فیشینگ و نفوذ به خدمات ارائه شده از سوی اشخاص ثالث قرار می‌گیرند.

 چشم‌انداز حسابرسی داخلی

ریسک عدم امنیت سایبری با کسب وکارها همراه بوده و از سومین لایه دفاعی انتظار می‌رود تا اطمینان منطقی نسبت به مدیریت داخلی این ریسک برای آینده قابل پیش‌بینی فرآهم آورد. طراحی فایروال‌های ضروری، دریافت تاییدیه‌های امنیتی، مدیریت پتچینگ، کنترل دسترسی و پیشگیری از نفوذ بدافزارها باید به‌عنوان موارد بااهمیت از سوی واحد فناوری اطلاعات سازمان‌ها پی گرفته شده و این کنترل‌ها مورد ارزیابی دوره‌ای حسابرسان داخلی قرار گیرد. همین امر برای تست‌های نفوذ صادق است؛ اگرچه احتمالا نفوذی در برهه‌ای از زمان روی خواهد داد، اما پایش مستمر و کشف نقاط ضعف توسط بخش‌های امنیتی واحد فناوری اطلاعات همچنان بسیار بااهمیت است.

ارزیابی سازوکار راهبری فناوری اطلاعات در این حوزه نیز بسیار بااهمیت است. اغلب واحد فناوری اطلاعات مستقل از کسب‌وکار دیده شده و شاید در گذشته استقلال زیادی در شکل‌دهی ساختار شبکه و سیستم‌های سازمان داشته است که می‌تواند در بلند‌مدت منجر به چالش‌های امنیتی بااهمیتی شود. حسابرسی داخلی شاید این نکته را به مدیریت ارشد متذکر شود و اگر نیاز باشد، در راستای برداشتن گام‌های راهبردی‌تر، نظارت بیشتر بر تصمیمات خرید و تامین خدمات از اشخاص ثالث برای اتخاذ رویکرد برنامه‌ریزی آینده‌نگرانه‌ در جهت توسعه سیستم‌های اطلاعاتی سازمان و اجتناب از شکل‌گیری زیرساخت‌های جزیره‌ای با امکان آسیب‌پذیری بالا و نقاط قابل نفوذ بالقوه صورت گیرد.

با توجه به ریسک‌های مطرح شده درخصوص حملات به ارائه‌دهندگان خدمات مبتنی بر رایانش ابری مانند مایکروسافت، حسابرسی داخلی باید اطمینان یابد که ریسک عدم امنیت سایبری درخصوص اشخاص ثالث با همان استانداردهای داخلی حتی در موارد پایه‌ای مانند مدیریت گذرواژه‌ها، تحت کنترل قرار دارند. این موضوع شاید دربرگیرنده شناسایی اشخاص ثالثی باشد که بااهمیت‌ترین خدمات فناوری اطلاعات را به سازمان ارائه می‌دهند تا اطمینان منطقی حاصل شود که آنان بیش از دیگران تحت پایش و ارزیابی مستمر قرار داشته‌اند. همچنین، رعایت قوانین عمومی حفاظت از داده‌ها توسط این شرکت‌ها باید مورد بررسی قرار گرفته و در کنار آن، حسابرسی اجازه آزمون توانمندی کنترل‌های ناظر بر فعالیت آنها، اجرای فرآیندهای ارزیابی ویژه درخصوص تامین‌کنندگان جدید و اجرای تحقیقات مستقل درخصوص اشخاص ثالث بااهمیت فعال در بازار را داشته باشد.

سوالات کلیدی

حسابرسان داخلی جهت پوشش ریسک‌های مترتب بر سازمان در این حوزه باید در جست وجوی پاسخ پرسش‌های زیر بر آیند:

۱. آیا سازمان از سیستم‌های قدیمی به سوی سیستم‌های یکپارچه‌تر با امکان حفاظت آسان‌تر مهاجرت کرده یا در حال مهاجرت است؟

۲. آیا ملاحظات امنیتی در برنامه توسعه شبکه و فناوری اطلاعات مدنظر قرار گرفته است؟

۳. آیا سازوکار راهبری قدرتمندی در حوزه فناوری اطلاعات و نظارت بر به کارگیری خدمات درتوسعه شبکه‌ها و زیرساخت‌ها وجود دارد؟

۴. در کنار وجود سازوکار دفاعی قدرتمند برای دفع حملات، آیا سازمان ظرفیت پایش اثربخش کشف نفوذ‌های احتمالی پس از وقوع را دارد؟

۵. آیا مدیریت ریسک امنیت سایبری به اندازه‌ای در سازمان تکامل یافته است که توجهات را به سوی شرکای وابسته جلب کند؟

۶. سازمان از چه نوع خدمات مبتنی بر رایانش ابری استفاده کرده و چگونه اطمینان می‌یابد که خدمات دهندگان استانداردهای امنیتی بالا و کنترل‌های قدرتمندی دارند؟

۷. آیا سازوکار استاندارد مدیریت گذرواژه‌های داخلی برای خدمات مبتنی بر رایانش ابری نیز به کار گرفته شده است؟

۸. در زمانی که بحث استفاده از خدمات تامین‌کنندگان و شرکای تجاری مطرح است، فرآیندهای ارزیابی ویژه این شرکت تا چه میزان در حوزه ریسک عدم امنیت سایبری قدرتمند است؟

قسمت اول این یادداشت در شنبه ۱۴ مهرماه در صفحه ۹ روزنامه چاپ شده است.