知識

リカルド・ガメロフ
クレストンBAアルゼンチン・パートナー(アルゼンチン

Join リカルド・ガメロフ on LinkedIn

リカルドは、アーンスト・アンド・ヤング(EY)に20年以上勤務し、カナダ、チリ、アルゼンチンで監査・フォレンジック・パートナーを務めた不正、監査、リスクの専門家である。 コカ・コーラ、マクドナルド、シーメンス、フルール・ダニエルズなど、公益事業、小売、製造、鉱業部門の主要クライアントを率いた。 リカルドは米国、チリ、アルゼンチンの公認会計士(CPA)、公認不正検査士(CFE)、MBAの資格を持つ。 アンデス大学の教授でもあり、職業詐欺に関する著書もある。

サイバー脅威時代の内部監査

June 10, 2024

Kreston BA Argentinaのマネージング・パートナーであり、Kreston Globalのグローバル監査事業開発ディレクターであるリカルド・ガメロフは、サイバー脅威との戦いにおける内部監査の重要な役割を強調している。 CharteredIIAが発行する『Audit & Risk』誌に掲載された彼の記事では、綿密なリスクアセスメントとプロアクティブなモニタリングを通じて、ランサムウェア、フィッシング、BEC攻撃、ブランド偽装などの脅威に対するレジリエンスを強化する内部監査手法の進化について論じている。出版物全文にアクセスするにはここをクリックするか、以下の要約をお読みください。

防衛手段としての内部監査

内部監査は、サイバーリスクを軽減し、組織の資産を保護する上で、常に重要な役割を果たしてきた。 さらに、最近の監査プロセスの進歩は、従来の方法を超えてその能力を拡大している。 今や内部監査チームは、革新的なテクノロジーを活用して、進化するサイバー脅威に迅速に対応することができる。

内部監査チームへの主な提言

  • 継続的なモニタリング:自動化ツールと分析を使用して、ネットワーク・アクティビティを監視し、異常を検出して、潜在的なセキュリティ侵害をリアルタイムで特定します。
  • サイバーセキュリティのスキルを高める:新たな脅威やベストプラクティスに対応するため、継続的なトレーニングや専門能力開発に投資する。
  • データ分析の統合データ分析を使用してリスク評価を改善し、大規模なデータセットを分析してパターンや異常を検出することで、疑わしい活動を検出します。
  • ITおよびセキュリティチームと協力する:IT部門やセキュリティ部門と緊密に連携し、組織のITインフラや脆弱性を理解し、リスクプロファイルに合わせた監査手順を設定する。

倫理的人工知能

サイバー脅威から組織を守るためには、倫理観への強い理解と強固な企業文化が不可欠である。 さらに、内部監査は、経営陣が組織文化を監視し、支援するのに役立つ。 その結果、全従業員がサイバーセキュリティと倫理に関して期待される行動を理解するようになる。 これにより、適切な意思決定が促進され、ガバナンスと統制が強化される。

意思決定や自動化におけるAIの台頭により、透明性、説明責任、偏りのないシステムの確保が不可欠となっている。 さらに、内部監査員は、AIアルゴリズムを監査し、規制遵守を確保することで、倫理的なAIの実践を支援することができる。 AIの取り組みに早期に関与することで、監査人はリスクについて助言し、解決策を提案することができる。

コンポーネントのサイバー対策

サイバー脅威に対抗するには準備が重要だ。 企業のサイバー対策を確立するには、ガバナンス、戦略、インシデント対応、従業員教育が必要である。

  • ガバナンスと戦略内部監査は、効果的なサイバーセキュリティ管理を支援・助言し、明確な方針、手順、責任体制の確立を支援すべきである。 ビジネス目標に沿った役割、責任、戦略的目標を明確にすることが重要である。
  • リスク評価:定期的なリスク評価は、サイバーリスクの特定と優先順位付けに役立ち、効率的なリソース配分と的を絞った緩和戦略を可能にする。
  • インシデント対応:組織には、指定チームと定期的な訓練演習を伴う正式なインシデント対応計画が必要である。 迅速かつ効果的な対応には、脅威インテリジェンスのモニタリングやインシデント検知システムのようなプロアクティブな対策が不可欠である。
  • 従業員トレーニング:インシデントの一般的な原因は依然としてヒューマンエラーであるため、サイバー脅威とベストプラクティスに関する従業員教育が不可欠である。 フィッシング、パスワード・セキュリティ、安全なインターネットの使用法、セキュリティ意識向上キャンペーンに関する定期的なトレーニングは、用心する文化を育む。

インシデントを防ぐ内部監査

ヒヤリ・ハット」は公表されないため、内部監査がサイバー・セキュリティ・インシデントを防いだ例を見つけるのは難しい。 しかし、サイバー攻撃の成功は、効果的な監査実務がいかに侵害を軽減または防止できるかを浮き彫りにすることが多い。

自動車業界では、2023年に起きたテスラの データ流出事件が、2人の元従業員による「内部犯行」によって7万5000人以上に影響を与えた。 この事件は、不正アクセスや危険な行動を発見するための包括的な従業員研修、厳格なアクセス管理、定期的な監査、内部告発ポリシーの重要性を強調している。

金融サービス分野では、2017年3月に約1億5,000万人に影響を与えたEquifaxのデータ漏洩は、ITシステムの脆弱性を悪用した攻撃者によるものだった。 さらに、外部からの攻撃を防ぐのは複雑だが、強固なサイバーセキュリティ対策、データ管理の実践、内部統制に重点を置く内部監査チームは、侵害を迅速に検出し、迅速な被害軽減と通知を確保するのに役立つ。

Eメール・マーケティング・サービスを提供するMailchimp社は、従業員に対するソーシャル・エンジニアリング攻撃により、ユーザー・アカウントの漏洩や顧客データの流出など、数多くのデータ漏洩に直面している。 内部監査は、従業員が適切なサイバー・セキュリティ・トレーニングを受けていることを確認し、2 要素認証と実践的な ID 管理の実施状況を評価する必要がある。 さらに、脆弱性を迅速に検出して緩和し、侵害に迅速に対処するためのポリシーとシステムが整備されていなければならない。

テクノロジーが急速に進化するにつれて、それに伴うリスクも大きくなる。 内部監査は、潜在的な脆弱性をプロアクティブに識別し、新たな脅威を予測するために、その慣行を適応させ、AI、データ分析、機械学習などの技術の進歩を活用しなければならない。 将来のリスクを予見できる内部監査チームは、経営陣に貴重なガイダンスを提供し、不可避のサイバー攻撃に対応するために組織を最適な状態に置くことができる。 ビジネスへのサイバー・セキュリティ・プロトコルの導入に関する詳細は、こちらをクリックしてください。