
Ricardo Gameroff
Partner, Kreston BA Argentina, Argentinien
Ricardo ist Betrugs-, Prüfungs- und Risikoexperte mit mehr als zwei Jahrzehnten Erfahrung bei Ernst & Young (EY), wo er als Audit and Forensics Partner in Kanada, Chile und Argentinien tätig war. Er leitete wichtige Kunden in den Bereichen Versorgungsunternehmen, Einzelhandel, Fertigung und Bergbau, darunter Coca-Cola, McDonald’s, Siemens, Fluor Daniels und andere. Ricardo ist ein Certified Public Accountant (CPA) in den Vereinigten Staaten, Chile und Argentinien, ein Certified Fraud Examiner (CFE) und hat einen MBA-Abschluss. Er ist außerdem Universitätsprofessor an der Universidad de los Andes und Autor von Veröffentlichungen über Berufsbetrug.
Interne Revision im Zeitalter der Cyber-Bedrohungen
June 10, 2024
Ricardo Gameroff, Managing Partner bei Kreston BA Argentina und Global Audit Business Development Director bei Kreston Global, betont die entscheidende Rolle der Innenrevision bei der Bekämpfung von Cyber-Bedrohungen. In seinem Artikel in der Zeitschrift Audit & Risk, der Publikation des Chartered IIA, wird erörtert, wie die sich entwickelnden Praktiken der Innenrevision die Widerstandsfähigkeit gegen Bedrohungen wie Ransomware, Phishing, BEC-Angriffe und Markenimitation durch sorgfältige Risikobewertung und proaktive Überwachung verbessern. Klicken Sie hier, um die vollständige Publikation zu lesen, oder lesen Sie die Zusammenfassung unten.
Interne Revision als defensives Instrument
Interne Audits haben schon immer eine Schlüsselrolle bei der Minderung von Cyberrisiken und dem Schutz von Unternehmensvermögen gespielt. Darüber hinaus haben die jüngsten Fortschritte bei den Prüfungsprozessen die Möglichkeiten über die traditionellen Methoden hinaus erweitert. Jetzt können die Teams der Innenrevision innovative Technologien nutzen, um sich schnell an die sich entwickelnden Cyber-Bedrohungen anzupassen.
Wichtige Empfehlungen für interne Revisionsteams:
- Kontinuierliche Überwachung: Verwenden Sie automatisierte Tools und Analysen, um Netzwerkaktivitäten zu überwachen, Anomalien zu erkennen und potenzielle Sicherheitsverletzungen in Echtzeit zu identifizieren.
- Verbessern Sie Ihre Fähigkeiten im Bereich Cybersicherheit: Investieren Sie in kontinuierliche Schulungen und Weiterbildungen, um mit neuen Bedrohungen und bewährten Verfahren Schritt zu halten.
- Integrieren Sie die Datenanalytik: Nutzen Sie Datenanalysen, um die Risikobewertung zu verbessern und verdächtige Aktivitäten zu erkennen, indem Sie große Datensätze auf Muster und Anomalien analysieren.
- Arbeiten Sie mit IT- und Sicherheitsteams zusammen: Arbeiten Sie eng mit den IT- und Sicherheitsabteilungen zusammen, um die IT-Infrastruktur und die Schwachstellen des Unternehmens zu verstehen und die Audit-Verfahren an das Risikoprofil anzupassen.
Ethische künstliche Intelligenz
Ein ausgeprägtes Verständnis von Ethik und eine robuste Unternehmenskultur sind entscheidend für den Schutz von Unternehmen vor Cyber-Bedrohungen. Darüber hinaus können interne Audits dem Management helfen, die Unternehmenskultur zu überwachen und zu unterstützen. Dadurch wird sichergestellt, dass alle Mitarbeiter die erwarteten Verhaltensweisen in Bezug auf Cybersicherheit und Ethik verstehen. Dies fördert eine gute Entscheidungsfindung und stärkt Governance und Kontrollen.
Mit dem Aufkommen von KI bei der Entscheidungsfindung und der Automatisierung ist die Gewährleistung von Transparenz, Rechenschaftspflicht und vorurteilsfreien Systemen unerlässlich. Darüber hinaus können interne Auditoren bei der Umsetzung ethischer KI-Praktiken helfen, indem sie KI-Algorithmen prüfen und die Einhaltung von Vorschriften sicherstellen. Die frühzeitige Einbindung in KI-Initiativen ermöglicht es den Wirtschaftsprüfern, über Risiken zu beraten und Lösungen vorzuschlagen.
Komponenten Cyber-Bereitschaft
Vorbereitung ist der Schlüssel zur Bekämpfung von Cyber-Bedrohungen. Der Aufbau einer unternehmensweiten Cyber-Bereitschaft umfasst Governance, Strategie, Reaktion auf Vorfälle und Mitarbeiterschulung.
- Governance und Strategie: Die Innenrevision sollte ein effektives Cybersicherheitsmanagement unterstützen und beraten und dabei helfen, klare Richtlinien, Verfahren und Verantwortungsstrukturen zu schaffen. Die Festlegung von Rollen, Verantwortlichkeiten und strategischen Zielen, die mit den Unternehmenszielen übereinstimmen, ist von entscheidender Bedeutung.
- Risikobewertung: Regelmäßige Risikobewertungen helfen bei der Identifizierung und Priorisierung von Cyber-Risiken und ermöglichen eine effiziente Ressourcenzuweisung und gezielte Strategien zur Risikominderung.
- Reaktion auf Vorfälle: Unternehmen benötigen einen formellen Plan für die Reaktion auf Vorfälle mit festgelegten Teams und regelmäßigen Trainingsübungen. Proaktive Maßnahmen wie die Überwachung von Bedrohungsdaten und Systeme zur Erkennung von Vorfällen sind für eine schnelle und effektive Reaktion unerlässlich.
- Mitarbeiterschulung: Die Aufklärung der Mitarbeiter über Cyber-Bedrohungen und bewährte Praktiken ist von entscheidender Bedeutung, da menschliches Versagen nach wie vor eine häufige Ursache für Zwischenfälle ist. Regelmäßige Schulungen zu Phishing, Passwortsicherheit, sicherer Internetnutzung und Kampagnen zum Sicherheitsbewusstsein fördern eine Kultur der Wachsamkeit.
Interne Revision zur Verhinderung von Zwischenfällen
Es ist schwierig, Beispiele für interne Audits zu finden, die Cybersicherheitsvorfälle verhindern, da “Beinaheunfälle” nicht veröffentlicht werden. Erfolgreiche Cyberangriffe machen jedoch oft deutlich, wie effektive Prüfungspraktiken Verstöße abschwächen oder verhindern können.
In der Automobilbranche waren im Jahr 2023 mehr als 75.000 Personen von der Datenpanne bei Tesla betroffen, die auf einen “Insider-Job” zweier ehemaliger Mitarbeiter zurückzuführen ist. Dieser Vorfall unterstreicht die Bedeutung umfassender Mitarbeiterschulungen, strenger Zugangskontrollen, regelmäßiger Audits und einer Whistleblower-Politik zur Aufdeckung von unbefugtem Zugang und riskantem Verhalten.
Im Finanzdienstleistungssektor war die Datenpanne bei Equifax im März 2017, von der fast 150 Millionen Menschen betroffen waren, das Ergebnis von Angreifern, die Schwachstellen in IT-Systemen ausnutzten. Auch wenn es schwierig ist, Angriffe von außen zu verhindern, können interne Audit-Teams, die sich auf robuste Cybersicherheitsmaßnahmen, Datenverwaltungspraktiken und interne Kontrollen konzentrieren, dazu beitragen, Verstöße schnell zu erkennen und eine rasche Schadensbegrenzung und Benachrichtigung zu gewährleisten.
Mailchimp, ein Anbieter von E-Mail-Marketingdiensten, hatte mit zahlreichen Datenschutzverletzungen aufgrund von Social-Engineering-Angriffen auf seine Mitarbeiter zu kämpfen, die zu kompromittierten Benutzerkonten und der Preisgabe von Kundendaten führten. Interne Audits sollten sicherstellen, dass die Mitarbeiter eine angemessene Cybersicherheitsschulung erhalten und die Umsetzung der Zwei-Faktor-Authentifizierung und praktischer Identitätsmanagementpraktiken bewerten. Darüber hinaus müssen Richtlinien und Systeme vorhanden sein, um Schwachstellen schnell zu erkennen und zu entschärfen und Verstöße umgehend zu beheben.
Mit der rasanten Entwicklung der Technologie steigen auch die damit verbundenen Risiken. Die Innenrevision muss ihre Praktiken anpassen und technologische Fortschritte wie KI, Datenanalyse und maschinelles Lernen nutzen, um proaktiv potenzielle Schwachstellen zu erkennen und neue Bedrohungen vorherzusagen. Interne Revisionsteams, die in der Lage sind, künftige Risiken vorherzusehen, können dem Management wertvolle Hinweise geben und das Unternehmen optimal auf unvermeidliche Cyberangriffe vorbereiten. Wenn Sie weitere Informationen zur Implementierung von Cybersicherheitsprotokollen in Ihrem Unternehmen wünschen, klicken Sie hier.