• Increase font size
  • Default font size
  • Decrease font size
  • default style
  • red style
  • green style
  • yellow style
  • orange style
  • grey style
Kockázatkezelési rovat: A digitális maszk fontossága

maszkA COVID-19 járvány az üzleti világot és annak működését nem várt, kerülő megoldásokra kényszerítette, amivel egyedülálló kockázatok halmaza jött létre. Ez különösen igaz a kiber kockázatokra. Míg a működési változások a társadalmi távolságtartáshoz kapcsolódnak és a maradj otthon mandátum folytatódik, addig az IT erőforrásokat a távmunka segítésére irányítják át, ilyen a kibővített videó konferencia és az ahhoz kapcsolódó hibaelhárítás. Amíg az IT szakemberek nem foglalkoznak ezekkel az új igényekkel, addig a szervezetek új kiber fenyegetéseknek és sebezhetőségnek vannak kitéve, vagy ami még rosszabb, hogy a mostani fenyegetésekről elveszítik a figyelmet.

A legnagyobb veszéllyel járó kockázatok közé tartozik az úgynevezett „zero day”. Ez a kifejezés azokat a kibertámadásokat foglalja magában, amikor gyengeséget fedeznek fel egy adott szoftver, firmware, konfigurációs beállítás vagy operációs rendszerében, amivel a fejlesztő még nem találkozott, így nincs ismert vagy ajánlott megoldás. Az ilyen biztonsági gyengeségeknek vagy sebezhetőségeknek nem ismert vagy váratlan következményei vannak, amik gyakran a programozási hibákból vagy nem megfelelő számítógépi vagy biztonsági konfigurációkból adódnak. A fenyegetés kétoldalú; a kiberbűnözők kihasználhatják a sebezhetőséget, amíg a patch elérhető rövidtávon, de hosszú távú fenyegetéssé is válhat, ha az ajánlott útmutatás vagy patch nincs implementálva, amint lehet. A belső ellenőrök egyik fontos feladata, amelyet jelenleg elvégezhet, az a járványnak az IT erőforrásokra, prioritásokra és fókuszra gyakorolt hatásának teljes körű vizsgálata.

 

Általános kérdések a COVID-19 krízis alatti kiber sebezhetőség értékelésére

1. Hogyan figyeli a szervezet a megbízható hírportálokat és más információforrásokat egy potenciális nulladik nappal kapcsolatban? E kockázatok kezelése változott?

2. Hogyan biztosítja a szervezet a szükséges, biztonsághoz kapcsolódó patch-ek időben történő végrehajtását?

3. Történt bármilyen változtatás a proaktív kiber védekezési tevékenységek terén, esetleg más megfigyelő vagy kereső tevékenységeknél a szervezeti folyamatok és munkakörnyezet változása miatt?

4. A változások eredményeként hogyan gondoskodik a szervezet a sebezhetőségi kezelési gyakorlatok megfelelő végrehajtásáról? Milyen konkrét sebezhetőségi vizsgálatot vagy helyreigazítási tevékenységeket módosítottak vagy halasztottak el?

5. Hogyan biztosítja a szervezet, hogy az IT incidenskezelési gyakorlatok – beleértve a megelőzési, feltárási folyamatot és választ az incidensre – helyt állnak a legújabb fenyegetésekkel szemben? Hogyan tudja biztosítani az IT, hogy a jelenlegi eszközökkel és szolgáltatásokkal képesek egy esemény rendezésére, elemzésére, tárolására, felszámolására és válaszadásra.

6. Hogyan biztosítja a szervezet, hogy a hálózati változások megfelelően vannak dokumentálva, elfogadva és végrehajtva? A dokumentum tartalmazza a távoli hozzáférés általi változások vészhelyzetét vagy ad-hoc változásokat.

7. Hogyan felügyeli a folyamatváltozásoknak a fizikai és logikai elérhetőségét?

8. Milyen kritikus folyamatok nem hajthatók végre vagy figyelhetők meg a távoli munkakörnyezet használatakor? Hogyan kezelik az esetlegesen felmerülő kockázatokat?

9. Hogyan változtatta meg a pandémiás válasz az eladó kapcsolat menedzsmentet, beleértve a kapcsolatokat a nagyobb felhő-gyártókkal?

10. A szerződéskezelésben milyen változások mentek végbe? Például a szerződési feltételek lazultak vagy figyelmen kívül hagyják?

11. A munkakörülmények változásának eredményeként hogyan változott a beszerzési folyamat? Pontosabban, hogyan tudja bővíteni a szervezet a felhasználó által megszerzett vagy megvalósított rendszereket, alkalmazásokat és szolgáltatásokat?

 

További IIA útmutatók:

https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/GTAG10.aspx

https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Business-Continuity-Management-Practice-Guide.aspx

https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/GTAG-Assessing-Cybersecurity-Risk-Roles-of-the-Three-Lines-of-Defense.aspx

https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Auditing-Third-Party-Risk-Management-Practice-Guide.aspx

https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/GTAG-Auditing-Insider-Threat-Programs.aspx

https://ondemand.theiia.org/learn/course/external/view/elearning/540/AuditingInsiderThreats

 

Fordította: Pintér Péter

Átnézte: Smohay Ferenc ABT Hungária Tanácsadó Kft.

 

vilagkonf

globconn


KAPCSOLAT

Belső Ellenőrök Magyarországi Közhasznú Szervezete honlapja

BEMSZ titkárság - 1149 Budapest, Angol u. 34. - Telefon: 336-1505 - E-mail: titkarsag@iia.hu - Titkárságvezető: Miskolczi Judit

SzerkesztőségETK Szolgáltató zRt. 
Üzemeltetés:  MAZE Kft.

Facebook oldalhttps://www.facebook.com/BEMSZ

Adatkezelési és adatvédelmi tájékoztató

TAGSÁG

Tudjon meg többet a tagságról!