Ricardo Gameroff

Partner, Kreston BA Argentina, Argentína

Ricardo je odborník na podvody, audit a riziká, ktorý viac ako dve desaťročia pôsobil v spoločnosti Ernst & Young (EY), kde pracoval ako partner pre audit a forenzné analýzy v Kanade, Čile a Argentíne. Viedol významných klientov v oblasti verejných služieb, maloobchodu, výroby a ťažobného priemyslu vrátane spoločností Coca-Cola, McDonald’s, Siemens, Fluor Daniels a ďalších. Ricardo je certifikovaný účtovník (CPA) v Spojených štátoch, Čile a Argentíne, certifikovaný vyšetrovateľ podvodov (CFE) a držiteľ titulu MBA. Je tiež univerzitným profesorom na Universidad de los Andes a autorom publikácií o profesijných podvodoch.

Interný audit vo veku kybernetických hrozieb

June 10, 2024

Ricardo Gameroff, vedúci partner spoločnosti Kreston BA Argentina a riaditeľ pre rozvoj globálneho auditu v spoločnosti Kreston Global, zdôrazňuje kľúčovú úlohu interného auditu v boji proti kybernetickým hrozbám. Jeho článok v časopise Audit & Risk, publikácii Chartered IIA, pojednáva o tom, ako rozvíjajúce sa postupy interného auditu zvyšujú odolnosť voči hrozbám, ako je ransomware, phishing, útoky BEC a vydávanie sa za značku, prostredníctvom dôkladného hodnotenia rizík a proaktívneho monitorovania. Kliknutím sem získate prístup ku kompletnej publikácii alebo si prečítajte zhrnutie nižšie.

Vnútorný audit ako obranný nástroj

Interné audity vždy zohrávali kľúčovú úlohu pri zmierňovaní kybernetických rizík a ochrane majetku organizácie. Okrem toho nedávny pokrok v procesoch auditu rozšíril jeho možnosti nad rámec tradičných metód. Teraz môžu tímy interného auditu využívať inovatívne technológie na rýchle prispôsobenie sa vyvíjajúcim sa kybernetickým hrozbám.

Kľúčové odporúčania pre tímy interného auditu:

Priebežné monitorovanie: Používajte automatizované nástroje a analytické nástroje na monitorovanie sieťovej aktivity, zisťovanie anomálií a identifikáciu potenciálnych narušení bezpečnosti v reálnom čase.

Zlepšenie zručností v oblasti kybernetickej bezpečnosti: Investujte do priebežného školenia a odborného rozvoja, aby ste držali krok s novými hrozbami a osvedčenými postupmi.

Integrácia analýzy údajov: Využívajte dátovú analytiku na zlepšenie hodnotenia rizík a odhaľovanie podozrivých aktivít prostredníctvom analýzy veľkých súborov údajov na hľadanie vzorov a anomálií.

Spolupracujte s tímami IT a bezpečnosti: Úzka spolupráca s oddeleniami IT a bezpečnosti s cieľom pochopiť infraštruktúru IT a zraniteľné miesta organizácie a prispôsobiť postupy auditu rizikovému profilu.

Etická umelá inteligencia

Pre ochranu organizácií pred kybernetickými hrozbami je kľúčové silné pochopenie etiky a pevná firemná kultúra. Okrem toho môžu interné audity pomôcť manažmentu monitorovať a podporovať organizačnú kultúru. Následne sa tým zabezpečí, že všetci zamestnanci pochopia očakávané správanie v oblasti kybernetickej bezpečnosti a etiky. To podporuje správne rozhodovanie a posilňuje riadenie a kontrolu.

S nárastom umelej inteligencie v rozhodovaní a automatizácii je nevyhnutné zabezpečiť transparentnosť, zodpovednosť a systémy bez zaujatosti. Okrem toho môžu interní audítori pomôcť pri zavádzaní etických postupov v oblasti umelej inteligencie prostredníctvom auditu algoritmov umelej inteligencie a zabezpečenia súladu s právnymi predpismi. Včasné zapojenie do iniciatív v oblasti umelej inteligencie umožňuje audítorom poskytovať poradenstvo v oblasti rizík a navrhovať riešenia.

Komponenty kybernetickej pripravenosti

Príprava je v boji proti kybernetickým hrozbám kľúčová. Zavedenie kybernetickej pripravenosti podniku zahŕňa riadenie, stratégiu, reakciu na incidenty a školenie zamestnancov.

Riadenie a stratégia: Interný audit by mal podporovať a radiť v oblasti efektívneho riadenia kybernetickej bezpečnosti a pomáhať pri vytváraní jasných politík, postupov a štruktúr zodpovednosti. Kľúčové je definovanie úloh, zodpovedností a strategických cieľov v súlade s obchodnými cieľmi.

Hodnotenie rizík: Pravidelné posudzovanie rizík pomáha identifikovať kybernetické riziká a určiť ich priority, čo umožňuje efektívne prideľovanie zdrojov a cielené stratégie zmierňovania.

Reakcia na incident: Organizácie potrebujú formálny plán reakcie na incidenty s určenými tímami a pravidelnými školeniami. Na rýchle a účinné reakcie sú nevyhnutné proaktívne opatrenia, ako je monitorovanie spravodajských informácií o hrozbách a systémy na odhaľovanie incidentov.

Školenie zamestnancov: Vzdelávanie zamestnancov o kybernetických hrozbách a osvedčených postupoch je veľmi dôležité, pretože častou príčinou incidentov je stále ľudská chyba. Pravidelné školenia o phishingu, zabezpečení hesiel, bezpečnom používaní internetu a kampane na zvyšovanie povedomia o bezpečnosti podporujú kultúru ostražitosti.

Vnútorný audit predchádzanie incidentom

Je ťažké nájsť príklady interných auditov, ktoré by zabránili kybernetickým bezpečnostným incidentom, pretože “takmer neúspešné prípady” sa nezverejňujú. Úspešné kybernetické útoky však často poukazujú na to, ako by účinné audítorské postupy mohli zmierniť narušenia alebo im zabrániť.

V automobilovom priemysle sa únik údajov spoločnosti Tesla v roku 2023 týkal viac ako 75 000 osôb v dôsledku “vnútornej práce” dvoch bývalých zamestnancov. Tento incident zdôrazňuje dôležitosť komplexného školenia zamestnancov, prísnych kontrol prístupu, pravidelných auditov a zásad informovania na odhalenie neoprávneného prístupu a rizikového správania.

V sektore finančných služieb došlo v marci 2017 k úniku údajov spoločnosti Equifax, ktorý sa dotkol takmer 150 miliónov ľudí, v dôsledku zneužitia zraniteľnosti IT systému útočníkmi. Hoci je zložité predchádzať externým útokom, tímy interného auditu, ktoré sa zameriavajú na spoľahlivé opatrenia kybernetickej bezpečnosti, postupy správy údajov a interné kontroly, môžu pomôcť rýchlo odhaliť narušenia a zabezpečiť rýchle zmiernenie škôd a oznámenie.

Spoločnosť Mailchimp, poskytovateľ e-mailových marketingových služieb, čelila mnohým narušeniam údajov v dôsledku útokov sociálneho inžinierstva na svojich zamestnancov, čo viedlo k ohrozeniu používateľských účtov a odhaleniu údajov zákazníkov. Interné audity by mali zabezpečiť, aby zamestnanci absolvovali primerané školenia o kybernetickej bezpečnosti, a posúdiť zavedenie dvojfaktorovej autentifikácie a praktických postupov správy identít. Okrem toho musia byť zavedené zásady a systémy na rýchle zisťovanie a zmierňovanie zraniteľností a rýchle riešenie prípadov narušenia.

S rýchlym vývojom technológií sa zvyšujú aj súvisiace riziká. Interný audit musí prispôsobiť svoje postupy a využívať technologický pokrok, ako je umelá inteligencia, analýza údajov a strojové učenie, na proaktívnu identifikáciu potenciálnych zraniteľností a predvídanie nových hrozieb. Tímy interného auditu schopné predvídať budúce riziká môžu poskytnúť vedeniu cenné usmernenia a optimálne tak pripraviť organizáciu na nevyhnutné kybernetické útoky. Viac informácií o implementácii protokolov kybernetickej bezpečnosti do vašej firmy nájdete tu.

Súvisiace články

Argentíne hrozí dlhová kríza do roku 2025: Môže sa jej vyhnúť Mileiho rozpočet s nulovým deficitom?

Argentína bude v roku 2025 čeliť výrazným problémom v oblasti dlhu so splatnosťou viac ako 14 miliárd USD a zápornými rezervami. Preskúmajte, ako sa vládna fiškálna stratégia, medzinárodná podpora a proinvestičné politiky zameriavajú na zabránenie platobnej neschopnosti a zabezpečenie hospodárskej stability.

Investovanie v Argentíne: ďalšia zlatá horúčka pre zahraničných investorov?

Investovanie v Argentíne môže byť bližšie, ako si myslíte. Napriek tomu priame zahraničné investície v roku 2022 vzrástli o 122,5 % a Ricardo Gameroff skúma dôvody.

Znalosti