Yêu cầu Chủ đề An ninh mạng của IIA -- Tổng quan, chi tiết và tác động công việc đối với Kiểm toán nội bộ và InfoSec
TỔNG QUAN VỀ YÊU CẦU CHỦ ĐỀ AN NINH MẠNG CỦA IIA
Trong lịch sử, các kiểm toán viên nội bộ đã tiếp cận an ninh mạng với các mức độ chặt chẽ khác nhau, thường tùy thuộc vào quy mô, lĩnh vực của tổ chức và mức độ quen thuộc của kiểm toán viên với các rủi ro trên không gian mạng. Nhận thấy bản chất quan trọng và phổ quát của an ninh mạng, IIA đã giới thiệu Yêu cầu Chủ đề An ninh mạng (Cybersecurity Topical Requirement) như là chủ đề đầu tiên theo khuôn khổ Yêu cầu Chủ đề mới của mình.
Yêu cầu về Chủ đề An ninh mạng đảm bảo rằng các kiểm toán viên nội bộ tiếp cận các cuộc kiểm toán an ninh mạng với một phương pháp luận nhất quán. Nó nhấn mạnh sự cần thiết của việc các kiểm toán viên phát triển sự hiểu biết thấu đáo về bối cảnh an ninh mạng, bao gồm các mối đe dọa tiềm ẩn, các lỗ hổng và những tác động của các sự cố mạng đối với hoạt động của tổ chức. Bằng cách thiết lập một cơ sở cho các cuộc kiểm toán an ninh mạng, IIA cung cấp một lộ trình mà các tổ chức thuộc mọi quy mô có thể áp dụng, thúc đẩy tính nhất quán và giảm sự biến động vốn có trước đây trong các cuộc kiểm toán an ninh mạng.
Không giống như các phương pháp kiểm toán truyền thống thường xem an ninh mạng là một rủi ro riêng biệt, yêu cầu này quy định rằng rủi ro an ninh mạng phải được tích hợp liên tục vào kế hoạch kiểm toán. Sự thay đổi này nhận thấy rằng các mối đe dọa trên không gian mạng luôn thay đổi, đòi hỏi một phương pháp kiểm toán liên tục và có khả năng thích ứng.
Sự hợp tác là một phần nền tảng của hướng dẫn. Các kiểm toán viên nội bộ nên làm việc chặt chẽ với các nhóm InfoSec để hiểu toàn diện về tình hình an ninh mạng của tổ chức. Sự hợp tác là điều cần thiết để đánh giá hiệu quả các biện pháp kiểm soát an ninh mạng và thúc đẩy cam kết chung đối với khả năng phục hồi của tổ chức.
CHI TIẾT CỤ THỂ CỦA YÊU CẦU CHỦ ĐỀ AN NINH MẠNG
Yêu cầu về Chủ đề An ninh mạng được thiết kế để chuẩn hóa và nâng cao cách tiếp cận của kiểm toán viên nội bộ đối với kiểm toán an ninh mạng và cung cấp cho các nhóm InfoSec thông tin chi tiết về các kỳ vọng kiểm soát mà các kiểm toán viên sẽ đánh giá. Hướng dẫn bắt đầu bằng cách liệt kê các yêu cầu trong ba lĩnh vực: Quản trị, Quản lý Rủi ro và Kiểm soát.
Hướng dẫn này bao gồm hai tài liệu: Yêu cầu chuyên đề và Hướng dẫn sử dụng Yêu cầu chuyên đề.
- Yêu cầu chuyên đề tóm tắt ba lĩnh vực chính là “mức tối thiểu để đánh giá an ninh mạng trong một tổ chức.” Trong mỗi lĩnh vực, tài liệu liệt kê các yêu cầu áp dụng mà kiểm toán viên nội bộ phải đánh giá.
- Hướng dẫn sử dụng bổ sung bản tóm tắt bằng các gợi ý chi tiết để áp dụng các yêu cầu trong từng lĩnh vực. Các hướng dẫn chi tiết cung cấp hướng dẫn từng bước để thực hiện kiểm toán an ninh mạng. Tiếp theo, Hướng dẫn sử dụng bao gồm việc tham chiếu tới NIST Cybersecurity Framework 2.0, COBIT 2019 và NIST 800-53. Phần cuối cùng của Hướng dẫn sử dụng là một chương trình kiểm toán mẫu có thể được sử dụng làm tài liệu tham khảo để thiết kế các bước kiểm tra kiểm toán cụ thể.
Các khía cạnh chính của hướng dẫn bao gồm:
1. Hiểu biết Toàn diện về Rủi ro Mạng
Kiểm toán viên nội bộ phải đạt được sự hiểu biết thấu đáo về bối cảnh an ninh mạng, bao gồm các mối đe dọa tiềm ẩn, lỗ hổng và tác động đặc thù đối với tổ chức của họ. Điều này đánh dấu một sự thay đổi so với các phương pháp tiếp cận truyền thống coi an ninh mạng là một lĩnh vực riêng biệt.
2. Tích hợp Với Kế hoạch Kiểm toán
Rủi ro an ninh mạng phải được đưa vào kế hoạch kiểm toán trong suốt cả năm thay vì chỉ giới hạn trong các đánh giá hàng năm. Điều này đảm bảo rằng các cuộc kiểm toán luôn phù hợp trước các mối đe dọa đang phát triển nhanh chóng.
3. Hợp tác Với Nhóm InfoSec
Kiểm toán viên nên làm việc chặt chẽ với các đồng nghiệp InfoSec để thống nhất về các mục tiêu, chia sẻ kiến thức và đạt được đánh giá toàn diện về các biện pháp kiểm soát an ninh mạng.
4. Tiêu chuẩn Tối thiểu cho Kiểm toán An ninh Mạng
Hướng dẫn đặt ra các kỳ vọng rõ ràng về phạm vi và chất lượng của kiểm toán an ninh mạng, đảm bảo tính nhất quán giữa các tổ chức thuộc mọi quy mô.
Mặc dù hướng dẫn được viết từ góc độ của kiểm toán viên, nhưng nội dung của nó rất có giá trị cho bất kỳ ai bảo vệ một tổ chức khỏi các mối đe dọa trên mạng. Đặc biệt, các phụ lục là một lộ trình vững chắc để đánh giá môi trường kiểm soát của một tổ chức, bất kể vai trò của bạn là gì. Bằng cách cung cấp các tiêu chuẩn này, IIA đã tạo ra một nguồn lực để cải thiện chất lượng kiểm toán và thúc đẩy mối quan hệ tốt hơn giữa các kiểm toán viên và các chuyên gia InfoSec, củng cố khả năng phục hồi trên mạng của tổ chức.
Yêu cầu Quản trị đối với An ninh Mạng
Kiểm toán viên nội bộ phải đánh giá mức độ hiệu quả trong việc các quy trình quản trị của tổ chức giải quyết các rủi ro an ninh mạng trong quá trình kiểm toán. Đối với quản trị, điều này liên quan đến việc đảm bảo rằng các chính sách và quy trình an ninh mạng được thiết lập, cập nhật thường xuyên và phù hợp với các khuôn khổ được công nhận rộng rãi như National Institute of Standards and Technology (NIST) hoặc Control Objectives for Information and Related Technologies (COBIT).
Lãnh đạo tổ chức phải xác định rõ ràng quyền hạn và trách nhiệm về an ninh mạng cho những cá nhân có năng lực. Kiểm toán viên cũng nên xác nhận rằng các cập nhật liên quan đến chiến lược, rủi ro và kiểm soát an ninh mạng được thông báo thường xuyên cho hội đồng quản trị. Ngoài ra, điều quan trọng là phải xác nhận rằng các bên liên quan chính, bao gồm lãnh đạo và các nhà cung cấp chiến lược, tích cực tham gia "để thảo luận và hành động đối với các lỗ hổng hiện có và các mối đe dọa mới nổi trong môi trường an ninh mạng". Hơn nữa, các nguồn lực thiết yếu như ngân sách, đào tạo và công nghệ phải được thông báo để hỗ trợ các sáng kiến này.
Quản lý Rủi ro trong An ninh Mạng
Các kiểm toán viên đánh giá xem các quy trình quản lý rủi ro của một tổ chức có giải quyết hiệu quả các rủi ro an ninh mạng hay không. Đánh giá quản lý rủi ro bao gồm xác minh rằng có một phương pháp tiếp cận có hệ thống để xác định, phân tích và giảm thiểu rủi ro CNTT và an ninh mạng, với sự tham gia từ các nhóm đa chức năng và các bên liên quan bên ngoài khi cần thiết.
Các chính sách quản lý rủi ro phải được thiết lập, cập nhật thường xuyên và phù hợp với các khuôn khổ được công nhận. Trách nhiệm giải trình rõ ràng nên được chỉ định để giám sát và ứng phó với các rủi ro mới nổi. Các quy trình nên tạo điều kiện báo cáo kịp thời đối với các rủi ro quan trọng đạt đến "mức không thể chấp nhận được theo hướng dẫn quản lý rủi ro đã được thiết lập của tổ chức", đảm bảo tuân thủ các nghĩa vụ pháp lý và hợp đồng, đồng thời quản lý rủi ro liên quan đến các bên thứ ba. Ngoài ra, kiểm toán viên sẽ đánh giá các biện pháp bảo vệ dữ liệu, chẳng hạn như thực tiễn mã hóa và chính sách lưu giữ dữ liệu, đồng thời thông báo mọi rủi ro hoạt động an ninh mạng cho ban quản lý và nhân viên.
Quy trình Kiểm soát đối với An ninh Mạng
Các kiểm toán viên nội bộ phải đánh giá các biện pháp kiểm soát an ninh mạng của tổ chức để xác định xem chúng có được thiết kế và triển khai đúng cách hay không. Điều này bao gồm ưu tiên các biện pháp kiểm soát dựa trên rủi ro, phân bổ nguồn lực hiệu quả và cung cấp đào tạo nhân viên cần thiết. Các chính sách nên bao gồm tất cả các khía cạnh của hoạt động an ninh mạng, bao gồm tích hợp vòng đời phát triển hệ thống, quản lý phần cứng và hỗ trợ sản xuất.
Yêu cầu này bao gồm các biện pháp kiểm soát chung về CNTT như "cấu hình, quản lý thiết bị người dùng cuối, mã hóa, vá lỗi, quản lý quyền truy cập người dùng và giám sát tính khả dụng và hiệu suất". Các biện pháp kiểm soát phải bao gồm các lĩnh vực như bảo mật mạng, email, chia sẻ file và bảo mật vật lý của các trung tâm thông tin có rủi ro cao. Ngoài ra, các kiểm toán viên phải đảm bảo rằng tổ chức có các quy trình ứng phó và phục hồi sự cố một cách hiệu quả và an ninh mạng được tích hợp với các quy trình cung cấp dịch vụ, chẳng hạn như quản lý thay đổi và hoạt động của bộ phận hỗ trợ kỹ thuật.
YÊU CẦU TÁC ĐỘNG ĐẾN CÔNG VIỆC CỦA BẠN NHƯ THẾ NÀO
Việc giới thiệu Yêu cầu Chuyên đề về An ninh mạng có những tác động sâu rộng đối với các kiểm toán viên nội bộ và các chuyên gia InfoSec, cả trong vai trò cá nhân của họ và trong mối quan hệ làm việc của họ.
Đối với các chuyên gia An toàn Thông tin, yêu cầu này cung cấp sự rõ ràng hơn về những kỳ vọng của kiểm toán. Bằng cách chỉ ra rõ các lĩnh vực trọng tâm cụ thể, Yêu cầu Chủ đề An ninh Mạng cho phép các nhóm An toàn Thông tin chuẩn bị hiệu quả hơn, giảm sự mơ hồ và căng thẳng thường đi kèm với các cuộc kiểm toán. Hướng dẫn này cũng khuyến khích các nhóm An toàn Thông tin áp dụng một cách tiếp cận chủ động bằng cách tự đánh giá và giải quyết các lỗ hổng trước khi chúng trở thành phát hiện của kiểm toán. Sự tham gia chủ động này giúp hợp lý hóa quy trình kiểm toán và thể hiện cam kết cải tiến liên tục, tăng cường năng lực an ninh mạng của tổ chức.
Đối với kiểm toán viên nội bộ, yêu cầu này thể hiện sự mở rộng đáng kể về trách nhiệm. Các kiểm toán viên giờ đây phải hiểu rõ hơn về an ninh mạng, bao gồm các khái niệm kỹ thuật và khung quản lý rủi ro, đặc biệt là những khung hiện đang được sử dụng trong tổ chức của họ. Sự thay đổi này đòi hỏi các kiểm toán viên phải đầu tư vào việc học tập liên tục và hợp tác chặt chẽ hơn với các đồng nghiệp InfoSec. Bằng cách đó, các kiểm toán viên có thể nâng cao khả năng đánh giá rủi ro an ninh mạng một cách hiệu quả và đưa ra các khuyến nghị khả thi hỗ trợ các mục tiêu của tổ chức.
Tác động đối với Chuyên gia InfoSec
Đối với các đội InfoSec, hướng dẫn này giúp hiểu rõ hơn về những gì kiểm toán viên mong đợi và giới thiệu kiểm toán viên như những đồng minh trong cuộc chiến chống lại các mối đe dọa trên mạng.
1. Tính dự đoán trong trọng tâm kiểm toán: Hướng dẫn phác thảo các lĩnh vực trọng tâm cụ thể cho kiểm toán an ninh mạng. Các nhóm InfoSec có thể sử dụng hướng dẫn để tự đánh giá, xác định và giải quyết các lỗ hổng trước khi chúng trở thành phát hiện kiểm toán. Việc có chương trình kiểm toán từ phụ lục nghĩa là bạn biết chính xác những loại câu hỏi mà kiểm toán viên sẽ hỏi.
2. Hỗ trợ phân bổ nguồn lực: Các kiểm toán viên có thể đóng vai trò là người ủng hộ độc lập cho các khoản đầu tư an ninh mạng, tăng thêm uy tín cho các yêu cầu tài trợ, công cụ hoặc nhân sự bổ sung. Với tư cách là các chuyên gia an ninh mạng, nhóm InfoSec có thể hướng dẫn các kiểm toán viên đến các lĩnh vực cần cải thiện và bổ sung nguồn lực. Kiểm toán viên có thể trình bày trường hợp của bạn với ban quản lý cấp cao và đưa ra một lập luận thích hợp miễn là họ hiểu rõ các chi tiết.
3. Cải thiện sự hợp tác: Với việc các kiểm toán viên hiện được trang bị kiến thức để hiểu các rủi ro an ninh mạng, các chuyên gia InfoSec có thể làm việc hiệu quả hơn với họ để thống nhất các ưu tiên và đưa ra một quan điểm thống nhất với lãnh đạo. Vì kiểm toán viên sẽ thực hiện công việc trên toàn tổ chức, họ có thể thúc đẩy các biện pháp kiểm soát an ninh mạng mạnh mẽ hơn ở những khu vực mà nhóm InfoSec có thể không trực tiếp tiếp cận.
Tác động đối với Chuyên gia Kiểm toán Nội bộ
Đối với kiểm toán viên nội bộ, Yêu cầu Chủ đề An ninh mạng vừa là một thách thức, vừa là một cơ hội.
1. Trách nhiệm mở rộng: Kiểm toán viên phải hiểu sâu hơn về an ninh mạng, bao gồm thuật ngữ kỹ thuật, khung pháp lý và các phương pháp quản lý rủi ro. Điều này đòi hỏi học hỏi liên tục và hợp tác chặt chẽ hơn với InfoSec để hiểu mức độ chấp nhận rủi ro mạng của tổ chức.
2. Tăng Cường Hợp Tác: Hướng dẫn nhấn mạnh việc phá vỡ các rào cản giữa kiểm toán và InfoSec. Một cách tiếp cận hợp tác cho phép kiểm toán viên hiểu được bối cảnh rủi ro của tổ chức và việc áp dụng các quy trình kiểm soát. Để hiệu quả, bạn phải học hỏi từ các đối tác InfoSec của mình.
3. Ủng hộ Đầu tư vào An ninh Mạng: Kiểm toán viên nội bộ có thể sử dụng các phát hiện của họ để ủng hộ các biện pháp an ninh mạng mạnh mẽ hơn, giúp đảm bảo các nguồn lực cần thiết để giảm thiểu rủi ro một cách hiệu quả. Trưởng bộ phận Kiểm toán nội bộ có một vị trí đặc biệt là một trong số ít những người nói chuyện trực tiếp với hội đồng quản trị, vì vậy họ có thể đưa ra một lập luận có cơ sở để phân bổ nguồn lực.
4. Thúc đẩy Cải tiến Liên tục: Bằng cách xác định các lỗ hổng và đề xuất các giải pháp khả thi, các kiểm toán viên có thể là đối tác đáng tin cậy trong việc tăng cường cơ cấu an ninh của tổ chức. An ninh mạng không phải là một chủ đề cho một cuộc kiểm toán duy nhất mà là một khái niệm phổ biến, thấm nhuần trong toàn tổ chức. Giống như rủi ro gian lận, rủi ro an ninh mạng phải được xem xét trong mọi cuộc kiểm toán.
NẮM BẮT CƠ HỘI ĐỂ KIỂM TOÁN AN NINH MẠNG TỐT HƠN
Yêu cầu về Chủ đề An ninh mạng mang đến cơ hội cho các nhóm kiểm toán và InfoSec phối hợp trong cuộc chiến chống lại các mối đe dọa mạng và tăng cường khả năng phục hồi của doanh nghiệp. Đối với kiểm toán viên nội bộ, hướng dẫn này có thể giúp bạn đánh giá rủi ro an ninh mạng hiệu quả hơn. Đối với các chuyên gia InfoSec, đây là cơ hội để điều chỉnh theo các mục tiêu kiểm toán và bảo đảm nguồn lực cho các sáng kiến an ninh quan trọng.
