Недостатки внутреннего контроля

Опубликовано: 2019-07-30

Слабые стороны контроля связаны с неспособностью организации эффективно применять свой внутренний контроль. Злоумышленники могут воспользоваться такой ситуацией, чтобы обойти даже самые, казалось бы, надежные меры безопасности.

Растущее внедрение средств внутреннего контроля, появление новых технологий и невероятная скорость, с которой развивается вредоносное ПО, требуют более тщательного контроля за безопасностью данных. При этом организациям будет легче оценивать эффективность имеющихся у них механизмов внутреннего контроля. Точно так же это поможет выявить слабые места в этих элементах управления.

Слабые стороны внутреннего контроля: в чем они заключаются?

Прежде чем вы даже начнете думать о слабых сторонах внутреннего контроля, вам сначала нужно спросить себя, что такое контроль безопасности данных. По сути, контроль безопасности данных влечет за собой обеспечение безопасности конфиденциальных данных путем принятия мер против несанкционированного доступа. Такие меры определяют программы управления рисками, помогая противодействовать, обнаруживать, минимизировать или избегать типичных угроз безопасности, с которыми сталкиваются компьютерные системы, данные, программное обеспечение и сети.

Эти меры могут включать технический контроль, архитектурный контроль, административный контроль и операционный контроль. Кроме того, средства контроля могут быть упрощены, чтобы по своему характеру они были обнаруживающими, корректирующими, компенсационными или превентивными. Процессы контроля безопасности данных защищают организации, предоставляя достоверную финансовую отчетность в соответствии с требованиями различных регулирующих органов и отраслевыми стандартами, относящимися к капитальным, инвестиционным и кредитным рискам.

Например, раздел 404 Закона Сарбейнса-Оксли от 2002 г. (SOX) требует ежегодных доказательств того, что компании правдиво представляют свои финансовые отчеты и процедуры для обеспечения эффективного предотвращения мошенничества. Точно так же компании должны доказать, что они устранили любые неопределенности, связанные с финансовыми аспектами, такими как акции.

Каковы недостатки технического контроля?

Технический контроль безопасности сосредоточен как на аппаратном, так и на программном обеспечении. Слабые места в структуре технического контроля организации обычно возникают из-за изменений в технологии или сбоев в конфигурации и обслуживании. В отчете об уязвимости «Heartbleed» за 2014 год отмечены общие недостатки технического контроля в SSL, которые раскрывают данные злоумышленникам.

Слабые стороны оперативного контроля

Оперативная безопасность (OPSEC) влечет за собой мониторинг операций с учетом реализации программы управления рисками. Как правило, недостатки оперативного контроля возникают из-за человеческого фактора. Когда лица, уполномоченные проводить операции, не соблюдают установленные политики и стандарты, операционный контроль организации ослабевает.

Реагирование на инциденты является чувствительным ко времени оперативным контролем. Вы поймете его максимальную эффективность, только обеспечив быстрое вмешательство. Когда интервал между происшествием и необходимым изобретением увеличивается, эффективность реагирования на происшествие в равной степени снижается.

Что такое слабость административного контроля?

Также известные как процедурные средства контроля, административные средства контроля безопасности связаны с постоянным отказом от оптимизации повседневных операций в соответствии с установленными правилами. Процедура резервного копирования по расписанию — важный процедурный элемент управления, относящийся к аварийному восстановлению. Неспособность установить жизнеспособность и целостность резервных копий подвергает организацию постоянно надвигающемуся риску деградации носителя. В такой ситуации организации будет трудно полностью оправиться от катастрофических последствий человеческой ошибки.

Слабые стороны архитектурного контроля

Как правило, архитектура безопасности предполагает создание интегрированной структуры, которая выявляет и устраняет риски, возникающие в интегрированной ИТ-среде организации. Слабые места в документации или дизайне наносят ущерб фундаменту структуры безопасности организации.

Непредвиденная замена оборудования более распространена в организациях, которые более склонны к недостаткам архитектурного контроля. Это происходит из-за обхода штатного процесса управления изменениями. Эти замены часто бывают срочными, что создает окно для пропущенных исправлений, нарушений конфигурации и других форм упущений при реализации.

Как управление рисками поддерживает внутренний контроль

Неотъемлемые ценности GRC сосредоточены на прояснении рисков, чтобы организация могла соблюдать стандарты и правила, постоянно отслеживая, чтобы убедиться, что все процессы работают. Эффективное управление корпоративными рисками предполагает создание структуры, поддерживающей процедуры, защищающие ресурсы и активы организации.

Вопреки тому, что многие думают, управление рисками — это не разовое мероприятие. Внедренные средства контроля должны развиваться вместе с развитием ландшафта угроз. Злоумышленники часто меняют свою тактику. Это подчеркивает важность поддержания максимальной эффективности, поскольку упрощает переоценку рисков на протяжении всего жизненного цикла информационной системы организации.

Важность постоянного мониторинга внутреннего контроля

Непрерывный мониторинг внутреннего контроля позволяет организациям в режиме реального времени получать информацию об уязвимостях и угрозах, с которыми они сталкиваются. Несмотря на то, что злоумышленники постоянно развивают вредоносное ПО и программы-вымогатели, чтобы избежать самоотверженности, постоянный мониторинг помогает группе управления адекватно реагировать на угрозы, которые могут негативно повлиять на бизнес-процессы организации и процессы оценки рисков.

Непрерывный мониторинг внутреннего контроля требует, чтобы вы использовали внутренний аудит и текущую деятельность. Это гарантирует, что ваша организация встроит все свои процедуры в свою операционную настройку. Например, эти детективные меры могут помочь внутренним аналитикам оценить операционную эффективность.

Автоматизация может существенно снизить нагрузку на постоянный мониторинг. По мере масштабирования организации растет и количество внутренних средств контроля, которые необходимо отслеживать. Использование технологий, несомненно, приведет к увеличению дублирования между различными типами контроля. Например, миграция в облако сделала несанкционированный доступ как ИТ-, так и операционным риском.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.