ريكاردو جيميروف
شريك، كريستون بي إيه الأرجنتين، الأرجنتين
ريكاردو هو خبير في الاحتيال والتدقيق والمخاطر منذ أكثر من عقدين من الزمن في Ernst & Young (EY)، حيث عمل كشريك في التدقيق والطب الشرعي في كندا وتشيلي والأرجنتين. لقد قاد عملاء رئيسيين في قطاعات المرافق وتجارة التجزئة والتصنيع والتعدين، بما في ذلك كوكا كولا وماكدونالدز وسيمنز وفلور دانيلز وغيرها. ريكاردو هو محاسب قانوني معتمد (CPA) في الولايات المتحدة وتشيلي والأرجنتين، وهو فاحص الاحتيال المعتمد (CFE)، ويحمل درجة الماجستير في إدارة الأعمال. وهو أيضاً أستاذ جامعي في جامعة دي لوس أنديز ومؤلف منشور عن الاحتيال المهني.
التدقيق الداخلي في عصر التهديدات الإلكترونية
June 10, 2024
يؤكد ريكاردو غاميروف، الشريك الإداري في شركة كريستون بي إيه الأرجنتين ومدير تطوير أعمال التدقيق العالمي في كريستون العالمية، على الدور الحاسم للتدقيق الداخلي في مكافحة التهديدات الإلكترونية. يناقش مقاله المنشور في مجلة التدقيق والمخاطر، وهي مجلة معهد المدققين الداخليين المعتمدين، كيف تعزز ممارسات التدقيق الداخلي المتطورة من المرونة ضد التهديدات مثل برامج الفدية الخبيثة والتصيد الاحتيالي وهجمات BEC وانتحال العلامات التجارية من خلال التقييم الدقيق للمخاطر والمراقبة الاستباقية. انقر هنا للوصول إلى المنشور كاملاً، أو اقرأ الملخص أدناه.
التدقيق الداخلي كأداة دفاعية
لطالما لعبت عمليات التدقيق الداخلي دوراً رئيسياً في التخفيف من المخاطر الإلكترونية وحماية الأصول المؤسسية. وعلاوة على ذلك، أدت التطورات الأخيرة في عمليات التدقيق إلى توسيع نطاق قدراتها بما يتجاوز الأساليب التقليدية. الآن، يمكن لفرق التدقيق الداخلي الاستفادة من التقنيات المبتكرة للتكيف بسرعة مع التهديدات الإلكترونية المتطورة.
التوصيات الرئيسية لفرق المراجعة الداخلية للحسابات
- المراقبة المستمرة: استخدم الأدوات والتحليلات الآلية لمراقبة نشاط الشبكة، واكتشاف الحالات الشاذة، وتحديد الاختراقات الأمنية المحتملة في الوقت الفعلي.
- تعزيز مهارات الأمن السيبراني: استثمر في التدريب المستمر والتطوير المهني لمواكبة التهديدات الناشئة وأفضل الممارسات.
- دمج تحليلات البيانات: استخدام تحليلات البيانات لتحسين تقييم المخاطر والكشف عن الأنشطة المشبوهة من خلال تحليل مجموعات البيانات الكبيرة بحثًا عن الأنماط والحالات الشاذة.
- التعاون مع فرق تكنولوجيا المعلومات وفرق الأمن: العمل عن كثب مع أقسام تكنولوجيا المعلومات والأمان لفهم البنية التحتية لتكنولوجيا المعلومات ونقاط الضعف في المؤسسة، وتكييف إجراءات التدقيق مع ملف المخاطر.
الذكاء الاصطناعي الأخلاقي
إن الفهم القوي للأخلاقيات والثقافة المؤسسية القوية أمران ضروريان لحماية المؤسسات من التهديدات السيبرانية. بالإضافة إلى ذلك، يمكن أن تساعد عمليات التدقيق الداخلي الإدارة على مراقبة الثقافة المؤسسية ودعمها. وبالتالي، يضمن ذلك فهم جميع الموظفين للسلوكيات المتوقعة فيما يتعلق بالأمن السيبراني والأخلاقيات. وهذا يعزز اتخاذ القرارات الجيدة ويعزز الحوكمة والضوابط.
مع ظهور الذكاء الاصطناعي في عملية صنع القرار والأتمتة، فإن ضمان الشفافية والمساءلة والأنظمة الخالية من التحيز أمر ضروري. علاوة على ذلك، يمكن أن يساعد المدققون الداخليون في تنفيذ ممارسات الذكاء الاصطناعي الأخلاقية من خلال تدقيق خوارزميات الذكاء الاصطناعي وضمان الامتثال التنظيمي. تتيح المشاركة المبكرة في مبادرات الذكاء الاصطناعي للمدققين تقديم المشورة بشأن المخاطر واقتراح الحلول.
التأهب السيبراني للمكونات
الاستعداد هو مفتاح مكافحة التهديدات السيبرانية. يتضمن إنشاء الجاهزية الإلكترونية للمؤسسة الحوكمة والاستراتيجية والاستجابة للحوادث وتدريب الموظفين.
- الحوكمة والاستراتيجية: ينبغي للتدقيق الداخلي أن يدعم ويقدم المشورة بشأن الإدارة الفعالة للأمن السيبراني ويساعد على وضع سياسات وإجراءات وهياكل مساءلة واضحة. من المهم تحديد الأدوار والمسؤوليات والأهداف الاستراتيجية التي تتماشى مع أهداف العمل.
- تقييم المخاطر: تساعد تقييمات المخاطر المنتظمة في تحديد المخاطر السيبرانية وترتيب أولويتها، مما يسمح بتخصيص الموارد بكفاءة واستراتيجيات التخفيف المستهدفة.
- الاستجابة للحوادث: تحتاج المؤسسات إلى خطة رسمية للاستجابة للحوادث مع فرق مخصصة وتمارين تدريبية منتظمة. تُعد التدابير الاستباقية مثل مراقبة معلومات التهديدات وأنظمة الكشف عن الحوادث ضرورية للاستجابة السريعة والفعالة.
- تدريب الموظفين: إن تثقيف الموظفين حول التهديدات السيبرانية وأفضل الممارسات أمر حيوي، حيث لا يزال الخطأ البشري سبباً شائعاً للحوادث. إن التدريب المنتظم على التصيّد الاحتيالي وأمن كلمات المرور والاستخدام الآمن للإنترنت وحملات التوعية الأمنية يعزز ثقافة اليقظة.
المراجعة الداخلية للحسابات الداخلية لمنع الحوادث
من الصعب العثور على أمثلة على عمليات التدقيق الداخلي التي تمنع وقوع حوادث الأمن السيبراني، حيث لا يتم الإعلان عن “الأخطاء الوشيكة”. ومع ذلك، فإن الهجمات السيبرانية الناجحة غالبًا ما تسلط الضوء على مدى فعالية ممارسات التدقيق في التخفيف من حدة الاختراقات أو منعها.
في صناعة السيارات، أثر اختراق بيانات شركة Tesla لعام 2023 على أكثر من 75,000 شخص بسبب “عمل داخلي” قام به موظفان سابقان. يؤكد هذا الحادث على أهمية التدريب الشامل للموظفين، وضوابط الوصول الصارمة، وعمليات التدقيق المنتظمة، وسياسات الإبلاغ عن المخالفات للكشف عن الوصول غير المصرح به والسلوكيات الخطرة.
في قطاع الخدمات المالية، نتج اختراق بيانات شركة Equifax في مارس 2017، والذي أثر على ما يقرب من 150 مليون شخص، عن استغلال المهاجمين لثغرات في نظام تكنولوجيا المعلومات. بالإضافة إلى ذلك، في حين أن الهجمات الخارجية معقدة في منعها، فإن فرق التدقيق الداخلي التي تركز على تدابير الأمن السيبراني القوية وممارسات إدارة البيانات والضوابط الداخلية يمكن أن تساعد في اكتشاف الاختراقات بسرعة وضمان تخفيف الضرر والإخطار السريع.
واجهت شركة Mailchimp، وهي مزود لخدمات التسويق عبر البريد الإلكتروني، العديد من خروقات البيانات بسبب هجمات الهندسة الاجتماعية على موظفيها، مما أدى إلى اختراق حسابات المستخدمين وانكشاف بيانات العملاء. يجب أن تضمن عمليات التدقيق الداخلي حصول الموظفين على تدريب كافٍ في مجال الأمن السيبراني وتقييم تنفيذ المصادقة الثنائية والممارسات العملية لإدارة الهوية. بالإضافة إلى ذلك، يجب وضع سياسات وأنظمة لاكتشاف نقاط الضعف والتخفيف من حدتها بسرعة ومعالجة الاختراقات على الفور.
مع التطور السريع للتكنولوجيا، تتطور المخاطر المرتبطة بها. يجب على التدقيق الداخلي تكييف ممارساته والاستفادة من التطورات التكنولوجية، مثل الذكاء الاصطناعي وتحليلات البيانات والتعلم الآلي، لتحديد نقاط الضعف المحتملة والتنبؤ بالتهديدات الناشئة بشكل استباقي. يمكن لفرق التدقيق الداخلي القادرة على التنبؤ بالمخاطر المستقبلية أن تقدم إرشادات قيّمة للإدارة، مما يجعل المؤسسة في وضع مثالي للاستجابة للهجمات الإلكترونية الحتمية. لمزيد من المعلومات حول تطبيق بروتوكولات الأمن السيبراني في عملك، انقر هنا.