内部統制の弱点

公開: 2019-07-30

統制の弱点は、組織が内部統制を効果的に実施できないことに起因します。 悪意のある個人は、このような状況を利用して、一見水密に見えるセキュリティ対策さえも回避することができます。

内部統制の実装の増加、新しいテクノロジーの出現、およびマルウェアの進化の速度の速さから、より厳密なデータセキュリティ制御の監視が必要になります。 そうすることで、組織が実施している内部統制の有効性を評価しやすくなります。 同様に、これらのコントロールの弱点を明らかにするのに役立ちます。

内部統制の弱点:それらは何ですか?

内部統制の弱点について考える前に、まずデータセキュリティ制御とは何かを自問する必要があります。 基本的に、データのセキュリティ管理には、不正アクセスに対する対策を実施することにより、機密データを安全に保つことが含まれます。 このような対策は、コンピューターシステム、データ、ソフトウェア、およびネットワークが直面する一般的なセキュリティリスクを打ち消し、検出し、最小化し、または回避するのに役立つことにより、リスク管理プログラムを導きます。

これらの対策には、技術的管理、アーキテクチャ管理、管理管理、および運用管理が含まれる場合があります。 その上、コントロールは、本質的に探偵、是正、補償、または予防になるように合理化することができます。 データセキュリティ制御プロセスは、資本、投資、および信用リスクに関連するさまざまな規制機関および業界標準によって義務付けられている信頼できる財務報告を提供することにより、組織を保護します。

たとえば、2002年サーベンスオクスリー法(SOX)セクション404では、効果的な不正の軽減を確実にするために、企業が財務諸表と手順を真実に報告していることを毎年証明する必要があります。 同様に、企業は、株式などの財務面に関連する不確実性に対処したことを証明する必要があります。

技術的な制御の弱点は何ですか?

技術的なセキュリティ管理は、ハードウェアとソフトウェアの両方に焦点を当てています。 組織の技術的制御フレームワークの弱点は、通常、技術の変更、または構成と保守の失敗から発生します。 2014年の「Heartbleed」脆弱性レポートは、SSLの一般的な技術的制御の弱点を浮き彫りにしました。これは、悪意のある攻撃者にデータを公開します。

運用管理の弱点

運用セキュリティ(OPSEC)は、リスク管理プログラムの実装を考慮して運用を監視する必要があります。 通常、運用管理の弱点は人為的ミスに起因します。 業務の遂行を義務付けられた個人が確立されたポリシーや基準を順守できない場合、組織の業務管理は弱体化します。

インシデント対応は、時間に敏感な運用管理です。 迅速な介入を確実にすることによってのみ、その最高の効果を実現します。 インシデントと必要な発明との間の間隔が長くなると、インシデント対応の有効性も同様に低下します。

管理制御の弱点とは何ですか?

手続き型制御とも呼ばれる管理セキュリティ制御には、確立された規制に合わせて日常業務を合理化するための一貫した失敗が含まれます。 スケジュールされたバックアップルーチンは、ディザスタリカバリに関連する重要な手順制御です。 バックアップの実行可能性と整合性を確認できないと、組織はメディアの劣化という絶え間なく迫り来るリスクにさらされます。 このような状況では、組織がヒューマンエラーの壊滅的な結果から完全に回復することは困難です。

アーキテクチャ制御の弱点

一般に、セキュリティアーキテクチャでは、組織の統合IT環境内で発生するリスクを強調して対処する統合フレームワークを作成する必要があります。 ドキュメントまたは設計の弱点は、組織のセキュリティ構造の基盤に悪影響を及ぼします。

予期しないハードウェアの交換は、アーキテクチャ制御の弱点になりやすい組織でより一般的です。 これは、通常の変更管理プロセスの回避が原因で発生します。 これらの置き換えはしばしば緊急であり、パッチの欠落、構成の不規則性、およびその他の形式の実装の見落としのウィンドウを作成します。

リスク管理が内部統制をどのようにサポートするか

GRCの固有の価値は、組織がすべてのプロセスが機能していることを確認するために一貫して監視しながら、標準や規制に準拠できるように、リスクを明確にすることに重点を置いています。 効率的な企業リスク管理には、組織のリソースと資産を保護する手順をサポートする構造を作成することが含まれます。

多くの人が考えていることに反して、リスク管理は一回限りの仕事ではありません。 実装されたコントロールは、脅威の状況の進化とともに進化する必要があります。 悪意のある攻撃者はしばしば戦術を変更します。 これにより、組織の情報システムのライフサイクル全体でリスクを再評価しやすくなるため、最高の効果を維持することの重要性が浮き彫りになります。

内部統制を一貫して監視することの重要性

内部統制の継続的な監視により、組織は直面している脆弱性と脅威に関するリアルタイムの洞察を得ることができます。 悪意のある攻撃者は、献身を避けるためにマルウェアとランサムウェアを継続的に進化させますが、一貫した監視は、組織のビジネスとリスク評価プロセスに悪影響を与える可能性のある脅威に管理チームが適切に対応するのに役立ちます。

内部統制を継続的に監視するには、内部監査と継続的な活動を活用する必要があります。 これにより、組織はすべての手順を運用設定に確実に組み込むことができます。 たとえば、これらの検出手段は、内部アナリストが運用の有効性を評価するのに役立ちます。

自動化は、継続的な監視の負担を軽減するのに大いに役立ちます。 組織の規模が拡大するにつれて、監視する必要のある内部統制の数も増加します。 テクノロジーを使用すると、間違いなく、異なる制御タイプ間のオーバーラップが増加します。 たとえば、クラウドの移行により、ITとオペレーショナルリスクの両方に不正アクセスが発生しました。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • ビジネスリスクを先取りする
  • 保険業界のリスク管理
  • サイバーセキュリティと高等教育
  • クラウドの保護