Рікардо Гамерофф

Партнер, Kreston BA Argentina, Аргентина

Рікардо – експерт з питань шахрайства, аудиту та ризиків, понад двадцять років працював у компанії Ernst & Young (EY), де обіймав посаду партнера з аудиту та криміналістики в Канаді, Чилі та Аргентині. Він керував великими клієнтами у сфері комунальних послуг, роздрібної торгівлі, виробництва та гірничодобувної промисловості, включаючи Coca-Cola, McDonald’s, Siemens, Fluor Daniels та інші. Рікардо є сертифікованим бухгалтером (CPA) у США, Чилі та Аргентині, сертифікованим експертом з питань шахрайства (CFE), а також має ступінь MBA. Він також є професором Університету Анд і автором публікацій про професійне шахрайство.

Внутрішній аудит в епоху кіберзагроз

June 10, 2024

Рікардо Гамерофф, керуючий партнер Kreston BA в Аргентині та директор з розвитку глобального аудиторського бізнесу в Kreston Global, підкреслює вирішальну роль внутрішнього аудиту в боротьбі з кіберзагрозами. У його статті в журналі Audit & Risk, виданні Chartered IIA, обговорюється, як еволюція практики внутрішнього аудиту підвищує стійкість до таких загроз, як програми-вимагачі, фішинг, BEC-атаки та імітація брендів, завдяки ретельній оцінці ризиків та проактивному моніторингу. Натисніть тут, щоб отримати доступ до повного тексту публікації, або прочитайте її короткий зміст нижче.

Внутрішній аудит як інструмент захисту

Внутрішній аудит завжди відігравав ключову роль у зменшенні кіберризиків та захисті активів організації. Більше того, нещодавні досягнення в процесах аудиту розширили його можливості за межі традиційних методів. Тепер команди внутрішнього аудиту можуть використовувати інноваційні технології для швидкої адаптації до нових кіберзагроз.

Основні рекомендації для підрозділів внутрішнього аудиту:

Безперервний моніторинг: Використовуйте автоматизовані інструменти та аналітику для моніторингу мережевої активності, виявлення аномалій та виявлення потенційних порушень безпеки в режимі реального часу.

Вдосконалюйте навички кібербезпеки: Інвестуйте в постійне навчання та професійний розвиток, щоб бути в курсі нових загроз і передових практик.

Інтегруйте аналітику даних: Використовуйте аналітику даних для покращення оцінки ризиків та виявлення підозрілих дій, аналізуючи великі масиви даних на предмет закономірностей та аномалій.

Співпрацюйте з ІТ-відділами та службами безпеки: Тісно співпрацюйте з ІТ-відділами та відділами безпеки, щоб зрозуміти ІТ-інфраструктуру та вразливості організації, адаптуючи аудиторські процедури до профілю ризику.

Етичний штучний інтелект

Глибоке розуміння етики та міцна корпоративна культура мають вирішальне значення для захисту організацій від кіберзагроз. Крім того, внутрішній аудит може допомогти керівництву контролювати та підтримувати організаційну культуру. Отже, це гарантує, що всі співробітники розуміють очікувану поведінку щодо кібербезпеки та етики. Це сприяє прийняттю правильних рішень і посилює управління та контроль.

З ростом ролі штучного інтелекту у прийнятті рішень та автоматизації, забезпечення прозорості, підзвітності та неупередженості систем є надзвичайно важливим. Крім того, внутрішні аудитори можуть допомогти у впровадженні етичних практик ШІ, перевіряючи алгоритми ШІ та забезпечуючи дотримання нормативних вимог. Раннє залучення до ініціатив зі штучного інтелекту дозволяє аудиторам консультувати щодо ризиків і пропонувати рішення.

Компоненти кібернетичної готовності

Підготовка є ключовим фактором у боротьбі з кіберзагрозами. Забезпечення кіберготовності підприємства включає в себе управління, стратегію, реагування на інциденти та навчання співробітників.

Управління та стратегія: Внутрішній аудит повинен підтримувати та консультувати щодо ефективного управління кібербезпекою, допомагаючи розробити чіткі політики, процедури та структури підзвітності. Визначення ролей, обов’язків і стратегічних завдань, узгоджених з бізнес-цілями, має вирішальне значення.

Оцінка ризиків: Регулярна оцінка ризиків допомагає виявити та визначити пріоритетність кіберризиків, що дозволяє ефективно розподіляти ресурси та розробляти цільові стратегії їх зменшення.

Реагування на інциденти: Організаціям потрібен офіційний план реагування на інциденти з визначеними командами та регулярними тренуваннями. Проактивні заходи, такі як моніторинг розвідданих про загрози та системи виявлення інцидентів, мають важливе значення для швидкого та ефективного реагування.

Навчання співробітників: Навчання працівників щодо кіберзагроз та найкращих практик є життєво важливим, оскільки людські помилки залишаються поширеною причиною інцидентів. Регулярні тренінги з фішингу, безпеки паролів, безпечного користування Інтернетом та кампанії з підвищення обізнаності про безпеку сприяють формуванню культури пильності.

Внутрішній аудит запобігає інцидентам

Важко знайти приклади того, як внутрішні аудити запобігають інцидентам кібербезпеки, оскільки “промахи” не афішуються. Однак успішні кібератаки часто демонструють, як ефективні аудиторські практики можуть пом’якшити або запобігти порушенням.

В автомобільній галузі витік даних компанії Tesla у 2023 році зачепив понад 75 000 осіб через “інсайдерську роботу” двох колишніх співробітників. Цей інцидент підкреслює важливість всебічного навчання співробітників, суворого контролю доступу, регулярних аудитів та політики викривачів для виявлення несанкціонованого доступу та ризикованої поведінки.

У секторі фінансових послуг витік даних Equifax у березні 2017 року, який торкнувся майже 150 мільйонів людей, став результатом використання зловмисниками вразливостей ІТ-систем. Крім того, хоча зовнішні атаки складно запобігти, команди внутрішнього аудиту, які зосереджуються на надійних заходах кібербезпеки, практиках управління даними та внутрішньому контролі, можуть допомогти швидко виявити порушення та забезпечити швидке пом’якшення наслідків і сповіщення про них.

Mailchimp, постачальник послуг електронного маркетингу, зіткнувся з численними витоками даних через атаки соціальної інженерії на своїх співробітників, що призвело до компрометації облікових записів користувачів і витоку даних клієнтів. Внутрішній аудит повинен гарантувати, що працівники отримують належну підготовку з кібербезпеки, а також оцінювати впровадження двофакторної автентифікації та практичних методів управління ідентифікаційними даними. Крім того, мають бути впроваджені політики та системи для швидкого виявлення та зменшення вразливостей, а також оперативного усунення порушень.

Оскільки технології швидко розвиваються, зростають і пов’язані з ними ризики. Внутрішній аудит повинен адаптувати свої практики та використовувати технологічні досягнення, такі як штучний інтелект, аналіз даних та машинне навчання, щоб проактивно виявляти потенційні вразливості та прогнозувати нові загрози. Команди внутрішнього аудиту, здатні передбачити майбутні ризики, можуть надати керівництву цінні рекомендації, оптимально позиціонуючи організацію для реагування на неминучі кібератаки. Щоб дізнатися більше про впровадження протоколів кібербезпеки у вашому бізнесі, натисніть тут.

Схожі статті

Насувається боргова криза 2025 року в Аргентині: Чи зможе бюджет Мілея з нульовим дефіцитом її уникнути?

У 2025 році Аргентина зіткнеться зі значним борговим викликом: понад 14 мільярдів доларів до погашення та від’ємні резерви. Дізнайтеся, як фіскальна стратегія уряду, міжнародна підтримка та проінвестиційна політика спрямовані на запобігання дефолту та забезпечення економічної стабільності.

Інвестиції в Аргентину: наступна золота лихоманка для іноземних інвесторів?

Інвестиції в Аргентину можуть бути ближчими, ніж ви думаєте. Проте прямі іноземні інвестиції зросли на 122,5% у 2022 році, дізнайтеся чому разом з Рікардо Гамероффом.

Знання