Tiếp cận toàn diện hơn trong đánh giá rủi ro an ninh mạng

(BKTO) - Một trong những thách thức lớn nhất khi nhắc đến rủi ro an ninh mạng là doanh nghiệp chấp nhận nó xảy ra rồi mới tìm cách khắc phục. Trong khi đó, đây là một rủi ro kinh doanh và kiểm toán nội bộ (KTNB) cần nhìn nhận rủi ro này trong bối cảnh của toàn bộ doanh nghiệp.

muc-do-hieu-biet-cua-dn-ve-rui-ro-mang.-nguon-pwc.png
Mức độ hiểu biết của doanh nghiệp về các loại rủi ro mạng. Nguồn: Khảo sát niềm tin số toàn cầu - PwC

Cần cách tiếp cận toàn diện và khả năng đánh giá tổng thể

Các chuyên gia KTNB của Hiệp hội Kiểm toán nội bộ Hoa Kỳ (IIA) nhấn mạnh rằng, rủi ro an ninh mạng không chỉ là vấn đề về tài sản thông tin. Vì vậy, các kiểm toán viên không thể chỉ tập trung vào tài sản thông tin mà bỏ qua toàn bộ doanh nghiệp.

Nói cách khác, rủi ro và cơ hội liên quan đến công nghệ thông tin phải được đặt trong bối cảnh vận hành của doanh nghiệp và xác định rủi ro là một trong những yếu tố không thể thiếu, quyết định đến việc đạt được các mục tiêu của doanh nghiệp.

Để có thể đánh giá việc quản lý rủi ro an ninh mạng, kiểm toán viên cần tiếp cận toàn diện, bắt đầu bằng câu câu hỏi: “Tác động tiềm ẩn của hành vi vi phạm an ninh mạng đối với việc đạt được các mục tiêu của doanh nghiệp là gì?”.

Thực tế, một sự cố mạng có thể tạo ra rủi ro về chuỗi cung ứng, tuân thủ, vận hành, tài chính hoặc tác động vào rủi ro khác. Ở chiều ngược lại, một sự thay đổi trong chuỗi cung ứng (chẳng hạn như việc sử dụng một công ty hậu cần mới), hoặc thay đổi trong hoạt động tài chính cũng có thể làm thay đổi các rủi ro liên quan đến an ninh mạng.

Theo IIA, KTNB cần xem xét rủi ro an ninh mạng ở tất cả các phương diện: Quản trị an ninh mạng, kiểm kê tài sản thông tin, cấu hình bảo mật tiêu chuẩn, quản lý truy cập thông tin, phản hồi và khắc phục kịp thời, giám sát liên tục.

Việc đánh giá và xử lý rủi ro an ninh mạng phải là một phần không thể thiếu trong chương trình quản lý rủi ro doanh nghiệp (ERM) và quá trình ra quyết định của tổ chức, thay vì xếp nó thành một hoạt động đơn lẻ. Trong trường hợp thông tin về an ninh mạng không được tích hợp đầy đủ, KTNB phải báo cáo với hội đồng quản trị và đề xuất cách khắc phục.

Điều này đỏi hỏi các kiểm toán viên phải có khả năng đánh giá tổng thể và kiểm tra không gian mạng theo nhiều cách khác nhau. Như vậy, một cuộc kiểm toán sẽ phải có sự tham gia của các kiểm toán viên tài chính, kiểm toán viên hoạt động và không thể thiếu các chuyên gia về bảo mật thông tin.

Bên cạnh đó, việc đánh giá rủi ro an ninh mạng đòi hỏi sự tham gia của cả nhân viên kinh doanh và kỹ thuật. Thực tế cho thấy, các rủi ro mạng được phát hiện chủ yếu bởi nhân viên an ninh thông tin, nhưng sự tham gia của nhân viên kinh doanh giúp việc đánh giá rủi ro đúng hướng, nhanh chóng hơn.

Xem xét rủi ro an ninh mạng ở tất cả các phương diện

Theo Hướng dẫn kiểm toán công nghệ toàn cầu (GTAG) về đánh giá rủi ro an ninh mạng (năm 2020) của IIA, các kiểm toán viên nội bộ cần một cách tiếp cận linh hoạt và thường xuyên cập nhật thông tin để cung cấp sự đảm bảo đối với các rủi ro an ninh mạng.

Mặc dù việc đánh giá về kiểm soát chung công nghệ thông tin là hữu ích nhưng điều này không đủ để đảm bảo an ninh mạng bởi những đánh giá không kịp thời và không đầy đủ. Sự phức tạp của an ninh mạng đòi hỏi cả các lớp kiểm soát bổ sung, chẳng hạn như: Giám sát rủi ro, phát hiện các hành vi vi phạm và hành động khắc phục.

Các chuyên gia của IIA nhấn mạnh thêm rằng, rủi ro an ninh mạng nguy hiểm ở chỗ chúng năng động hơn hầu hết các rủi ro truyền thống và đòi hỏi phải có phản ứng kịp thời. Vì vậy, tổ chức phải thiết kế và triển khai các biện pháp kiểm soát trên phạm vi rộng để bảo vệ tính toàn vẹn, tính bảo mật và tính sẵn có của thông tin.

Theo đó, KTNB cần xem xét rủi ro an ninh mạng ở tất cả các phương diện: Quản trị an ninh mạng, kiểm kê tài sản thông tin, cấu hình bảo mật tiêu chuẩn, quản lý truy cập thông tin, phản hồi và khắc phục kịp thời, giám sát liên tục.

Một bước không thể thiếu khi triển khai kiểm toán là kiểm toán viên phải xác định được mức độ hiểu biết của ban lãnh đạo đối với rủi ro an ninh mạng. Sự hiểu biết của lãnh đạo sẽ quyết định quy mô, phạm vi của cuộc kiểm toán cũng như việc thực hiện các biện pháp kiểm soát, bảo mật phù hợp. Cùng với đó, kiểm toán viên cũng phải xác định xem nhóm bảo mật thông tin của doanh nghiệp có đủ năng lực, vị trí và quyền hạn cần thiết để giải quyết những rủi ro hay không.

Sự phụ thuộc của các tổ chức vào các hệ thống thông tin và sự phát triển của các công nghệ mới khiến các đánh giá truyền thống về kiểm soát chung công nghệ thông tin không đủ để đảm bảo an ninh mạng. Thay vào đó, KTNB cần đánh giá khả năng hiện tại và trong tương lai của tổ chức, từ đó đưa ra khuyến nghị phù hợp để ứng phó kịp thời với rủi ro an ninh mạng./.

Cùng chuyên mục
  • Ứng dụng AI và Big Data vào hoạt động kiểm toán
    một năm trước Kiểm toán - Kế toán
    (BKTO) - Hiện nay, các cơ quan của Chính phủ đã triển khai việc ứng dụng trí tuệ nhân tạo (AI) và dữ liệu lớn (Big Data) vào hoạt động điều hành nhằm hướng tới một Chính phủ số, xã hội số. Xu hướng này buộc Kiểm toán nhà nước (KTNN) phải chuẩn bị các điều kiện cần thiết để thay đổi phương pháp kiểm toán và phương thức làm việc, đảm bảo phù hợp với thông lệ quốc tế.
  • Kiểm toán nội bộ là chìa khóa để cải thiện chất lượng quản trị công ty
    một năm trước Kiểm toán - Kế toán
    (BKTO) - Kiểm toán nội bộ (KTNB) có vai trò quan trọng và là bộ phận không thể thiếu trong quản trị công ty. Để nâng cao hiệu quả hoạt động các bộ phận trong tổ chức, cũng như trách nhiệm giải trình với các bên liên quan, doanh nghiệp cần thiết lập và duy trì sức mạnh của “kiềng ba chân”: Hội đồng quản trị, Ủy ban kiểm toán và KTNB.
  • Kiểm toán việc thực hiện các mục tiêu phát triển bền vững theo thông lệ quốc tế
    một năm trước Kiểm toán - Kế toán
    (BKTO) - Kiểm toán việc thực hiện các mục tiêu phát triển bền vững (SDGs) là xu thế tất yếu của các cơ quan kiểm toán tối cao (SAI) trên thế giới. Để đánh giá hiệu lực, hiệu quả của việc thực hiện SDGs, góp phần thực hiện thành công Kế hoạch hành động quốc gia thực hiện Chương trình nghị sự 2030 vì sự phát triển bển vững của Liên hợp quốc, Kiểm toán nhà nước Việt Nam (KTNN) cần dựa trên thông lệ quốc tế và thực tiễn tại Việt Nam để lựa chọn chủ đề, nội dung, đưa ra các tiêu chí cũng như có cách tiếp cận.
  • Những yếu tố không nên bỏ qua khi kiểm toán nội bộ
    một năm trước Kiểm toán - Kế toán
    (BKTO) - Khi tiến hành đánh giá rủi ro toàn diện để xây dựng kế hoạch kiểm toán, các kiểm toán viên (KTV) nội bộ thường tập trung vào an ninh mạng, tuân thủ quy định, báo cáo tài chính, mối quan hệ với bên thứ ba mà bỏ qua những yếu tố như: Văn hóa doanh nghiệp, cơ sở vật chất hay thái độ của nhân viên. Trong khi đó, đây lại là những yếu tố có thể tiềm ẩn rủi ro, thậm chí ảnh hưởng đến tầm nhìn, sứ mệnh cũng như các quyết định của doanh nghiệp.
  • Nâng cao chất lượng hoạt động và vị thế, vai trò của Hiệp hội Kế toán và Kiểm toán Việt Nam
    một năm trước Kiểm toán - Kế toán
    (BKTO) - Chiều 16/02, tại Hà Nội, Ban Chấp hành trung ương Hiệp hội Kế toán và Kiểm toán Việt Nam (VAA) đã tổ chức Hội nghị lần thứ 9, nhiệm kỳ 2019-2024. Phó Tổng Kiểm toán nhà nước Nguyễn Tuấn Anh tham dự và phát biểu tại Hội nghị với cương vị Phó Chủ tịch VAA.
Tiếp cận toàn diện hơn trong đánh giá rủi ro an ninh mạng