Cần cách tiếp cận toàn diện và khả năng đánh giá tổng thể
Các chuyên gia KTNB của Hiệp hội Kiểm toán nội bộ Hoa Kỳ (IIA) nhấn mạnh rằng, rủi ro an ninh mạng không chỉ là vấn đề về tài sản thông tin. Vì vậy, các kiểm toán viên không thể chỉ tập trung vào tài sản thông tin mà bỏ qua toàn bộ doanh nghiệp.
Nói cách khác, rủi ro và cơ hội liên quan đến công nghệ thông tin phải được đặt trong bối cảnh vận hành của doanh nghiệp và xác định rủi ro là một trong những yếu tố không thể thiếu, quyết định đến việc đạt được các mục tiêu của doanh nghiệp.
Để có thể đánh giá việc quản lý rủi ro an ninh mạng, kiểm toán viên cần tiếp cận toàn diện, bắt đầu bằng câu câu hỏi: “Tác động tiềm ẩn của hành vi vi phạm an ninh mạng đối với việc đạt được các mục tiêu của doanh nghiệp là gì?”.
Thực tế, một sự cố mạng có thể tạo ra rủi ro về chuỗi cung ứng, tuân thủ, vận hành, tài chính hoặc tác động vào rủi ro khác. Ở chiều ngược lại, một sự thay đổi trong chuỗi cung ứng (chẳng hạn như việc sử dụng một công ty hậu cần mới), hoặc thay đổi trong hoạt động tài chính cũng có thể làm thay đổi các rủi ro liên quan đến an ninh mạng.
Theo IIA, KTNB cần xem xét rủi ro an ninh mạng ở tất cả các phương diện: Quản trị an ninh mạng, kiểm kê tài sản thông tin, cấu hình bảo mật tiêu chuẩn, quản lý truy cập thông tin, phản hồi và khắc phục kịp thời, giám sát liên tục.
Việc đánh giá và xử lý rủi ro an ninh mạng phải là một phần không thể thiếu trong chương trình quản lý rủi ro doanh nghiệp (ERM) và quá trình ra quyết định của tổ chức, thay vì xếp nó thành một hoạt động đơn lẻ. Trong trường hợp thông tin về an ninh mạng không được tích hợp đầy đủ, KTNB phải báo cáo với hội đồng quản trị và đề xuất cách khắc phục.
Điều này đỏi hỏi các kiểm toán viên phải có khả năng đánh giá tổng thể và kiểm tra không gian mạng theo nhiều cách khác nhau. Như vậy, một cuộc kiểm toán sẽ phải có sự tham gia của các kiểm toán viên tài chính, kiểm toán viên hoạt động và không thể thiếu các chuyên gia về bảo mật thông tin.
Bên cạnh đó, việc đánh giá rủi ro an ninh mạng đòi hỏi sự tham gia của cả nhân viên kinh doanh và kỹ thuật. Thực tế cho thấy, các rủi ro mạng được phát hiện chủ yếu bởi nhân viên an ninh thông tin, nhưng sự tham gia của nhân viên kinh doanh giúp việc đánh giá rủi ro đúng hướng, nhanh chóng hơn.
Xem xét rủi ro an ninh mạng ở tất cả các phương diện
Theo Hướng dẫn kiểm toán công nghệ toàn cầu (GTAG) về đánh giá rủi ro an ninh mạng (năm 2020) của IIA, các kiểm toán viên nội bộ cần một cách tiếp cận linh hoạt và thường xuyên cập nhật thông tin để cung cấp sự đảm bảo đối với các rủi ro an ninh mạng.
Mặc dù việc đánh giá về kiểm soát chung công nghệ thông tin là hữu ích nhưng điều này không đủ để đảm bảo an ninh mạng bởi những đánh giá không kịp thời và không đầy đủ. Sự phức tạp của an ninh mạng đòi hỏi cả các lớp kiểm soát bổ sung, chẳng hạn như: Giám sát rủi ro, phát hiện các hành vi vi phạm và hành động khắc phục.
Các chuyên gia của IIA nhấn mạnh thêm rằng, rủi ro an ninh mạng nguy hiểm ở chỗ chúng năng động hơn hầu hết các rủi ro truyền thống và đòi hỏi phải có phản ứng kịp thời. Vì vậy, tổ chức phải thiết kế và triển khai các biện pháp kiểm soát trên phạm vi rộng để bảo vệ tính toàn vẹn, tính bảo mật và tính sẵn có của thông tin.
Theo đó, KTNB cần xem xét rủi ro an ninh mạng ở tất cả các phương diện: Quản trị an ninh mạng, kiểm kê tài sản thông tin, cấu hình bảo mật tiêu chuẩn, quản lý truy cập thông tin, phản hồi và khắc phục kịp thời, giám sát liên tục.
Một bước không thể thiếu khi triển khai kiểm toán là kiểm toán viên phải xác định được mức độ hiểu biết của ban lãnh đạo đối với rủi ro an ninh mạng. Sự hiểu biết của lãnh đạo sẽ quyết định quy mô, phạm vi của cuộc kiểm toán cũng như việc thực hiện các biện pháp kiểm soát, bảo mật phù hợp. Cùng với đó, kiểm toán viên cũng phải xác định xem nhóm bảo mật thông tin của doanh nghiệp có đủ năng lực, vị trí và quyền hạn cần thiết để giải quyết những rủi ro hay không.
Sự phụ thuộc của các tổ chức vào các hệ thống thông tin và sự phát triển của các công nghệ mới khiến các đánh giá truyền thống về kiểm soát chung công nghệ thông tin không đủ để đảm bảo an ninh mạng. Thay vào đó, KTNB cần đánh giá khả năng hiện tại và trong tương lai của tổ chức, từ đó đưa ra khuyến nghị phù hợp để ứng phó kịp thời với rủi ro an ninh mạng./.