Весьма частой практикой выступает несвоевременное проведение проверки IT-безопасности или надежности социальных сетей со стороны отдела внутреннего аудита компании. Многие аудиторские команды склонны откладывать указанные риски на последнее число, несмотря на их возрастающую актуальность и значение информационных ресурсов для хранения конфиденциальной информации предприятия.

Защита бренда и конфиденциальности в социальных сетях

Вирусные социальные сети могут оказать негативное влияние на репутацию компании. Отрицательный отзыв из интернет-пространства мгновенно просачивается в газеты и на телевидение, принося материальный ущерб. Очевидно, что компании стремятся быть активными в обеспечении качественной продукцией и хорошего обслуживания клиентов. Тем не менее, одно вирусное видео может серьезно подорвать надежность бренда. К контрольному списку процедур, обязательных для выполнения аудиторами, относятся:

  • Проведение полевых исследований и проверок локаций для выделения элементов, оказывающих влияние на бренд компании
  • Фокусирование внимания как на работе с клиентами, так и на деятельности бэк-офиса
  • Посещение веб-сайта компании для мониторинга отзывов клиентов
  • Проверка комитетов. В некоторых организациях созданы специальные отделы для защиты бренда и отслеживания репутационных угроз, в том числе в социальных сетях. Аудиторам следует приложить усилия для проведения перекрестной проверки указанных экспертных групп на предмет использования процедур по снижению потенциальных рисков.

Безопасность и потеря данных ввиду увеличения количества мобильных приложений

Исследование Asurion показало, что американцы проверяют свои телефоны каждые 12 минут или в среднем 80 раз в день. Утечка персональных данных посредством мобильных устройств не должна удивлять аудиторов. Бизнес становится все более зависимым от мобильных гаджетов.

Так, исследовательская фирма Gartner прогнозирует, что к 2021 году 27% корпоративного трафика данных будут перенаправляться непосредственно с мобильных и переносных устройств в облачные ресурсы. Мобильные устройства обеспечивают большую производительность и гибкость для сотрудника, поэтому компания должна решить проблему IT-рисков, сопровождающих их использование, а именно:

  • Отсутствие контроля физической безопасности
  • Использование ненадежных мобильных девайсов
  • Наличие ненадежных сетей
  • Использование приложений, созданных неизвестными лицами
  • Взаимодействие с другими системами
  • Смешение личных и деловых данных
  • Использование ненадежного контента или служб определения местоположения.

Внутренние аудиторы должны фокусировать внимание на наличии процедур, направленных на защиту компании. Прежде всего, необходимо убедиться в использовании организацией стратегии для мобильных устройств, которая согласовывает стратегические бизнес-цели со стандартами безопасности. Используйте существующие платформы, в том числе NIST и COBIT, которые предоставляют подробную структуру эксплуатации мобильных устройств в бизнесе. ISACA также предлагает набор процедур для программы BYOD.

Стоит отметить, что многие компании сейчас сосредоточены на установлении многоуровневой защиты критически важной информации вместо разработки единственного сетевого периметра безопасности. Действия внутреннего аудита могут включать в себя сканирование уязвимостей внутренней сети, проверку контроля доступа, а также использование третьих сторон для проведения смоделированных кибер-атак.

Управление данными и другие вопросы, связанные с обеспечением облачной безопасности

К сожалению, облачные ресурсы не гарантируют 100% безопасность данных. IT-провайдеры продают облачные серверы с нуля, но риски хакерских атак остаются достаточно высокими. К основным «облачным» угрозам относятся:

  • Безопасность самой технологии
  • Несанкционированный доступ или утечка информации о клиенте / компании
  • Невозможность применения политики безопасности в среде поставщика облачных услуг
  • Задержка действий в обеспечении непрерывности бизнеса или аварийного восстановления данных

При проверке облачной безопасности аудиторам стоит убедиться в наличии лицензий и тестировании услуг, предлагаемых сторонним поставщиком. Если произойдет сбой в облаке, пострадает бренд компании, а не репутация третьего лица. В случае проведения аудиторской проверки один раз в год, облачный ресурс должен тестироваться каждые полгода.

Внутренний аудит также может выполнять проверки каждого аспекта жизненного цикла разработки информационных систем и методологии управления проектами организации. Привлекая внутренних аудиторов к ранним этапам IT-аутсорсинга, компания может быть уверена в соблюдении условий договора в контексте сохранения конфиденциальности данных.

По мнению С. Свонсон, не лишним будет полностью протестировать планы аварийного восстановления и обеспечения непрерывности бизнеса (Статья «The IT Audit Checklist for Emerging Risks» для MISTI, 2018). Часто аудиторы проверяют наличие DRP или BCP (план обеспечения бесперебойной деятельности). Тем не менее, установленный алгоритм может не сработать, поэтому следует проверить его эффективность в фиктивной обстановке посредством сценарного моделирования ситуации.

Аудиторы также могут обратиться к существующим платформам, включающим элементы облачной безопасности (NIST, COBIT), либо сервисам, предназначенным исключительно для ведения бизнеса. Используйте сторонние или встроенные инструменты для защиты доступа к данным по примеру приложений SaaS либо облачных служб.

Ещё один вариант: внедрить брокера безопасности облачного доступа (CASB) между поставщиками облачных услуг и клиентами. Практика CASB включает единый вход в облако, профилирование устройства, вход в систему, оповещение, а также обнаружение и предотвращение вредоносных программ.

Таким образом, когда речь идет об аудите IT-сферы, можно выбрать консервативный путь проверки корпоративных политик соответствия регуляторным нормам, либо рассмотреть альтернативные способы обеспечения безопасности компании посредством цифровых технологий и инновационных решений.

 

Источник:

https://www.misti.co.uk/internal-audit-insights/the-it-audit-checklist-for-emerging-risks

Читайте также: