این فناوری و کنترل های امنیتی شماست: اجازه ندهید یک حسابرس مدیر ارشد فناوری شما شود

هدف حسابرسان ارزیابی اثربخشی کنترل‌های امنیتی سازمان در برابر مجموعه‌ای از استانداردهای تعیین‌شده است، نه تعیین خط‌مشی‌ها و دیکته کردن کنترل‌ها برای اجرا. یک حسابدار رسمی رسمی که حسابرسی SOC 2 را انجام می دهد در امنیت سایبری متخصص نخواهد بود. موسسه حسابداران رسمی آمریکا (AICPA) حتی این را در راهنمایی های خود بیان می کند. حسابرس باید در شیوه های تضمینی متخصص باشد و وظیفه او باید اطمینان از رعایت استانداردهای امنیتی موجود باشد. آنها به کار گرفته نمی شوند تا به سازمان بگویند کدام فناوری ها را به کار ببندد و کنترل ها را پیاده سازی کند.

برای کسب‌وکارهایی که دهه‌ها تجربه در برخورد با مقررات، حسابرسی و حسابرسان دائماً در حال تغییر هستند، این امر بدیهی است. برای فروشندگان خود، شاید نه چندان. اکنون، سازمان‌های بیشتری کشف می‌کنند که دستیابی به انطباق با SOC 2 و نشان دادن پروتکل‌های امنیتی مؤثر برای انجام تجارت مورد نیاز است. برای این شرکت‌های جدیدتر به بازی صدور گواهینامه، ممیزی و آماده‌سازی حسابرسی می‌تواند میدان مین باشد که پشته‌های فناوری را پیچیده می‌کند، عملیات را مختل می‌کند و بودجه‌ها را از بین می‌برد.

من در طول این سال ها بارها از طریق این فرآیند گذر کرده ام و درک درستی از نحوه اجتناب از مین پیدا کرده ام. در اینجا نکات من برای مدیریت یک ممیزی موفق از کنترل های امنیتی شما وجود دارد.

تعریف مجدد رابطه حسابرس

طراحی کنترل به عهده سازمان است نه حسابرس. اغلب این حقیقت اساسی با عملکرد مورد نظر حسابرس در تعارض است. آماده سازی حسابرسی به طور معمول شامل حسابرسان می شود که کنترل هایی را که سازمان باید اتخاذ کند را دیکته می کند: پیش نویس این خط مشی ها، پیکربندی این لیست از تنظیمات نظارت بر ارائه دهنده ابر، و فعال کردن دروازه های خودکار در آن نقاط کنترل. این رویکرد چک لیست پرهزینه است، می تواند بی پایان به نظر برسد و بر خلاف امنیت واقعی عمل می کند.

سازمان هایی که از رویکرد چک لیست استفاده می کنند، اغلب با ایجاد سیاست های بی فایده، اعمال کنترل های بی معنی یا حتی نادیده گرفتن کل فرآیندها، زمان و هزینه خود را هدر می دهند. این به این دلیل اتفاق می افتد که رویکرد چک لیست اندازه، مدل عملیاتی یا بلوغ یک واحد تجاری را در نظر نمی گیرد. این فرآیند همچنین می‌تواند راه را برای کنترل‌های امنیتی توصیه‌شده توسط حسابرس باز کند که در واقع امنیت داده‌های کسب‌وکار را کمتر می‌کند.

نمونه ای از توصیه حسابرس که بحث را برانگیخته است، نصب نرم افزار آنتی ویروس دسکتاپ است. علیرغم اینکه کمتر و کمتر ضروری می شود و به طور فزاینده ای احتمال ایجاد آسیب پذیری وجود دارد، چک لیست های حسابرس به طور معمول شرکت ها را به نصب نرم افزار آنتی ویروس بر روی سیستم های دسکتاپ هدایت می کنند. اجرای چنین کنترل هایی می تواند احساس امنیت کاذب ایجاد کند و هزینه های بی موردی را متحمل شود. انجام این کار همچنین حسابرس را به طور مؤثر به یک مدیر ارشد فناوری اطلاعات یا CIO تبدیل می کند، زیرا آنها دیکته می کنند که چه برنامه هایی باید یا نباید بخشی از پشته فناوری شرکت باشند.

مدیریت در مورد خط مشی تصمیم می گیرد و کنترل های منحصر به فرد خود را برای برآورده کردن آنها بر اساس اولویت های خود تعریف می کند. آنها می توانند از الزامات معیارهای خدمات اعتماد فوق العاده AICPA استفاده کنند راهنمای برای کمک به ایجاد سیاست ها علیرغم آنچه برخی از حسابرسان ممکن است پیشنهاد کنند، سیاست های خاصی در هیچ کجای آن سند 63 صفحه ای ارائه نشده است.

ایجاد خط‌مشی باید بر اساس تاریخچه و پیش‌بینی دقیق خود شرکت باشد تا کنترل‌های امنیتی را متناسب با اهدافش ایجاد کند.

از نرم افزار خود استفاده کنید نه نرم افزار آنها

متأسفانه، برخی از حسابرسان از خط توصیه‌های AICPA عبور می‌کنند و با تلاش برای پیاده‌سازی نرم‌افزار خود برای پیگیری حسابرسی داخلی، پروژه را آغاز می‌کنند.

حسابرسان اغلب اجرای نرم افزار خود را بخشی از قرارداد استاندارد می دانند. این هزینه را افزایش می دهد و باری را بر دوش کارکنان فناوری اطلاعات سازمان می گذارد بدون اینکه کار را برای مشتری راحت تر کند.

افزودن برنامه دیگری که تحت کنترل IT نیست، یک قفل ناخوشایند فروشنده است که آسیب‌پذیری امنیتی خود را ایجاد می‌کند. دسترسی حسابرس باید فقط به سیستم ها و داده های لازم برای انجام حسابرسی محدود شود. سازمان‌ها به‌جای اجازه دادن به استقرار نرم‌افزار حسابرس تحت کنترل خود، باید اتاق داده را خودشان آماده کنند تا اطلاعات حساس را از دست حسابرس دور نگه دارند.

هر حسابرسی باید بتواند با استفاده از پشته فناوری موجود در این پارامترها کار کند، مگر اینکه استانداردهای تعریف شده توسط شرکت را نتوان بدون استقرار اضافی برآورده کرد.

برای کنترل های امنیتی خود بر ارزیابی ریسک تمرکز کنید، نه چک لیست ها

سازمان ها باید با استفاده از رویکردی متفکرانه و مبتنی بر ریسک برای تنظیم استانداردهای امنیتی، خط مشی هایی ایجاد کنند. ارزیابی ریسک یک عنصر کلیدی در بسیاری از چارچوب‌های امنیتی مانند SOC 2، HIPAA، ISO 27001 و NIST است، اما حسابرسان اغلب فاقد تخصص لازم برای انجام آن هستند. در غیاب یک منبع راهنما برای انجام ارزیابی ریسک، چک لیست به وسوسه‌ای برای شرکت‌هایی تبدیل می‌شود که می‌خواهند در سریع‌ترین زمان ممکن گواهی یا تصدیق را دریافت کنند. با این حال، نتایج ممکن است بهینه نباشند، و فرآیند اغلب بسیار بیشتر از یک رویکرد مبتنی بر ریسک طول می کشد.

با رویکرد مبتنی بر ریسک، سازمان وقت خود را برای سیاست‌های نادرست یا اجرای فناوری‌های غیرضروری تلف نمی‌کند. ارزیابی ریسک می‌تواند کسب‌وکار را به سیاست‌های دقیقی که نیاز دارد هدایت کند و همچنین کنترل‌های قابل تکرار مناسب برای سازمان را شناسایی کند. ارزیابی ریسک تکمیل شده همچنین به عنوان یک کنترل مورد نیاز برای بسیاری از چارچوب ها عمل می کند.

مجموعه کنترل منتج شناسایی شده توسط ارزیابی ریسک را می توان به نقشه برداری کرد هر چارچوب امنیتی پس از نقشه برداری، شکاف در پوشش آشکار خواهد شد. رویکرد مبتنی بر ریسک مشخص می‌کند که شرکت باید چه کنترل‌های اضافی را اجرا کند. سپس این کنترل ها به استاندارد اندازه گیری حسابرس تبدیل می شوند. سازمان از آنها برای تسهیل تکمیل پرسشنامه های امنیتی استفاده می کند و آنها را با مشتریان احتمالی به اشتراک می گذارد.

ارزیابی ریسک نباید برای حسابرس پیچیده یا خصمانه باشد. اتخاذ یک رویکرد مبتنی بر ریسک می‌تواند اعتماد را تقویت کند و همه طرف‌ها را بر ایمن‌تر کردن و مسئولیت‌پذیرتر کردن سازمان متمرکز کند. با استفاده از یک مدل مبتنی بر ریسک، شرکت و حسابرس بیشتر به عنوان شریکی عمل می‌کنند که در مسیر خود باقی می‌مانند و در راستای هدف مشترک اجرای کنترل‌های امنیتی قوی و قابل اثبات کار می‌کنند.

ممیزی ها راه را برای اعتماد بیشتر بین شرکت ها هموار می کنند. آنها چیز خوبی هستند. با این حال، آنها می توانند یک تله باشند. اجازه ندهید حسابرس شما به عنوان CTO عمل کند و در دام چک لیست نیفتید. تلاش‌های انطباق با اندازه مناسب با استفاده از فرآیند ارزیابی ریسک مؤثر، اطمینان حاصل می‌کند که محیط‌های کنترلی بر اولویت‌های سازمان تمرکز می‌کنند.

جاستین بیلز یکی از بنیانگذاران و مدیر عامل شرکت است نمودار ضربه.