KIỂM TOÁN NỘI BỘ + AN NINH THÔNG TIN = ĐỘI HÌNH MƠ ƯỚC VỀ KHẢ NĂNG PHỤC HỒI AN NINH MẠNG
Nguồn: https://www.auditboard.com/blog/internal-audit-infosec-cyber-resilience-dream-team/
Bộ phận kiểm toán nội bộ và an ninh thông tin là những đồng minh tự nhiên trong cuộc chiến bảo vệ tổ chức khỏi các mối đe dọa an ninh mạng, nhưng các bộ phận này thường hoạt động riêng rẽ — và ý tưởng hợp tác chỉ nảy sinh khi có sự cố mạng xảy ra.
Có rất nhiều lý do để bộ phận kiểm toán nội bộ và đội ngũ an ninh thông tin (Infosec) hợp tác nhằm tăng cường khả năng phòng thủ trên không gian mạng, và có nhiều lợi ích hơn nữa từ việc xây dựng mối quan hệ vững chắc giữa hai đội này.
Các nhà lãnh đạo kiểm toán nội bộ và an ninh thông tin từ hai cuộc thảo luận bàn tròn trực tuyến do Quỹ Kiểm toán Nội bộ và AuditBoard tổ chức vào tháng 11 năm 2024 đã nhấn mạnh những lợi ích đáng kể của việc phát triển mối quan hệ hợp tác chặt chẽ. Các lợi thế hàng đầu bao gồm đánh giá rủi ro phối hợp, cải thiện giao tiếp với hội đồng quản trị và nỗ lực đảm bảo kết hợp (combined assurance efforts). Khi những tiến bộ trong công nghệ thúc đẩy cạnh tranh kinh doanh và nhu cầu về hoạt động hiệu quả, những lợi ích này càng trở nên giá trị hơn.
Các kiểm toán viên nội bộ có thêm động lực để liên hệ với các đồng nghiệp bảo mật thông tin của mình: Viện Kiểm toán Nội bộ (IIA) gần đây đã phát hành Yêu cầu chủ đề về an ninh mạng. Yêu cầu mới này cung cấp một cơ sở để các bộ phận kiểm toán nội bộ đánh giá quản trị an ninh mạng, quản lý rủi ro và kiểm soát — đồng thời khuyến khích sự hợp tác với các nhóm bảo mật thông tin.
Đừng chờ đến khi bị tấn công rồi mới nhận ra lợi ích từ sự hợp tác giữa kiểm toán nội bộ và an ninh thông tin! Hãy xem các ví dụ thực tế sau đây về mối quan hệ hiệu quả giữa Giám đốc An ninh thông tin (CISO) và Trưởng bộ phận Kiểm toán nội bộ (CAE) về sự liên kết, phối hợp, đào tạo và hỗ trợ, và công nghệ.
ALIGNMENT
Việc thống nhất về các rủi ro liên quan đến an ninh mạng giúp kiểm toán nội bộ tập trung vào việc đảm bảo, từ đó mang lại giá trị quan trọng và kịp thời cho bộ phận an ninh thông tin.
Một trưởng bộ phận Kiểm toán nội bộ từ ngành khách sạn và du lịch đã chia sẻ cách ông tận dụng các đánh giá rủi ro toàn diện được phát triển bởi nhóm an ninh thông tin của tổ chức.
“Những rủi ro này sẽ quyết định các dự án mà chúng tôi tập trung vào trong năm tới,” ông giải thích. “Chúng tôi phối hợp và cộng tác với bộ phận an ninh thông tin và giám đốc công nghệ thông tin (CIO) về việc nên dành thời gian cho dự án nào để hỗ trợ họ và các mục tiêu chung của họ một cách tốt nhất.”
Giám đốc An ninh thông tin (CISO) khu vực công cho biết việc phối hợp và đồng bộ lịch làm việc cũng hỗ trợ cho kế hoạch dài hạn của ông.
“Cô ấy có lịch các sự kiện và một số lượng kiểm toán nội bộ nhất định phải thực hiện. Và tôi cũng có lịch các sự kiện của mình,” anh ấy nói. “Bằng cách làm việc cùng nhau và điều chỉnh những gì cô ấy đang làm, cô ấy đang cấu trúc các cuộc kiểm toán của mình phù hợp với kế hoạch của cả hai.”
Sự đồng nhất trong thông điệp gửi đến hội đồng quản trị giúp đưa ra các đánh giá rõ ràng và chính xác về hồ sơ an ninh mạng của tổ chức, đồng thời có thể giúp tránh những xung đột đáng xấu hổ.
Một phó chủ tịch kiểm toán nội bộ và quản lý rủi ro trong ngành dịch vụ tài chính đã nhớ lại cách sự hợp tác giữa kiểm toán nội bộ và an ninh thông tin phát triển để cải thiện giao tiếp với hội đồng quản trị.
“Ban đầu, chúng tôi không nhất thiết phải giao tiếp nhiều với hội đồng quản trị về an ninh thông tin,” ông nói, đồng thời thừa nhận rằng các quy định ngày nay đòi hỏi sự tham gia lớn hơn. “Vì vậy, kiểm toán nội bộ đã thúc đẩy bộ phận an ninh thông tin nói rằng, ‘Hãy cho hội đồng quản trị nhiều thông tin hơn mức bạn đang cung cấp.’ Điều đó đã cải thiện đáng kể.”
Việc trình bày một sự thật duy nhất cho hội đồng quản trị về tình trạng an ninh mạng của tổ chức giúp ngăn ngừa sự nhầm lẫn và các xung đột tiềm ẩn có thể tạo ra sự kém hiệu quả và gieo rắc nghi ngờ. Những người tham gia bàn tròn thường xuyên trích dẫn sự hợp tác về thông điệp và chia sẻ các bài thuyết trình như là các chiến lược hiệu quả.
“Điều tôi thấy hữu ích là chia sẻ các bài thuyết trình của mình với CISO, để họ biết tôi đang trình bày gì với ủy ban kiểm toán, và ngược lại, họ chia sẻ những gì họ đang báo cáo cho hội đồng quản trị và ủy ban kiểm toán,” người đứng đầu bộ phận kiểm toán của một công ty thông tin và phân tích cho biết.
Ông nhớ lại một sự việc khi Giám đốc An ninh Thông tin (CISO) của ông nói với các thành viên hội đồng quản trị rằng mọi thứ đều ổn về mặt an ninh mạng, chỉ một ngày sau khi ông báo cáo với hội đồng về nhiều phát hiện kiểm toán nội bộ liên quan đến an ninh mạng.
Hội đồng quản trị đã nhận được thông tin không nhất quán giữa hai bộ phận. Vì vậy, Giám đốc An ninh Thông tin (CISO) phải điều chỉnh lại một chút vì Giám đốc An ninh Thông tin (CISO) đang đưa ra những đảm bảo ở cấp độ vĩ mô. Nếu Kiểm toán nội bộ có một vài phát hiện liên quan đến vấn đề an ninh mạng thì không có nghĩa là nhà đang cháy. Vì vậy, đó là một bài học kinh nghiệm; Hợp tác và chia sẻ những tài liệu đó một cách tốt nhất có thể.”
Người đứng đầu bộ phận rủi ro và kiểm toán tại cơ quan giao thông công cộng cho biết bà thường xuyên mời Giám đốc An ninh Thông tin (CISO) phát biểu tại các cuộc họp của ủy ban quản lý rủi ro cấp điều hành không chỉ để phối hợp thông điệp gửi đến hội đồng quản trị, mà còn để cập nhật thông tin về các nỗ lực quản lý rủi ro an ninh thông tin.
"Điều đó cho phép chúng tôi duy trì kết nối để chuẩn bị cho cuộc họp Hội đồng quản trị cũng như có thể trình bày dựa trên những việc họ đang làm và những điều mà chúng tôi có thể xác thực từ phía mình," bà nói.
CISO của cô ấy nói thêm rằng hội đồng quản trị nhận được các báo cáo bảo mật thông tin hàng quý, rất rõ ràng và chính xác.
“Tôi biết cô ấy sẽ trình bày gì, và cô ấy cũng biết tôi sẽ trình bày gì. Chúng tôi giữ cho những thông điệp gửi đến hội đồng quản trị nhất quán, và họ không nhận được những thông tin mâu thuẫn,” ông nói. “Việc truyền đạt thông điệp rõ ràng và nhất quán cũng mang lại sự tin tưởng cho hội đồng quản trị và ban điều hành cấp cao rằng chúng tôi đang hợp tác, và mọi thứ đang đi đúng hướng.”
COORDINATION
Sự phối hợp giữa kiểm toán nội bộ và an ninh thông tin về các nỗ lực tuân thủ, việc sử dụng các khuôn khổ an ninh mạng, việc sử dụng chung công nghệ và đảm bảo quản lý rủi ro cung cấp thêm các phương thức để cải thiện an ninh mạng của một tổ chức.
Kiểm toán nội bộ hỗ trợ tuân thủ quy định theo nhiều cách.
CISO của hệ thống giao thông công cộng, đã đề cập trước đó, cho biết công việc đảm bảo (assurance) đã được điều chỉnh cũng hỗ trợ tuân thủ các quy tắc liên bang về xác minh và thẩm định độc lập.
“Bộ phận an ninh mạng của bạn và đội Kiểm định và Xác nhận độc lập, hoạt động độc lập với bộ phận an ninh mạng và kiểm tra công việc. Tôi không có đủ nhân viên để có một đội độc lập (IV&V), vì vậy bộ phận [kiểm toán nội bộ] đảm nhận vai trò đó cho tôi. Tôi nhận được một dịch vụ miễn phí từ đội của cô ấy mang lại giá trị cho tôi — và thêm vào đó, tôi nhận được phản hồi về công việc chúng tôi đã làm trong năm, xác nhận rằng công việc được thực hiện theo tiêu chuẩn và chúng tôi có thể khép lại một số phát hiện đó.”
Kết quả kiểm toán nội bộ cũng giúp xác định các lĩnh vực cần cải thiện, do đó hỗ trợ cho việc lập kế hoạch, ông nói.
"Đây là danh sách việc cần làm cho kế hoạch hai, ba hoặc bốn năm tới của tôi," CISO nói. "Chúng tôi đang đảm bảo rằng chúng tôi đang trao đổi và điều chỉnh những gì chúng tôi đang làm, và cô ấy đang duy trì tính độc lập."
Lãnh đạo kiểm toán của tổ chức đã đồng ý.
“Khi chúng ta xem xét các hệ thống quan trọng và bộ phận An ninh Thông tin (Information Security) đã xác định năm hệ thống hàng đầu, họ có thể xem xét hai trong số đó, chúng ta nên xem xét ba hệ thống còn lại trong quá trình lập kế hoạch kiểm toán,” bà nói. “Vì vậy, chúng ta có thể cung cấp đầy đủ phạm vi bao phủ đối với những gì mà chúng ta cùng tin là các hệ thống quan trọng trong tổ chức cho bất kỳ năm nào.”
Một lợi ích khác của việc có mối quan hệ đã được thiết lập là khả năng cùng nhau xây dựng chiến lược tốt nhất để tuân thủ các quy định phức tạp và khó khăn.
“Chúng ta phải tìm ra cách đưa ra những câu trả lời chính xác, có ý nghĩa cho những câu hỏi cấp cao và phải có khả năng bảo vệ khi có ai đó đến chất vấn,” CISO nói. “Điều đó sẽ đòi hỏi sự trao đổi chéo giữa các nhóm khác nhau của chúng ta để xem xét dữ liệu và tìm ra cách để giành chiến thắng.”
Sự hợp tác có thể giúp giảm thiểu rủi ro của các sự cố mạng và các rủi ro về danh tiếng liên quan.
Một trưởng bộ phận kiểm toán nội bộ trong ngành y tế đã lưu ý rằng sự hợp tác không chỉ hỗ trợ tuân thủ các quy định mà cũng có thể thúc đẩy sự hợp tác.
“Nếu một nhân viên bị tấn công và nhân viên đó làm lộ 1.000 hồ sơ bệnh nhân cho đối tượng tấn công, bạn không chỉ phải báo cáo việc đó cho Văn phòng Quyền công dân thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ, mà còn bị đưa vào "bảng đen" của họ và bạn cũng phải thông báo cho báo chí, đài phát thanh hoặc truyền hình tại thị trường của bạn. Vì vậy, rủi ro là rất lớn. Trong lĩnh vực chăm sóc sức khỏe, mối quan hệ tin cậy có ý nghĩa vô cùng quan trọng.”
Sự phối hợp sẽ rất quan trọng để sử dụng trí tuệ nhân tạo (AI) một cách hiệu quả và an toàn.
Sự hợp tác trong đánh giá rủi ro, các công cụ công nghệ dùng chung và trao đổi thông tin minh bạch là nền tảng để quản lý hiệu quả các rủi ro công nghệ mới và rủi ro mạng, chẳng hạn như trí tuệ nhân tạo.
Lãnh đạo kiểm toán và rủi ro của một công ty vận tải công cộng cho biết sự tham gia của bộ phận này vào các hoạt động quản trị an ninh mạng với vai trò tư vấn giúp họ có được một vị trí trong các cuộc thảo luận về những rủi ro công nghệ đang phát triển.
“Khi các vấn đề mới phát sinh, chúng tôi tiếp tục giữ liên lạc,” bà nói. “Vì vậy, tôi nghĩ một điều gần đây đối với chúng tôi là xem xét lĩnh vực AI. Cho dù đó là về các chính sách sử dụng được chấp nhận và cách nó giúp tổ chức dữ liệu từ quan điểm kiểm thử hoặc từ quan điểm quan tâm, thì ít nhất chúng tôi cũng có các cuộc trò chuyện về vấn đề đó.”
EDUCATION AND ADVOCACY
Nói ngôn ngữ của an ninh thông tin là yếu tố then chốt để được chấp nhận và tin tưởng.
Lãnh đạo quản lý rủi ro và kiểm toán nội bộ từ ngành dịch vụ tài chính nói rằng kiến thức của ông về an ninh thông tin rất quan trọng trong việc thiết lập mối quan hệ làm việc tốt đẹp khi ông mới bắt đầu công việc.
“Khi tôi mới đến, khả năng nói cùng ngôn ngữ với họ thực sự giúp ích rất nhiều trong việc phát triển sự hợp tác giữa chúng tôi và bộ phận an ninh thông tin cũng như bộ phận công nghệ của chúng tôi,” ông nói.
Ông ấy vẫn là một người ủng hộ mạnh mẽ việc các kiểm toán viên nội bộ được trang bị kiến thức về an ninh thông tin để có thể trao đổi một cách hiểu biết về các nhu cầu của họ.
Kiểm toán nội bộ có thể đóng vai trò là một cố vấn đáng tin cậy và người ủng hộ thay mặt cho bộ phận an ninh thông tin.
Thông tin về mối quan hệ đang phát triển giữa trưởng bộ phận kiểm toán nội bộ của một thành phố ở Hoa Kỳ và đội ngũ an ninh thông tin của bà đã mang lại một kết quả bất ngờ. Kiểm toán nội bộ đã có thể trình bày hiệu quả hơn các nhu cầu về nguồn lực an ninh thông tin cho ban điều hành.
"Tôi nghĩ rằng trong một thời gian dài, họ cảm thấy như những gì họ nói là cần thiết đã không được lắng nghe," cô nói, và nói thêm rằng đã có sự phản đối đối với các yêu cầu về phần mềm bổ sung của bộ phận an ninh thông tin cho đến khi kiểm toán nội bộ có thể thuyết phục các nhà quản lý có ý thức về ngân sách về sự cần thiết của nó.
“Bây giờ chúng ta đang xem xét năm chương trình phần mềm khác nhau và tất cả năm chương trình này đều đã được phê duyệt,” bà nói thêm. “Trong những năm trước, chúng chưa được phê duyệt vì không có một trung gian tốt để trình bày với người quản lý thành phố rằng điều đó là cần thiết.”
Điểm mấu chốt, cô ấy giải thích, là bộ phận Kiểm toán nội bộ phải chứng minh rằng phần mềm mới sẽ tăng cường năng suất và hiệu quả chi phí hơn nhiều so với việc thuê thêm nhân viên. Cô ấy cũng nhấn mạnh rằng xây dựng mối quan hệ tin cậy là rất quan trọng để bộ phận An ninh thông tin chia sẻ những gì họ cần.
Một trưởng bộ phận kiểm toán trong ngành sản xuất thực phẩm đã chia sẻ một quan sát tương tự. Tổ chức của bà đang trải qua sự thay đổi quyền sở hữu, điều này cũng bao gồm sự thay đổi trong văn hóa. Một phần của quá trình chuyển đổi này bao gồm việc tuân thủ các yêu cầu báo cáo bổ sung cho công ty thuộc sở hữu tư nhân.
“Việc cả bộ phận InfoSec và bộ phận của chúng ta chứng minh cho cấp trên thấy sự cần thiết của các nguồn lực bổ sung và các quy trình bổ sung là một thách thức,” cô nói. “Vì vậy, chúng tôi đã cộng tác trong các bài thuyết trình để giải thích sự khác biệt giữa các bước thực hiện và các bước tuân thủ cũng như sự cần thiết của tất cả những điều khác nhau đi kèm với điều đó.”
SHARING TECHNOLOGY
Kiểm toán nội bộ và an ninh thông tin có thể tận dụng các công cụ quản trị, rủi ro và kiểm soát (GRC) để tăng cường tính minh bạch và củng cố sự hợp tác.
Phần mềm quản trị, rủi ro và kiểm soát (GRC) là một thị trường kinh doanh đang phát triển nhanh chóng với nhiều sản phẩm khác nhau, từ các công cụ có sẵn đến các hệ thống chuyên dụng cao được thiết kế cho những người dùng cụ thể. Khi các mối đe dọa trên mạng mới nổi lên và các chiến lược quản lý rủi ro và quy định mới phát triển để quản lý tốt hơn những rủi ro đó, có thể nói rằng các công nghệ quản trị, rủi ro và kiểm soát (GRC) sẽ đóng một vai trò lớn hơn. Mặc dù các công cụ quản trị, rủi ro và kiểm soát chắc chắn là một thành phần quan trọng của an ninh mạng, sự hợp tác trong việc sử dụng các công cụ đó còn hứa hẹn mang lại nhiều lợi ích hơn nữa.
CISO của cơ quan giao thông công cộng cho biết bộ phận an ninh thông tin và kiểm toán nội bộ đang dùng chung công nghệ quản trị, rủi ro và kiểm soát (GRC).
Chia sẻ công nghệ giúp kiểm toán nội bộ có cái nhìn rõ ràng về những gì bộ phận an ninh thông tin đang làm, điều này mang lại lợi ích ở nhiều cấp độ, bao gồm việc biết những quy trình và hệ thống nào mà bộ phận an ninh thông tin đã rà soát và tránh trùng lặp công việc.
Giám đốc phụ trách rủi ro và kiểm toán của cơ quan cho biết thêm: "Chúng tôi đang xem xét về phạm vi đảm bảo chung để tránh trùng lặp và bổ trợ lẫn nhau."
BOOST YOUR ORGANIZATION’S CYBERSECURITY RESILIENCE THROUGH COLLABORATION
Những hoạt động giúp tăng cường an ninh mạng và phát triển các tổ chức có khả năng phục hồi trước các cuộc tấn công mạng nên được xem xét và áp dụng. Ngược lại, những hoạt động ủng hộ việc tích trữ thông tin và xây dựng các "hệ thống biệt lập" sẽ dẫn đến thất bại trong an ninh mạng.
