Kockázatkezelési rovat: A digitális maszk fontossága |
A COVID-19 járvány az üzleti világot és annak működését nem várt, kerülő megoldásokra kényszerítette, amivel egyedülálló kockázatok halmaza jött létre. Ez különösen igaz a kiber kockázatokra. Míg a működési változások a társadalmi távolságtartáshoz kapcsolódnak és a maradj otthon mandátum folytatódik, addig az IT erőforrásokat a távmunka segítésére irányítják át, ilyen a kibővített videó konferencia és az ahhoz kapcsolódó hibaelhárítás. Amíg az IT szakemberek nem foglalkoznak ezekkel az új igényekkel, addig a szervezetek új kiber fenyegetéseknek és sebezhetőségnek vannak kitéve, vagy ami még rosszabb, hogy a mostani fenyegetésekről elveszítik a figyelmet.
A legnagyobb veszéllyel járó kockázatok közé tartozik az úgynevezett „zero day”. Ez a kifejezés azokat a kibertámadásokat foglalja magában, amikor gyengeséget fedeznek fel egy adott szoftver, firmware, konfigurációs beállítás vagy operációs rendszerében, amivel a fejlesztő még nem találkozott, így nincs ismert vagy ajánlott megoldás. Az ilyen biztonsági gyengeségeknek vagy sebezhetőségeknek nem ismert vagy váratlan következményei vannak, amik gyakran a programozási hibákból vagy nem megfelelő számítógépi vagy biztonsági konfigurációkból adódnak. A fenyegetés kétoldalú; a kiberbűnözők kihasználhatják a sebezhetőséget, amíg a patch elérhető rövidtávon, de hosszú távú fenyegetéssé is válhat, ha az ajánlott útmutatás vagy patch nincs implementálva, amint lehet. A belső ellenőrök egyik fontos feladata, amelyet jelenleg elvégezhet, az a járványnak az IT erőforrásokra, prioritásokra és fókuszra gyakorolt hatásának teljes körű vizsgálata.
Általános kérdések a COVID-19 krízis alatti kiber sebezhetőség értékelésére 1. Hogyan figyeli a szervezet a megbízható hírportálokat és más információforrásokat egy potenciális nulladik nappal kapcsolatban? E kockázatok kezelése változott? 2. Hogyan biztosítja a szervezet a szükséges, biztonsághoz kapcsolódó patch-ek időben történő végrehajtását? 3. Történt bármilyen változtatás a proaktív kiber védekezési tevékenységek terén, esetleg más megfigyelő vagy kereső tevékenységeknél a szervezeti folyamatok és munkakörnyezet változása miatt? 4. A változások eredményeként hogyan gondoskodik a szervezet a sebezhetőségi kezelési gyakorlatok megfelelő végrehajtásáról? Milyen konkrét sebezhetőségi vizsgálatot vagy helyreigazítási tevékenységeket módosítottak vagy halasztottak el? 5. Hogyan biztosítja a szervezet, hogy az IT incidenskezelési gyakorlatok – beleértve a megelőzési, feltárási folyamatot és választ az incidensre – helyt állnak a legújabb fenyegetésekkel szemben? Hogyan tudja biztosítani az IT, hogy a jelenlegi eszközökkel és szolgáltatásokkal képesek egy esemény rendezésére, elemzésére, tárolására, felszámolására és válaszadásra. 6. Hogyan biztosítja a szervezet, hogy a hálózati változások megfelelően vannak dokumentálva, elfogadva és végrehajtva? A dokumentum tartalmazza a távoli hozzáférés általi változások vészhelyzetét vagy ad-hoc változásokat. 7. Hogyan felügyeli a folyamatváltozásoknak a fizikai és logikai elérhetőségét? 8. Milyen kritikus folyamatok nem hajthatók végre vagy figyelhetők meg a távoli munkakörnyezet használatakor? Hogyan kezelik az esetlegesen felmerülő kockázatokat? 9. Hogyan változtatta meg a pandémiás válasz az eladó kapcsolat menedzsmentet, beleértve a kapcsolatokat a nagyobb felhő-gyártókkal? 10. A szerződéskezelésben milyen változások mentek végbe? Például a szerződési feltételek lazultak vagy figyelmen kívül hagyják? 11. A munkakörülmények változásának eredményeként hogyan változott a beszerzési folyamat? Pontosabban, hogyan tudja bővíteni a szervezet a felhasználó által megszerzett vagy megvalósított rendszereket, alkalmazásokat és szolgáltatásokat?
További IIA útmutatók: https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/GTAG10.aspx https://ondemand.theiia.org/learn/course/external/view/elearning/540/AuditingInsiderThreats
Fordította: Pintér Péter Átnézte: Smohay Ferenc ABT Hungária Tanácsadó Kft. |
KAPCSOLATBelső Ellenőrök Magyarországi Közhasznú Szervezete honlapja BEMSZ titkárság - 1149 Budapest, Angol u. 34. - Telefon: 336-1505 - E-mail: titkarsag@iia.hu - Titkárságvezető: Miskolczi Judit Szerkesztőség: ETK Szolgáltató zRt. Facebook oldal: https://www.facebook.com/BEMSZ |