ما هو دور التدقيق الداخلي في "كبح جماح المخاطر الإلكترونية"؟

عامًا بعد عام، احتل الأمن السيبراني مكانة بارزة في سجلات المخاطر بالمنظمات. الأسباب بسيطة بما يكفي: تتطور المخاطر السيبرانية باستمرار، في حين أن مستوى الضرر الذي يمكن أن تتسبب فيه قد ازداد إلى حد أنها يمكن أن تشكل تهديدًا وجوديًا للشركات.

لسوء الحظ، لا تتوافق التغييرات السريعة في المخاطر التكنولوجية بالضرورة مع زيادة الوعي بتكنولوجيا المعلومات بين المديرين التنفيذيين، مما قد يغذي اعتقادًا غير واقعي (وغير مبرر) بأن المؤسسات مستعدة بشكل كاف لمواجهة التهديدات الإلكترونية الناشئة وتهديدات تكنولوجيا المعلومات. خلال مؤتمر إدارة التدقيق العام الذي عقده معهد المدققين الداخليين (IIA) في مارس، حذر ناثان أندرسون، المدير الأول للتدقيق الداخلي في سلسلة مطاعم ماكدونالدز للوجبات السريعة، من أنه في كثير من الأحيان، سيكون لدى الإدارة ثقة مفرطة في تغطية الشركة لمخاطر الأمن السيبراني. قال أندرسون: "هذا هو نوع الرسالة المطمئنة التي غالبًا ما ترغب في توجيهها إلى مجلس الإدارة، ولكن في كثير من الحالات ... قد يكون مستوى الثقة أعلى مما هو مبرر".

الآن أكثر من أي وقت مضى، يحتاج المدققون الداخليون إلى فهم التهديدات الإلكترونية ومواكبتها باستمرار. يجب عليهم أيضًا فهم ما يفعله المسؤولون عن الأمن السيبراني لإدارة المخاطر، وما هي التدابير التي يتخذها قادة وحدات الأعمال، ومدى امتثال الموظفين للإجراءات المعمول بها، وأين قد تكمن نقاط الضعف في المؤسسة الموسعة.

 

تأمين سلسلة التوريد 

أظهر الاختراق الأخير لشركة التكنولوجيا الأمريكية SolarWinds مدى ضعف الشركات وسلاسل التوريد الخاصة بها. انتشر الهجوم الإلكتروني -الذي يُعتقد أنه تم تنفيذه بواسطة قراصنة روس ولم يتم اكتشافه لعدة أشهر -إلى عملاء الشركة وسمح للمهاجمين بالتجسس على أنشطتهم: ​​مشكلة خطيرة عندما تتضمن قائمة العملاء شركة الأمن السيبراني النخبة FireEye والمراتب العليا للحكومة الأمريكية، بما في ذلك وزارة الأمن الداخلي والخزانة. دفع الاختراق البارز الرئيس الأمريكي بايدن إلى إصدار أمر تنفيذي للوكالات الفيدرالية لمعالجة أمن سلسلة التوريد طوال دورة حياة البرمجيات التي تشتريها وتستخدمها الحكومة. الرسالة واضحة: يمكن أن تفتح الثغرات الأمنية للبرمجيات في إحدى المؤسسات الأبواب للآخرين إذا لم يتم اتخاذ تدابير وقائية.

يقول تيم ماكي، استراتيجي الأمن الرئيسي في مركز سينوبسيس لأبحاث الأمن السيبراني في ماونتن فيو بولاية كاليفورنيا، إن هجمات سلسلة إمداد البرمجيات خلال العام الماضي أصبحت "واحدة من أهم التهديدات الإلكترونية التي تواجهها المؤسسات". على هذا النحو ، كما يقول، يجب على المدققين الداخليين الضغط من أجل أن تكون المخاطر جزءًا من مراجعات الأمن السيبراني الخاصة بهم، إذا لم تكن مدرجة بالفعل. كما يقول، على وجه الخصوص، يجب على المدققين الداخليين التحقق من مدى اعتماد تطبيق أو برنامج تكنولوجيا المعلومات على برامج مفتوحة المصدر. هذه مكونات برمجية قابلة للتنزيل مجانًا وتمثل غالبية التعليمات البرمجية في التطبيقات التجارية لأنها لا تكلف أي أموال. لسوء الحظ، كما يقول ماكي، يمكن لهذه المكونات بسهولة تجاوز عمليات الفحص العادية التي قد يستخدمها بائع تكنولوجيا المعلومات إذا كان يطور برامجه الخاصة، مما يعني احتمال وجود نقاط ضعف.

يقول إن أفضل طريقة للحصول على ضمانات هي الحصول على جرد كامل لأصول البرمجيات "لتحديد ما إذا كانت هناك أي ثغرات أمنية مفتوحة المصدر غير مصححة، ولكن الأهم من ذلك تحديد ما إذا كانت هناك تحديثات أو تصحيحات مفقودة" للحفاظ على أمان البيانات والبنية التحتية لتكنولوجيا المعلومات في المؤسسة. في الواقع، غالبًا ما يُشار إلى سياسات إدارة التصحيح غير الفعالة باعتبارها أحد التهديدات الرئيسية لتكنولوجيا المعلومات للمؤسسات حيث تنسى أقسام تكنولوجيا المعلومات التحقق من وجود تصحيحات، أو يتجاهل الموظفون المكالمات لتنزيلها وتثبيتها.

يتفق الخبراء على أن الثغرات الأمنية لتكنولوجيا المعلومات لطرف ثالث تشكل مخاطر جسيمة للمؤسسات وبالتالي تتطلب استجابة وقائية قوية -مع توفير التدقيق الداخلي مدخلات قوية. يقول شون شابوت، مستشار الإستراتيجية في إدارة الأمن السيبراني والاستشارات الإستراتيجية للأعمال Privity في فانكوفر، كولومبيا البريطانية، إن هناك العديد من المخاطر الرئيسية التي يجب أن تكون على رادار التدقيق الداخلي، لا سيما فيما يتعلق باستخدام الخدمات السحابية ومقدمي خدمات تكنولوجيا المعلومات الآخرين.

إدارة الهوية والوصول يقول شابوت إن اعتماد المؤسسات المتزايد على برامج إدارة الهوية والوصول أصبح الخطر الأكثر أهمية منذ أن برزت الحوسبة السحابية. يقول شابوت: "عندما انتقل الجميع إلى السحابة أو بدأوا العمل من المنزل، كان على المؤسسات التكيف مع بنية" عدم الثقة "الجديدة حيث تكون الهوية هي المحيط الجديد". على الرغم من أنه لسوء الحظ، كما يقول، فإن هذه الإجراءات غالبًا ما تكون غير كافية. يقول شابوت: "حتى مع مصادقة الأفراد والأجهزة، يبدو أن التصيد الاحتيالي فعال للغاية في استغلال هذه اللامركزية للأمن السيبراني ومنح الجهات الفاعلة الشائنة حق الوصول غير المصرح به إلى أموال الشركة أو الوصول الإداري إلى البنية التحتية السحابية".

إدارة الموردين: يعد المورد أو أوجه القصور في برنامج إدارة الجهات الخارجية مجال خطر رئيسي آخر. وفقًا لـ شابوت، مع الانتقال إلى الخدمات السحابية، أصبحت المؤسسات أكثر اعتمادًا على الأطراف الثالثة للقيام بالمهام التي يفترض أن تقوم بها، بما في ذلك التعامل مع أمان البيانات. يقول: "حقيقة أن العملاء قد يتوقعون من مزود خدمة السحابة (CSP) أن يفعل شيئًا ما وهم لا يفعلونه هو أمر مهم للغاية قبل توقيع العقد". الجزء الآخر ذو الصلة من إدارة الموردين هو قابلية نقل البيانات التي ترسلها إلى CSP وما إذا كان يمكنك بالفعل استعادتها بتنسيق معقول ومفيد. بالإضافة إلى ذلك، هناك احتمال متزايد بأن يتعرض CSP الخاص بك لخرق بيانات من نوع ما -يجب تحديد كيفية التعامل مع ذلك جيدًا قبل حدوثه. لقد ازدادت أهمية هذا الخطر، خاصة منذ اختراق SolarWinds ".

يقول شابوت إن خطر تعرض مقدم الخدمة لخرق -وما يجب على المنظمة فعله إذا حدث ذلك -يجب أن يكون أيضًا على أجندة مخاطر الأمن السيبراني لكل مدقق داخلي. يوضح شابوت: "إذا كنت لا تتوقع حدوث خرق أو أن يكون هناك خرق لأحد مقدمي الخدمة الرئيسيين لديك، فأنت لم تنتبه". للتخفيف من المخاطر، كما يقول، تحتاج المؤسسات إلى التفكير في كيفية الاستجابة للحادث، وكيف ينبغي لها توصيل الأخبار داخليًا وخارجيًا، وما إذا كانت بحاجة إلى تبديل مقدمي الخدمة على الفور.

تصنيف البيانات يجب على المدققين الداخليين أيضًا أن يتساءلوا عن مستويات الأمان التي تقدمها مؤسساتهم لأنواع معينة من البيانات التي يخزنونها في السحابة، كما يقول شابوت. يقول أيضا: "يقول العديد من عملائنا الذين يستخدمون موفري الخدمات السحابية" إننا نحمي جميع بياناتنا كما لو كانت أعلى حساسية "بدلاً من تصنيف البيانات للسماح لها بالحصول على مستويات مختلفة من ضوابط الأمان. إذا لم تقم بتصنيف بياناتك، فأنت إما تقلل من حماية بعض بياناتك أو تفرط في حماية معظم بياناتك -وتدفع إلى CSP أكثر بكثير مما تحتاج إليه."

أوجه القصور في المواهب يقول شابوت إن حقيقة أن السحابة تشمل العديد من التقنيات والخدمات المختلفة تفسح المجال لمخاطر أخرى صعبة على المؤسسات لإدارتها -العثور على موظفي تكنولوجيا المعلومات على دراية بالتكنولوجيا المتطورة باستمرار والاحتفاظ بهم. "كان من المعتاد أن تقوم بتعيين فرد بناءً على خبرته مع تخطيط موارد مؤسسة معينة، مثل SAP، أو مع بعض المعرفة التقنية العميقة في نظام أساسي للبائعين مثل التوجيه والتبديل من Cisco. الآن، الأمر مختلف: أنت توظف شخصًا اليوم لاستخدام شيء قد لا يكون موجودًا بالفعل بعد ولكنه سيصبح سمة مهيمنة على بيئتك في أقل من عام." ويضيف شابوت أن تأثير مثل هذا النقص في المهارات قد تزايد بشكل كبير خلال السنوات القليلة الماضية مع تسارع التغيرات التكنولوجية."

تعرف على فريق التكنولوجيا

تعني الطبيعة المتغيرة باستمرار لتهديدات الأمن السيبراني أن التدقيق الداخلي لا يحتاج فقط إلى فهم التكنولوجيا، ولكن أيضًا الأشخاص المسؤولين عن تنفيذها والإشراف عليها واستخدامها. قال ays Kamal Dua، نائب الرئيس الأول والمدير التنفيذي للتدقيق في شركة Leidos، ي ريستون ، فيرجينيا: "إذا أراد التدقيق الداخلي فهم المخاطر التكنولوجية، فعليه فهم التكنولوجيا . إذا كانت المهنة تساعد في التخفيف من مخاطر الأمن السيبراني ، فيجب أن تعرف كيف يحدد كبير مسؤولي المعلومات (CIO) وكبير مسؤولي أمن المعلومات (CISO) ويخفف من هذه التحديات والنهج الذي يتبعونه لإدارة المخاطر السيبرانية.

يقول دوا:" يحتاج التدقيق الداخلي إلى التحدث مع CIO وCISO والتعرف عليهما. يحتاج المدققون الداخليون إلى فهم كيفية عمل هذه الوظائف، ويحتاجون إلى تكوين علاقة عميقة وموثوقة معهم لتوفير المستوى المناسب من التأكيد للشركة بأن مخاطر الأمن السيبراني يتم تحديدها بشكل صحيح، وتحديد أولوياتها، والتخفيف من حدتها."

كما يقول إن التدقيق الداخلي يلعب دورًا قويًا في إنشاء استجابة قوية لمخاطر الأمن السيبراني. من خلال العمل جنبًا إلى جنب مع وظائف التأكيد الأخرى مثل إدارة مخاطر المؤسسة (ERM)، يقول دوا، في مؤسسته، المستشار السيبراني، إنه يتعين على المنظمات إنشاء -ومراجعة وتحديث بانتظام -إطار عمل مخاطر الأمن السيبراني، وكذلك فحص الحوكمة حول بنية تكنولوجيا المعلومات الخاصة بالمؤسسة ومخاطر الأمن السيبراني. علاوة على ذلك، كما يقول، يجب أن يراجع التدقيق الداخلي سياسات ومعايير الأمن السيبراني المعمول بها لمعرفة ما إذا كانت متوافقة بشكل مناسب مع تحمّل مخاطر الشركة وما إذا كان يتم فهمها وتعميمها داخليًا. بعد مراجعة سجلات المخاطر في المؤسسة، يجب على التدقيق الداخلي أيضًا وضع خريطة لمعرفة الأماكن التي قد تظهر فيها المخاطر الإلكترونية الحرجة، والتأثير الذي يمكن أن تحدثه على العمليات، وكيف يتم التخفيف من المخاطر.

 يقول دوا: "من المهم للمدققين الداخليين أن يفهموا برنامج إدارة المخاطر المؤسسية للشركة، بالإضافة إلى فهم مكان ظهور الأمن السيبراني في خريطة شدة مخاطر المنظمة. تحتاج أيضًا إلى وضع خطة لتقييم المخاطر الإلكترونية لتقييم الإجراءات التي تتخذها الإدارة للتخفيف من مخاطر الأمن السيبراني وما إذا كانت بحاجة إلى تحسين. في بعض الأحيان، قد تكافح وظائف التدقيق الداخلي للقيام بذلك لأنهم لا يمتلكون المستوى اللازم من المواهب الداخلية. "

يضيف دوا أن وظائف التدقيق غالبًا ما تفترض أن مدققي تكنولوجيا المعلومات لديهم المعرفة والمهارات المطلوبة لتدقيق الأمن السيبراني، حتى عندما تكون هذه المهارات غير متوفرة. حيث يقول:" من المهم لمدققي تكنولوجيا المعلومات ترقية مهاراتهم باستمرار من خلال الحصول على المؤهلات الأكاديمية أو الشهادات المهنية التي تركز على تحديد مخاطر الأمن السيبراني وإدارتها."

يعتقد البعض أن المنظمات يجب أن تتبنى مزيجًا من الأساليب منخفضة التقنية وعالية التقنية لمكافحة مخاطر الأمن السيبراني. فيما يتعلق بالتكنولوجيا المنخفضة، تقول جين لوجينوفا، الرئيس التنفيذي لشركة Radar Payments في لندن، إن المدققين الداخليين يجب أن يركزوا أولاً على "الأساسيات" -أي ضمان تطبيق سياسات الأمان داخليًا وعبر القنوات والشبكات الموزعة، بما في ذلك الشبكات الأساسية والشبكات السحابية. يمكن التقليل من الكثير من المخاطر من خلال إجراء فحوصات منتظمة وسد ثغرات أمنية، والاستقرار على إطار عمل أمني موحد يعتمد على قابلية التشغيل البيني، ومركزية الرؤية والتحكم، وتقسيم الشبكة لتقييد البرامج الضارة.

فيما يتعلق بالتكنولوجيا الفائقة، تنصح المنظمات بالاستثمار في قدرات الذكاء الاصطناعي (AI). وتقول جين: "يمكن أن يؤدي الاستثمار في أنظمة الأمان القائمة على الذكاء الاصطناعي إلى تقليل الهجمات الرقمية بشكل كبير وتحديد الأنشطة المشبوهة. يتم دمج أفضلها مع الشبكات العصبية الاصطناعية، والتي يمكن أن تؤدي جنبًا إلى جنب مع نماذج التعلم العميق إلى تسريع تحليل البيانات واتخاذ القرار. كما تمكّن التكنولوجيا الشبكة أيضًا من التكيف مع المعلومات الجديدة التي تصادفها في الشبكة."

أخطاء على الخط الأمامي

ومع ذلك، ليست كل مخاطر الأمن السيبراني معقدة من الناحية التكنولوجية. في الواقع، فإن تهديد الأمن السيبراني الأكثر شيوعًا هو من الأشخاص -عادةً الموظفين -الذين يتجاهلون البروتوكولات أو يستخدمون التكنولوجيا بشكل غير صحيح.

 يقول مارك جونتريب، المدير الأول، استراتيجية الأمن السيبراني، في شركة الأمن السحابي Menlo Security في ماونتن فيو، كاليفورنيا، إن أحد أكبر تحديات الأمن السيبراني هو تحايل المستخدمين النهائيين على الأمان. يقول: "وضعت الشركات السياسات الأمنية التي تعتبرها ضرورية لإدارة المخاطر. ومع ذلك، إذا رأى المستخدمون النهائيون أن السياسات تؤثر على قدرتهم على إنجاز عملهم، فمن المحتمل جدًا أنهم سيحاولون الالتفاف حول عناصر التحكم -ليس بطريقة لمحاولة سرقة البيانات أو بأي نية سيئة، ولكن في الواقع للمساعدة الشركة، مما يضع فرق الأمن في وضع غير موات. لمعالجة هذه المشكلة، يقول جونتريب إن المؤسسات يجب أن تبحث عن تنفيذ حلول" غير مرئية "للمستخدمين النهائيين." لا يمكن التحايل على الأمن الذي لا يمكن رؤيته أو الشعور به ".

يقول سايمون هودجكينسون، كبير مديري التطوير في شركة Reliance acsn المتخصصة في إدارة أمن تكنولوجيا المعلومات في لندن، إن التدقيق الداخلي يجب أن يدفع باتجاه قيادة فعالة من الأعلى. يجب أن يكون واضحًا أن كل شخص مسؤول عن الأمن السيبراني، تمامًا مثل السلامة، ولا ينبغي اعتبار هذا مشكلة يمتلكها فريق الأمن وحده. يجب أن يرعى فريق القيادة حملات التوعية السلوكية، ويجب على مجلس الإدارة والفريق التنفيذي القيام بانتظام بممارسة الأزمات لحدث إلكتروني."

يضيف هودجكينسون أنه يجب على الرؤساء التنفيذيين للتدقيق العمل بشكل وثيق مع CISOs لتطوير خطة التدقيق الداخلي بشكل مشترك وتوجيه الموارد إلى المجالات الأكثر قلقًا ومخاطرًا للشركة. إن قيام الرئيس التنفيذي للتدقيق والمدير التنفيذي لأمن المعلومات (CISO) بتوضيح وجهة نظر متسقة ومتماسكة للمخاطر التي يتعرض لها الفريق التنفيذي ولجنة التدقيق هو وسيلة قوية لموازنة المخاطر الإلكترونية والتشغيلية."

يتفق خبراء آخرون على أن الأمن السيبراني الفعال يتطلب "لمسة إنسانية قوية". يقول جورج فيني، كبير مسؤولي الأمن في جامعة Southern Methodist في دالاس، إن تكوين علاقات قوية على نطاق أوسع أمر حيوي إذا كان التدقيق الداخلي سيلعب دورًا رئيسيًا في تحسين إدارة مخاطر الأمن السيبراني والمرونة. "العلاقات هي أهم عملتنا عندما يتعلق الأمر بالتغيير الفعال. يمثل الموظفون أكبر تهديد في المؤسسة -لكنهم أيضًا الموجودين في الخطوط الأمامية والذين هم في أفضل وضع لفهم الأعمال وعناصر التحكم التي ستعمل في العالم الحقيقي."

الشراكة مع وحدات الأعمال

يقول فيني إنه من المهم أيضًا أن يطور التدقيق الداخلي العلاقات مع رؤساء الأقسام. بينما من الواضح أن التحدث إلى قسم تكنولوجيا المعلومات يمثل بداية جيدة، فمن المهم أيضًا التحدث إلى رؤساء الأقسام الأخرى.  ما هي مخاطر تكنولوجيا المعلومات التي حددوها ورتبوها حسب الأولوية؟ ما هي المنهجيات المستخدمة لتقييم هذه المخاطر؟ وهل هي نفس تلك التي حددها قسم تكنولوجيا المعلومات؟ إذا دعا رؤساء الأقسام الأخرى التدقيق الداخلي للمساعدة في مراجعات المشروع واختبار ضوابط المخاطر، فإنه يرسل إشارة في جميع أنحاء المنظمة بأن وظيفة التدقيق هي وظيفة يجب استدعاءها في حالة حدوث أزمة -وهذا مكسب كبير ". 

في الواقع، يقول فيني إن أحد الركائز الأساسية لأي سياسة ناجحة لإدارة مخاطر الأمن السيبراني هو الحصول على دعم على مستوى المؤسسة. أنا لا أخرج بقائمة مرجعية وأخبر الناس أين يخطئون -أرى كل اجتماع / مراجعة كفرصة للتخطيط بشكل أكثر فعالية وللتحسين. من الأهمية بمكان فهم التفكير وراء سبب اتخاذ الأشخاص للإجراءات والقرارات التي اتخذوها. إذا تعاملت مع عمليات التدقيق من منظور إيجابي -بدلاً من نهج "الشرطي الداخلي \ internal policeman" -فإنك تحصل على مشاركة كاملة ".

يقول فيني إنه نظرًا لأن الأمن السيبراني يمثل خطرًا رئيسيًا على كل مؤسسة، فإنه "يجب استخدامه كفرصة من قبل التدقيق الداخلي للضغط من أجل الدعم التنفيذي للمبادرات التي تعرف أنها بحاجة إلى الحدوث. ويضيف أنه عندما يقوم التدقيق الداخلي بتقييم سياسات وضوابط الأمن السيبراني في مناطق مختلفة من المؤسسة، فإنه يوفر فرصة لبناء علاقات مع العملاء. لا نريد أن يخاف الناس من التدقيق الداخلي: نريدهم أن يشتركوا معنا ويتعاونوا من أجل التحسين."

تهديد مستمر

 مخاطر الأمن السيبراني موجودة لتبقى -وستستمر في التطور، مما يدعو باستمرار إلى التشكيك في الضوابط والإجراءات الموضوعة لتقليل المخاطر والتخفيف منها. يجب أن تذكر الاختراقات الحديثة البارزة وكوارث أمن تكنولوجيا المعلومات الأخرى التدقيق الداخلي بتوسيع نطاق تركيزه بعيدًا عن التكنولوجيا فقط إلى جوانب أخرى خطيرة بنفس القدر من مخاطر الأمن السيبراني، مثل عدم الامتثال للسياسة بين الموظفين أو عدم وجود المرونة الإلكترونية لجهات خارجية. يجب أن تكون أيضًا تذكيرًا بنقاط الضعف التي يمكن أن تظهر في أي مكان في المنظمة وبأهمية الجهود التعاونية. يمكن أن يساعد التدقيق الداخلي في ربط أجزاء مختلفة من المؤسسة معًا لتشكيل جبهة موحدة ضد التهديدات الإلكترونية والمساعدة في حماية المؤسسة من المهاجمين المحتملين.

 

 

 
قراءة 802 مرات آخر تعديل في الإثنين, 28 مارس 2022 12:27

الموضوعات ذات الصلة

سجل الدخول لتتمكن من التعليق

في المحاسبين العرب، نتجاوز الأرقام لتقديم آخر الأخبار والتحليلات والمواد العلمية وفرص العمل للمحاسبين في الوطن العربي، وتعزيز مجتمع مستنير ومشارك في قطاع المحاسبة والمراجعة والضرائب.

النشرةالبريدية

إشترك في قوائمنا البريدية ليصلك كل جديد و لتكون على إطلاع بكل جديد في عالم المحاسبة

X

محظور

جميع النصوص و الصور محمية بحقوق الملكية الفكرية و لا نسمح بالنسخ الغير مرخص

We use cookies to improve our website. By continuing to use this website, you are giving consent to cookies being used. More details…