Küberturvalisus: 20 küsimust, mida siseaudiitor peaks küsima

Tõlkis Mare Timian
16.10.2020 - 10:32

Oktoober on siseaudiitorite ülemaailmsele kogukonnale küberturvalisuse kuu. Kogu oktoobri jooksul avaldab ajakiri Internal Auditor artikleid kõige olulisematest küberjulgeoleku teemadest, et siseaudiitoritel oleks aina enam teadlikkust ja infot kaitstes oma organisatsioone küberohtude eest.

IBM-i 2020. aasta globaalsest uuringust selgub, et andmetega seotud rikkumiste keskmine kahju on 3,86 miljonit dollarit. Pealegi on pahatahtlike rünnakute põhjustatud rikkumised kõige tavalisemad - ja ka kõige kallimad.

Oktoober on küberturvalisuse teadlikkuse kuu.

USA Küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA, cybersecurity and infrastructure security agency) rõhutab siinkohal isiklikku vastutust: "# DoYourPart. #BeCyberSmart". CISA jagab linke materjalidele, sealhulgas näpunäited ja esitlust (PDF), samuti küberteemade kogum, mis sisaldab hindamisi, teste ja hindamisvahendeid.

Läbi oktoobrikuu vältab siseaudiitoritele mõeldud 4-nädalane küberturvalisuse seeria, kus igal nädal tuleb uurida viit küsimust ja lugeda soovitatud materjale. 4-nädalase teemaseeriaga julgustatakse siseaudiitoreid, et nad aitaksid oma organisatsioonidel tugevdada kaitset pahavara, suhtlusründe (social engineering, füüsiliste küberrünnakute ja muude küberhaavatavuste eest.

Kahtlemata on ka COVID-19 muutnud küberturvalisuse teema organisatsiooni juhtimisel olulisemaks kui kunagi varem, kuna digitaalsed ja pilvepõhised tehnoloogiad lihtsustavad töötajate kaugtöövõimalusi; samal ajal kui sise- ja välisturvaoperatsioonide keskused jälgivad, hindavad ja reageerivad haavatavustele ja ohtudele ning reageerivad neile eemalt.

Siseauditi üksuste juhid on täiendanud oma auditiplaane, kaaludes konkreetseid tegevusi järjepidevuse tagamiseks, juhtumite uurimiseks, ajakohastanud riskihinnanguid, teinud muudatusi riskijuhtimise lähenemisviisides, mis on tingitud organisatsiooni riskiisu ja -profiili muutustest, ning andnud sõltumatu hinnangu ka kaugtöö riskidele. Küberturvalisus on kõigi nende tegevuste lahutamatu osa ning selle kohta õige sisendi saamine on organisatsiooni heaolu ja edukuse tagamiseks hädavajalik.

2. nädal: küsimused, mida iga auditi puhul tuleb esitada

Pole saladus, et küberkurjategijad püüavad saada organisatsioonile juurdepääsu selle nõrkade kohtade kaudu. Nagu ka mäe otsas asuv hästi turvatud kindlus, võib organisatsioon pidada end hästi kaitstuks - kuid sissetungijale on vaja ainult ühte valveta "tagaust".

Siseaudiitorid saavad aidata oma organisatsioonidel tuvastada kaitsmata "tagauksi" küberturvalisuses, esitades õigeid küsimusi ning uurides IT protseduure ja kontrolle. Nii nagu majale uue ukse või akna lisamine, võib ka uue protsessi, rakenduse või süsteemi kasutuselevõtt muuta organisatsiooni infrastruktuuri rünnaku suhtes haavatavaks, kui see on jäänud kaitseta, valveta ja tähelepanuta.

Sellest ei piisa, kui rakendust või süsteemi üks kord üle vaadata ja siis sinnapaika jätta. Siseaudit peaks läbi viima hoolsuskohustuse hindamise, et näha, mis on pärast viimast töövõttu muutunud. Samuti on oluline välja selgitada, kellel on maja "võtmed", õiguste andmise õigused, ja millised on õiguste üleandmise- ja lõpetamise protseduurid, et tagada vajalikud kontrollid, kui keegi organisatsioonis rolli vahetab või lahkub.

Organisatsioonidel peab olema sobiv ja toimiv strateegia, et olla kindel oma küberjulgeolekus.

Küberturvalisuse teadlikkuse kuu raames on siin viis küsimust, mida siseaudiitorid peaksid iga audititöö käigus esitama:

  1. Milliseid andmekaitse viise on selle protsessi / rakenduse / süsteemi puhul rakendatud?
  2. Milline on rakenduse / süsteemi varundamise ja säilitamise ajakava?
  3. Mis on selle protsessi / süsteemi / rakenduse paranduste, turvaaukude parandamise ja auditileidude parandamise olek?
  4. Kas selle protsessi või rakenduse / süsteemiga seotud tegevusi on pärast viimast ülevaatamist rakendatud? Milline on olnud tehnoloogia või protsessi muudatuste turvalisusega seotud mõju pärast viimast auditit?
  5. Millised olid viimase õiguste ülevaatuse tulemused kasutaja, süsteemi, võrgu, operatsioonisüsteemi ja andmebaasi juurdepääsu (sh privilegeeritud, hankija ja superkasutaja juurdepääs) ning rollide ja neile vastavate tegevuste viimase ülevaatuse tulemuste osas?

Siin veel viis lisaküsimust, mis aitavad siseaudiitoritel olla oktoobris #BeCyberSmart:

  1. Kuidas saada kindlustunnet, et programmeerijad järgivad turvalisi kodeerimistehnikaid ja organisatsiooni tarkvaraarenduse elutsüklit?
  2. Kuidas saada kindlustunnet, et kasutajate, robotite ja rakenduste turberollide jaoks säilitatakse asjakohane tööülesannete lahusus (SoD)? Kuidas SoD-d automatiseeritud töövoogudes hoitakse?
  3. Milliseid sissetungimise tuvastamise, sissetungimise vältimise ning andmete / teabe lekke vältimise reegleid on rakendatud, et kaitsta andmeid ja infovarasid sobimatu juurdepääsu eest?
  4. Kuidas süsteemile juurde pääseb (ühekordse sisselogimise kaudu, virtuaalse privaatvõrgu kaudu, otse veebisaidile jne)? Kes on administraator? Kuidas tema tegevust jälgitakse?
  5. Kuidas süsteemi jälgitakse? Kelle poolt? Keda teavitatakse eranditest? Kuidas neid teavitatakse ja mis tingimustel?

1. nädal: küsimused ettevõtte tippjuhtidele

Organisatsiooni küberturvalisuse oluline element on nende riskide hindamine ja maandamine, mis võivad mõjutada kriitilisi äriprotsesse. Kõrgem juhtkond, protsesside omanikud, siseauditi tegevus ja juhatus peavad arvestama selliste küberohtudega, mis võivad põhjustada kriitiliste äriprotsesside ja nendega seotud infrastruktuuri töö katkemise või hävimise. See hõlmab hinnangu andmist, kas põhimõtted, protseduurid ja juhtelemendid on kavandatud adekvaatselt ja tõhusalt, et kaitsta organisatsiooni andmeid ja infovarasid - eriti kui neile andmetele ja teabele on võimaldatud töötajatele kaugjuurdepääs.

Juhid peavad näiteks kaaluma, kas poliitikaid, protseduure ja juhiseid on värskendatud, et võtta arvesse kodus töötamise keskkonda ning jälgida tarneahela muutusi, suhteid kolmanda osapoolega ja muid kõrgendatud riskiga valdkondi.

Tegevuse koordineerimiseks ja juhatusele sõltumatu kinnituse andmiseks peaks siseaudit küsima tippjuhtidelt neid küsimusi:

  1. Milliseid turvalisusega seotud lünki või nõrkusi avastati tänavuste kriitiliste äriprotsessidega seotud riskide hindamisel?
  2. Kuidas kohandati kriitilisi äriprotsesse viimase riskihinnangu põhjal, et kaitsta andmeid ja infovarasid küberohtude eest kodus töötamise olukorras?
  3. Kuidas kohandati ettevõtte (või osakonna) põhimõtteid ja protseduure andmekaitse tagamiseks kõige uuema riskihinnangu põhjal?
  4. Kuidas saate andmete või protsessi omanikuna veenduda, et teie andmetel või süsteemil on piisavad kontrollid võimalike küberrünnakute ennetamiseks, avastamiseks ja nende eest kaitsmiseks?
  5. Millistele küberohtudele on teie arvates teie kriitilised protsessid või andmed vastuvõtlikud, ja nendele, mis kõige tõenäolisemalt mõjutavad organisatsiooni andmeid või protsesse?

Lisamaterjalid. Need sisu- ja koolitusmaterjalid on siseaudiitoritele abiks, et toetada oma organisatsiooni küberturvalisuse alastes jõupingutustes.

Juhend

Global Technology Audit Guide (GTAG): Assessing Cybersecurity Risk — Roles of the Three Lines of Defense

Väljaanne IIA Bulletin

Cloud Security, Insider Threats, and Third-Party Risk (PDF)

Rethinking Preparedness: Pandemics and Cybersecurity (PDF)

Internal Audit Foundation

Privacy and Data Protection — Part 1: Internal Audit's Role in Establishing a Resilient Framework

The Future of Cybersecurity in Internal Audit

IIA ajakiri Internal Auditor

A Matter of Privacy

Beware the Coronavirus Scams

When the SEC Speaks About Cybersecurity, We'd All Better Listen

Koolitus

Assessing Cybersecurity Risk: Roles of the Three Lines of Defense

Cybersecurity Auditing in an Unsecure World

Fundamentals of IT Auditing

OnDemand Technology Courses

IT General Controls

Muu info

The IIA Global Cybersecurity Resource Exchange