Küberturvalisus - prioriteetne risk 2019. aastal

tõlkis Jaak Evert - ESAÜ juhatuse liige
05.02.2019 - 09:15

​IIA presidendi ja tegevjuht Richard Chambersi ühe uuematest artiklitest "An Early Look at Internal Audit Priorities for 2019" oleme tõlkinud eesti keelde ja pakume seda ka teile lugemiseks.

Siseauditi üksused annavad veel viimast lihvi oma aastaplaanidele. Loodan, et teie planeerimisprotsess on olnud piisav ja te esitate kinnitamiseks tööplaani, mis kajastab prioriteetseid riske teie organisatsioonis. Usun, et muuhulgas on teile kasulik uurida ka riske, mida teie ametikaaslased kavatsevad alanud aastal käsitleda.

Riskid määratlevad suuresti siseaudiitorite töid ja plaane.

Kokkuvõttes on risk see, mis kujundab auditiplaane, suunab meie sidusrühmi ja määrab meie edu või ebaõnnestumise. Sellepärast veedame nii palju aega ja näeme vaeva, et aidata oma organisatsioonidel riske tuvastada, mõista ja leevendada või neid mõjutada. Siseauditil lisaväärtuse loojana on väga oluline mõista oma organisatsioonide ainulaadset riskikombinatsiooni ja sidusrühmade riskivalmidust.

Organisatsioonid koostavad aastaaruandeid, mis püüavad kaardistada ja välja tuua järgmise aasta olulisemaid riske. Mõnikord on lihtne ennustada, millised need riskid on, sest mõned suuremad neist on pikaajalised, kui mitte lausa püsivad. Väljakutse seisneb aga ootamatult esilekerkivate või ebatüüpiliste riskide väljaselgitamises või prognoosimises, mis võivad tekkida lähinädalatel või -kuudel, lootuses olla nendeks riskideks valmis või kasutada isegi neid organisatsiooni kasuks.

Kaks hiljuti avaldatud aruannet, millest üks on Gartner Inc. ja teine ​​Euroopa Siseauditi Konföderatsiooni (ECIIA) oma, on määratlenud juba tuttava vaenlase - küberjulgeoleku, kõrgeimaks riskiks ka 2019. aastaks.

Aastate jooksul on see teema organisatsioonide aastaaruannetes riskihinnangutes järjekindlalt tõusnud. Samuti on küberjulgeoleku teemad avanud meie silmad teistele riskikategooriatele, sest meie arusaam küberkuritegevusest muutub aina selgemaks ja meie lähenemised selle juhtimiseks küpsemaks.

Tõepoolest, küberjulgeolekule keskendumine on aidanud meil mõista, et tehnoloogia ja andmed on omavahel tihedalt seotud ning see on suurendanud meie teadlikkust andmete haldamise ja andmekaitse riskidest. See on meid ajendanud paremini tundma kolmandate osapoolte, IT juhtimise ja kultuuri riske.

Näiteks on Gartneri reportis neli viiest kõige olulisemast riskist tingitud meie keskendumisest küberjulgeolekule - küberjulgeoleku valmisolek, andmete privaatsus, andmete haldamine ja kolmanda osapoole risk. Aruandes Risk in Focus 2019, mille on koostanud ECIIA, on riskirühmad nagu küberjulgeolek, IT-juhtimine ja kolmandate isikute riskid ühes kategoorias. Teine kategooria ECIIA aruandes on andmekaitse ja strateegiad GDPR-järgses maailmas.

Andmed ja tehnoloogia on samuti kesksel kohal digitaliseerimise, automatiseerimise ja tehisintellekti teemal peetavatel riskiaruteludel. Need arutelud näitavad hästi riski ja võimaluste tasakaalustamise väljakutset.

ECIIA aruandes märgitakse: "Automatiseerimise ja muude digitaalsete protsesside kulude ja tõhususe eelised võivad olla transformatiivsed juhul, kui need on täielikult ära kasutatud. Kuid organisatsioonid peavad arvestama ka selliste muutustega seotud riskidega."

2016. aastast alates on IIA siseauditi iga-aastases uuringus kogutud andmed kajastanud fokuseeritust küberkuritegevusele. Põhja-Ameerika siseauditi juhtide (CAE) osatähtsus, kes hindasid küberkuritegusid oma organisatsioonides kõrgeima riskina, kasvas 60 protsendilt 68 protsendini ajavahemikus 2016–2018. Samal perioodil kasvas nende siseauditi juhtide osatähtsus, kes hindasid IT-d kui kõrgeimat riski, 39 protsentilt 53 protsendini. Ka kolmandatest osapooltest tulenevad riskid näitasid tagasihoidlikku kasvu.

Gartneri aruandes, milles uuriti 144 CAE-d, leidis kaks kolmandikku vastanutest, et nad on viimase kahe aasta jooksul kogenud kolmanda osapoolega seotud häireid või puudusid neil piisavad teadmised kolmandate osapoolte tegevusest, et tuvastada häireid.

On teada, et kolmanda osapoole riskid kasvavad kompleksemalt, kuna digitaliseerimine, andmete jagamine ja nõrk järelevalve kolmandate osapoolte üle on reaalsed ohud, mis võivad organisatsioone kahjustada.

Andmete ja tehnoloogiaga seotud riske on lihtne fikseerida, kuid neid on veel, millega kaks riskiaruannet nõustuvad. Gartner tuvastab riskina eetika ja terviklikkuse, mis on välja arenenud 2018. aasta aruandes tuvastatud kultuuririskidest. ECIIA aruandes määratletakse ka töökoha kultuur kui risk.

Aastal 2018 määratles #MeToo liikumine uuesti, kuidas organisatsioonid näevad töökohal seksuaalse ahistamise ja ebavõrdsusega seotud riske. Kuigi need kaks valdkonda olid juba teada riskikategooriad, on tõsiste süüdistuste plahvatus meelelahutustööstuse kõrgete juhtide vastu ja hilisem mainega seotud kahju nende organisatsioonidele oluliselt suurendanud riskitaset. Sotsiaalmeedia olulist rolli ei saa samuti üle hinnata. Jällegi mõjutab tehnoloogia seda, kuidas riskid avalduvad.

Teine näide on Cambridge Analytica skandaal. Facebook ja selle ikooniline asutaja Mark Zuckerberg kannatasid märkimisväärset kahju, mis võimaldas Briti ettevõttel miljonite teenusekasutajate isiklikule teabele ligi pääseda ja seda kasutada. Samuti suurendas see andmekaitse ja eraelu puutumatusega seotud kohustuste teadlikkust, mida praegu peetakse oluliseks riskiks nii Gartneri kui ka ECIIA aruannetes.

Kui me vaatame 2019. aastasse, siis keskendub riskimaastik tõenäoliselt küberjulgeolekule, andmete haldamisele ja privaatsusele, kolmanda osapoole riskile ja arenevatele ohtudele, mis on seotud tehnoloogia mõjuga organisatsiooni eetikale, kultuurile ja terviklikkusele.

Kui koostate oma siseauditi plaane, peate tagama, et olete kaalunud kõiki oma organisatsiooniga seotud riske ja arutama neid oma auditikomitee ja juhtkonnaga. Nimekiri ei ole mingil juhul kõikehõlmav ega ole tingimata kohaldatav kõigile organisatsioonidele. Siiski on see kasulik võrdlusalus, kui kaalute, mis võib 2019. aastal ette tulla.

Nagu alati, ootan teie kommentaare.