شريط الأخبار

أمن المعلومات يساعد على التغيير التنظيمي الجيد

إن متطلبات اللوائح الجديدة ، بما في ذلك قانون Sarbanes-Oxley ، و Gramm-Leach-Bliley ، و Patriot Act ، وقوانين الكشف عن الانتهاكات الأمنية ، تجبر البنوك على تنفيذ تدابير صارمة لأمن المعلومات. إن مراجعة تكنولوجيا المعلومات – التي كانت ذات يوم عنصرًا رصينًا إلى حد ما في ممارسة شركة تدقيق الحسابات – قد تحولت إلى عصابات مع انفجار التشريعات والدعاية المحيطة بحوادث القرصنة وفقدان بيانات العملاء.
يجب أن تكون البنوك اليوم مستعدة للخضوع لعمليات تدقيق من أعلى إلى أسفل تهدف إلى إيجاد ثغرات في هياكل أمن المعلومات الخاصة بها ، ثم البدء في معالجة أوجه القصور. أين يجب أن ينظروا؟
قبل أن يتمكن البنك من تفسير نتائج التدقيق والتصرف بناءً عليها ، يجب أن يفهم نطاق التدقيق. وفقًا لجمعية نظم المعلومات والتحكم ، يتم تقسيم تدقيق الأمان إلى سبع فئات: فهم الأنظمة ، وإدارة الأمن ، وإدارة الأمن ، وتكوين النظام ، وضوابط الوصول ، وحماية الملفات والدليل ، وإعداد التقارير والتدقيق.
ضمن كل فئة توجد فئات فرعية تحدد الأهداف والخطوات المطلوبة من قبل الإدارة. تحت إدارة الأمن ، على سبيل المثال ، هناك ثلاث فئات فرعية: الأدوار والمسؤوليات ، والتوظيف ، وإجراءات إدارة الأمن. ضمن إجراءات إدارة الأمن ، تتضمن الخطوات تحديد ما إذا كانت الإجراءات الموثقة موجودة ومحدثة ، وتقييم استخدام أدوات الطرف الثالث لإكمال أنشطة إدارة الأمن.
مع وجود العديد من المتطلبات التفصيلية ، فلا عجب أن البنوك تواجه صعوبة في مواكبة ذلك. وفقًا لدراسة أجريت على 216 مؤسسة في مجال تكنولوجيا المعلومات أجراها مجلس الامتثال الأمني ​​، فإن الضوابط والإجراءات الأمنية الثلاثة الأكثر ضعفًا هي ضوابط وصول المستخدم والتطبيق ، وإدارة التكوين والتغيير ، والسياسات والمعايير الأمنية. بشكل عام ، يتم قياس أوجه القصور هذه من قبل مؤسسات تكنولوجيا المعلومات. ومع ذلك ، هناك ثلاث مجالات ذات مستويات عالية من أوجه القصور (تصنيف الأصول ، وتطوير التطبيقات وصيانتها ، وأرشفة البيانات وإدارتها) تتعرض للتقويض ، في حين يتم قياس مجالين بمستويات منخفضة من أوجه القصور (ضوابط الوصول إلى المعلومات ، وإدارة الشبكة والعمليات). هذا يؤدي إلى سوء تخصيص الموارد.

كرد فعل ، 75٪ من مؤسسات تكنولوجيا المعلومات التي شملها الاستطلاع من قبل مجلس الامتثال الأمني ​​تتخذ خطوات لإعادة تخصيص موارد تكنولوجيا المعلومات ، بما في ذلك أتمتة إجراءات الامتثال والضوابط ، واستخدام الحلول التقنية لأتمتة الضوابط والإجراءات ، وزيادة الموظفين المخصصين للامتثال الأمني.
أدى ظهور تدقيق أكثر صرامة إلى تغييرات تنظيمية كبيرة: 73٪ من الشركات التي شملها الاستطلاع تعيد تنظيم أمن تكنولوجيا المعلومات ووظائف الضوابط الداخلية (31٪ تدمج أمن تكنولوجيا المعلومات والضوابط الداخلية في وظيفة إدارة المخاطر ؛ 22٪ تدمج أمن تكنولوجيا المعلومات في وظيفة الضوابط الداخلية ، ويقوم 20٪ بدمج الضوابط الداخلية في وظيفة أمن تكنولوجيا المعلومات).
بالإضافة إلى أوجه القصور الثلاثة الرئيسية المذكورة أعلاه ، ظهر مستوى ثان من أوجه القصور من نتائج التدقيق: ضوابط الوصول إلى قاعدة البيانات ، والتدقيق وإعداد التقارير ، وتصنيف الأصول ، وضوابط الوصول إلى المعلومات ، وإدارة استمرارية الأعمال. كما ظهر مستوى ثالث من أوجه القصور: تطوير التطبيقات وصيانتها ، وأرشفة البيانات وإدارتها ، وإدارة الشبكات والعمليات ، وأمن الموظفين ، والبريد الإلكتروني ، وضوابط الوصول إلى الويب والإنترنت ، والأمن المادي والبيئي.
لحسن الحظ ، لا يتعين على مؤسسات تكنولوجيا المعلومات التلمس في الظلام بشأن معالجة نتائج تدقيق الأمان. تم تقنين معيار دولي جديد ، ISO 27001 ، لمساعدة المؤسسات على تنفيذ نظام فعال لإدارة أمن المعلومات. نشر معهد المدققين الداخليين توصيات لتحديد مستوى نضج مؤسسة تكنولوجيا المعلومات في اعتماد ISO 27001. وقد تمت صياغة التوصيات على شكل سلسلة من الأسئلة للمدققين للتحقيق فيها.
وهذه هي:
• هل توجد وثيقة تحدد نطاق الامتثال؟ تسرد “وثيقة النطاق” جميع عمليات الأعمال والمرافق والتقنيات داخل المنظمة.
• هل العمليات التجارية وتدفق المعلومات محددة وموثقة بشكل واضح؟
• هل توجد قائمة بالمعلومات؟ هل هو الحالي؟ تشمل أصول المعلومات عادةً البرامج والأجهزة والوثائق والتقارير وقواعد البيانات والتطبيقات ومالكي التطبيقات. يجب تحديث القائمة بانتظام.
• كيف يتم تصنيف أصول المعلومات؟ يجب تصنيف أصول المعلومات على أساس الأهمية بالنسبة للمنظمة ومستوى التأثير.
• هل توجد سياسة أمنية عالية المستوى؟ يجب أن تنقل السياسة التزام الإدارة بحماية المعلومات ، ويجب أيضًا تحديد مخاطر الأمان وكيف ستتم إدارتها؟
• هل نفذت المنظمة عملية تقييم المخاطر؟
• هل قائمة الضوابط متاحة؟ يجب تعيين عناصر التحكم المحددة إلى الملحق أ من معيار ISO 27001 ، والذي يحدد 133 عنصر تحكم مقسمة إلى 11 مجالًا.
• هل الإجراءات الأمنية موثقة ومطبقة؟
• هل هناك عملية لإدارة استمرارية الأعمال في مكانها الصحيح؟
â € هل نفذت الشركة برنامج توعية أمنية؟
• هل تم إجراء تدقيق داخلي؟
• هل تم إجراء تحليل للفجوات؟ يربط تحليل الثغرات الضوابط المناسبة بوحدة الأعمال ذات الصلة.
• هل تم تحديد الإجراءات التصحيحية والوقائية وتنفيذها؟ يجب معالجة الثغرات المحددة في التدقيق الداخلي واتخاذ الإجراءات التصحيحية.
• هل توجد آليات لقياس فعالية الرقابة؟
• هل هناك مراجعة إدارية لتقييم المخاطر وخطط علاج المخاطر؟ يجب مراجعة تقييمات المخاطر وخطط معالجة المخاطر سنويًا على الأقل.

التعليقات مغلقة.

Developed By: HishamDalal@gmail.com