إدارة المخاطر السيبرانية: دور التدقيق الداخلي
June 28, 2023
ظهر دورون روزنبلوم ، الشريك الإداري في Kreston-Ezra Yehuda-Rozenblum، مؤخرًا في مجلة Accounting Today ، حيث شارك رؤى حول سبب كون التدقيق الداخلي هو المفتاح لإدارة المخاطر السيبرانية. تعد الحوادث السيبرانية، مثل انقطاع تكنولوجيا المعلومات، وانتهاكات البيانات، وهجمات برامج الفدية، من أعلى المخاطر العالمية. تثير خروقات البيانات قلقًا خاصًا بالنسبة للشركات، حيث وصلت التكاليف إلى مستوى قياسي بلغ 4.4 مليون دولار في عام 2022، ومن المتوقع أن تتجاوز 5 ملايين دولار في عام 2023. وتشمل المخاطر الكبيرة الأخرى هجمات برامج الفدية والفشل في سلاسل التوريد الرقمية أو الخدمات السحابية. يمكن أن تتسبب النواقل ذات الصلة بالإنترنت، بما في ذلك الهجمات الإجرامية والأخطاء البشرية ومواطن الخلل الفنية، في حدوث اضطرابات شديدة في الشركات. ويستهدف القراصنة الآن سلاسل التوريد الرقمية والمادية، مما يشكل تهديدا أكبر للشركات الصغيرة والمتوسطة الحجم، في حين تستثمر الشركات الكبيرة بشكل أكبر في الأمن السيبراني.
المشهد المتطور للمخاطر السيبرانية: التهديدات والاتجاهات
في المشهد الرقمي، كل شركة، بغض النظر عن حجمها، معرضة للانتهاكات التي يمكن أن تعرض العمليات والسمعة والعلامة التجارية وخطوط الإيرادات للخطر. يتسم مشهد المخاطر السيبرانية في عام 2023 بالتنوع والتطور المستمر، حيث من المتوقع أن تصل تكاليف الجرائم السيبرانية إلى 8 تريليون دولار بحلول عام 2023 و10.5 تريليون دولار بحلول عام 2025.
تشكل هجمات برامج الفدية، وخاصة من خلال التصيد الاحتيالي، أكبر تهديد في كل من القطاعين العام والخاص. لا تتزايد هذه الهجمات من حيث العدد فحسب، بل تتزايد أيضًا التكاليف المالية والمتعلقة بالسمعة. يتضمن التصيد الاحتيالي قيام المتسللين بخداع الأفراد لمشاركة بيانات قيمة أو نشر برامج ضارة من خلال رسائل البريد الإلكتروني الخادعة، وغالبًا ما ينتحلون شخصية أفراد رفيعي المستوى أو مؤسسات موثوقة. يعد اختراق البريد الإلكتروني للأعمال (BEC) مشكلة خطيرة أخرى، وغالبًا ما ترتبط بالتصيد الاحتيالي. يستخدم المهاجمون أدوات التعاون خارج نطاق البريد الإلكتروني، مثل تطبيقات الدردشة والمراسلة عبر الهاتف المحمول، لتنفيذ مخططاتهم. كثيرًا ما يسيء المتسللون استخدام علامة Microsoft التجارية في هجمات التصيد الاحتيالي، كما أن هجمات انتحال هوية العلامة التجارية تثير القلق بسبب العادات الأمنية السيئة ونقص معرفة المستخدم.
يتزايد الاحتيال، وخاصة سرقة الهوية، رقميًا مع تزايد عدد الأشخاص الذين يشاركون في الخدمات المصرفية والتسوق عبر الإنترنت. في عام 2022، أبلغ المستهلكون عن خسارة ما يقرب من 9 مليارات دولار بسبب الاحتيال، بزيادة قدرها 30% عن العام السابق، مع وجود عدد كبير من تقارير سرقة الهوية.
تعزيز إدارة المخاطر السيبرانية: استراتيجيات التدقيق الداخلي
تواجه الشركات درجة عالية من الضعف أمام المخاطر السيبرانية بسبب حجمها وتعقيدها وترابطها. يؤدي استخدام الخدمات السحابية وإنترنت الأشياء (IoT) إلى إنشاء ناقلات هجوم جديدة يصعب تأمينها. تعد الاستراتيجيات القوية لإدارة المخاطر السيبرانية التي تشمل جميع أصحاب المصلحة أمرًا بالغ الأهمية لمعالجة هذه المخاطر.
في حين أن الذكاء الاصطناعي (AI) يحمل إمكانات، فإنه يمكن أيضًا أن يكون ناقلًا للتهديد. يجب تنفيذ أنظمة ومنصات الذكاء الاصطناعي بحذر بسبب احتمال وجود افتراضات واستنتاجات غير دقيقة مستمدة من مصادر غير موثوقة.
لقد تطور التدقيق الداخلي باعتباره وسيلة دفاع حاسمة ضد المخاطر السيبرانية. ويمتد الأمر إلى ما هو أبعد من المجالات المالية ليشمل الأمن السيبراني. لتدقيق المخاطر السيبرانية بشكل فعال، يتطلب التدقيق الداخلي فهم أحدث التهديدات، ومعرفة بيئة تكنولوجيا المعلومات في المنظمة وإطار الأمن السيبراني، والخبرة في إدارة المخاطر وتحليلات البيانات، والتعاون مع تكنولوجيا المعلومات، وإدارة المخاطر، ووظائف الامتثال.
يعد النهج القائم على المخاطر ضروريًا لإجراء تدقيق داخلي قوي للمخاطر السيبرانية. ويجب تحديد الأصول والأنظمة الحيوية وحمايتها، ويجب تقييم الضوابط الحالية، ويجب تحديد مجالات التحسين. يجب دمج إدارة المخاطر السيبرانية في الإستراتيجية الشاملة لإدارة المخاطر في المنظمة، ويجب تقديم تحديثات منتظمة حول ملف تعريف المخاطر السيبرانية والتهديدات الناشئة إلى مجلس الإدارة والإدارة العليا. تعد إدارة سلسلة التوريد مجالًا بالغ الأهمية آخر يتطلب تقييم ممارسات الأمن السيبراني الخاصة بالبائعين والموردين.
في الختام، تشكل المخاطر السيبرانية تهديدًا متزايدًا للمؤسسات، ويلعب التدقيق الداخلي دورًا حيويًا في إدارة هذه المخاطر. يعد تقييم مشهد المخاطر ومراجعة الضوابط الداخلية واستخدام أدوات تحليل البيانات أمرًا بالغ الأهمية للإدارة الفعالة. من خلال اعتماد نهج تعاوني وقائم على المخاطر، يمكن للتدقيق الداخلي أن يساعد المؤسسات على التنقل في مشهد المخاطر السيبرانية المعقد والمتطور.
لمزيد من المعلومات، انقر هنا.
