Мнение эксперта

Внутренний аудит поможет смягчить цифровой риск

Время прочтения: 3 мин.

В современном мире руководство компаний активно внедряет новые технологии для преобразования своих бизнес-моделей, стимулирования роста и повышения эффективности. Они используют большие данные для повышения конкурентоспособности. Кроме того, они заключают стратегические сделки (слияния, поглощения, отчуждения), создают альянсы и совместные предприятия для повышения своих конкурентных преимуществ.

  1. Блокчейн — это тип базы данных, известный как распределенная книга, которая не имеет центрального администратора и работает на основе консенсуса (общего взаимного согласия). Это позволяет децентрализованным группам работать вместе из любой точки мира безопасным, надежным и проверяемым образом. Одним из рисков, связанных с блокчейном, является использование закрытого цифрового ключа для проверки личности. Если секретный цифровой ключ был скомпрометирован, внешние агенты могут получить доступ к блокчейну.

Пример аудита может включать следующие направления:

  • Управление внедрением блокчейна: оценка стратегии организации по управлению внедрением блокчейна.
  • Блокчейн — безопасность и оценка рисков: оценка контроля и стратегии организации для управления и смягчения рисков, связанных с данной технологией.

2. Облачные вычисления позволяют организациям избавиться от сложной внутренней ИТ-структуры, сосредоточиться на стратегии, а не на операциях, и быстро реагировать на изменение рыночных условий. Облачные вычисления — это модель обеспечения удобного сетевого доступа по требованию к системе конфигурируемых выч ислительных ресурсов.

Пример аудита может включать оценку по направлениям:

  • Облачная стратегия и управление: оценка соответствия облачной стратегии организации общим бизнес-целям.
  • Облачная безопасность и конфиденциальность: оценка методов и процедур информационной безопасности облачного провайдера.
  • Услуги облачного провайдера: оценка способности облачного провайдера выполнять или превышать, согласованные SLA в контракте.

3. Компьютерная безопасность. Угрозы кибербезопасности продолжают развиваться и расти без каких-либо правил или ограничений. Преступникам больше не нужно получать физический доступ к объекту, чтобы причинить вред организации. Теперь они могут получать доступ к базам данных компаний через вредоносные или фишинговые атаки.

Организации должны сосредоточиться на ИТ-безопасности и информационной безопасности, чтобы не стать жертвой кибер-угроз путем разработки программы Кибер-аудита, которая обращается к таким областям, как:

  • Осведомленность о безопасности: оценка процессов и контроля за пользователями к попыткам получить несанкционированный физический или логический доступ к информации и системам организации.
  • Управление Активами: оценка процессов и средств управления технологическими активами, имеющими возможность подключения к сети организации.
  • Управление рисками поставщиков: оценка процессов и средств контроля над сторонними поставщиками услуг и товаров.
  • Реагирование на инциденты: оценка процессов и средств контроля, используемых руководством компании при реагировании на необычные действия.

4. Мобильный компьютер. Современное мобильное устройство находится на перекрестке личного пользования и высокочувствительной деловой информации. Эта технология позволяет сотрудникам получать доступ и распространять информацию о процессах компании в любое время и в любом месте, повышая эффективность и производительность труда сотрудников. Однако такая возможность доступа и распространения информации также сопряжена со значительными рисками. Например, более широкое использование общедоступных сетей Wi-Fi бизнес-пользователями предоставляет конфиденциальную информацию совершенно незнакомым людям, если она не зашифрована должным образом.

Потенциальные аудиты могут включать следующие направления:

  • Конфигурация устройства: определение рисков в настройках и уязвимостях мобильных устройств.
  • Черный ящик мобильного приложения: выявление уязвимостей в мобильных приложениях методами тестирования.
  • Серое поле мобильного приложения: выявление приоритетных областей высокого риска кода и определение основных причин выявленных уязвимостей.

В данной статье, написанной Еси Акиношо, приведены отдельные виды рисков большого цифрового мира Digital-технологий.  Соответственно, я могу сделать вывод, что современный аудитор должен владеть методиками проверок новых технологий и уметь оценивать риски их внедрения, чтобы быть максимально полезным руководству компании. Шагая в ногу со временем, аудит всегда будет востребован в большом мире технологических решений.

При написании использована статья EY (Ernst & Young)) “Six ways internal audit can help mitigate digital risk”, Esi Akinosho.

Советуем почитать