چک لیست ممیزی انطباق و سازگاری

چک لیست IT برای ممیزی انطباق و سازگاری

Compliance audite به طور کلی شامل فرایندهایی برای بازبینی گسترده جهت تعیین میزان پایبندی شرکت‌ها و سازمان‌ها به تعهدات مربوط به دستورالعمل‌های نظارتی می‌باشد.
تفاوت‌ در ماهیت ممیزی سازمان‌ها مربوط به نوع کسب و کار و داده‌هایی است که سازمان‌ها آن‌ها را ذخیره یا ارسال می‌کنند. برای مثال شرکت‌های ارائه دهنده سرویس‌های حوزه سلامت محور مشمول قوانین HIPAA/HITECH می‌شوند این در حالی است که بخش‌های خدمات مالی باید مطابق با استانداردهای PCI DSS فرایندهای خود را طراحی کنند.
در فرآیند ممیزی انطباق و سازگاری کسب و کارهای IT، ناظران و ممیزی‌کنندگان بیشتر اقدامات مربوط به مدیریت ریسک و سیاست‌های امنیتی سازمان را برای تعیین صحت و میزان قدرت اقدامات انطباقی انجام شده توسط آن سازمان مورد بررسی قرار می‌دهند.

اهمیت آمادگی برای ممیزی انطباق و سازگاری

موضوع عدم انجام ممیزی انطباق و سازگاری، نشانگر نقض امنیتی در سیستم‌های IT است. این موضوع بایستی به عنوان یک اصل مهم امنیتی توسط هر سازمانی مدنظر قرار داده شود. عدم انجام ممیزی می‌تواند برای هر سازمانی گران تمام شود و حتی به تعطیلی کسب و کار سازمان انجامد .

آسیب پذیری‌ها: ضعف زیرساخت‌های امنیتی، پروتکل‌ها و فرآیندها، شبکه شما را در برابر انواع حملات ازجمله بدافزارها، باج افزارها و بات نت‌ها آسیب پدیز می‌کند.

جریمه‌های سنگین حقوقی: سال 2015 به دلیل افشای اطلاعات کاربران یک شرکت ارایه دهنده سرویس‌‌های حوزه سلامت، جریمه 115 میلیون دلاری در نظر گرفته شد. همچنین شرکت Uber نیز با دادخواستی از ایالت‌های مختلف آمریکا در مورد افشای اطلاعات کاربرانش روبه رو می‌باشد. برندهای بزرگ ممکن است بتوانند در برابر پیامدهای قانونی و مالی یک حمله سایبری مقاومت کنند، اما سوال اینجاست که آیا همه کسب و کارها قادر به انجام چنین کاری می‌باشند؟

آسیب به شهرت: این یک اصل اثبات شده است که اگر سیستم‌های شما به طور کامل برای حفاظت از اطلاعات کاربران‌ قابل اعتماد نباشند، بزودی شما اعتماد کاربران خود را از دست خواهید داد. از دست دادن اعتماد می‌تواند منجر به از دست رفتن کسب و کار و آسیب شدید به شهرت برند شما شود. باید توجه کرد که بازسازی مجدد یک برند می‌تواند زمان بر و هزینه بر باشد.

اما سوال اصلی ومهم برای انجام ممیزی این است که وقتی ممیزی کننده در مورد آمادگی‌تان برای انجام ممیزی می‌پرسد آیا می‌دانید که انجام ممیزی چه زمینه‌هایی را تحت پوشش قرار خواهد داد و چه سؤالاتی مطرح خواهند شد؟

مروری بر چارچوب‌های نظارتی و انطباق سنجی

چهارچوب‌های ممیزی و انطباق شامل بهترین روش‌ها و دستورالعمل‌هایی است که سازمان‌ها برای پیروی از قوانین نظارتی، تقویت امنیت شبکه ، بهبود فرایندها و دستیابی به اهداف کسب و کار خود پیروی می‌کنند، می‌باشد.

این روش‌ها و دستورالعمل‌ها توسط حساب‌رسان خارجی و داخلی و اشخاص ثالث (مثلاً سرمایه گذاران و مشتریان بالقوه) برای ارزیابی فرایندهای امنیتی یک سازمان استفاده می شوند.

مثال‌هایی از چهارچوب‌های نظارتی:

  • (Sarbanes-Oxley (SOX: برای شرکت‌های تجاری عمومی و شرکت‌هایی که برنامه ریزی برای ارتباط با عموم را دارند، استفاده می‌شود.
  • PCI DSS: برای اشخاص و شرکت‌های خدمات مالی که داده‌های کارت‌های اعتباری را پردازش می کنند، کاربرد دارد.
  • HIPAA/HITECH: این چهارچوب برای بیمارستان‌ها، ارائه دهندگان خدمات بیمه و سایر سازمان‌هایی که اطلاعات مربوط به سلامت شخصی افراد را جمع آوری می کنند (PHI)، می‌باشد.
  • ISO: این چهارچوب برای شرکت‌هایی مناسب است که هدف آنها بهبود کنترل‌های امنیتی و مدیریت کیفیت می‌باشد.
  • Privacy Shield: برای سازمان‌هایی استفاده می‌شود که داده‌ها را بین ایالات متحده و اتحادیه اروپا جمع آوری و پردازش می کنند.
  • NIST: این چهارچوب برای سازمان‌های دولتی، شرکت‌های بزرگ، و هر سازمانی که به دنبال کاهش و به حداقل رساندن مخاطرات امنیتی هستند، می‌باشد.

انتخاب بهترین چهارچوب امنیتی و انطباق برای یک سازمان وابسته به نوع کسب و کار آن سازمان می‌باشد. همچنین این را در نظر داشته باشید که سازمان شما فقط محدود به استفاده از یک فریم ورک نمی‌باشد بلکه می‌تواند از ترکیبی از فریم ورک‌های معرفی شده در بالا استفاده نماید.

به طور کلی نقش اصلی اقدامات مربط به یک فریم ورک ممیزی پیدا کردن معیارهایی است که سیستم‌های امنیتی سازمان فاقد آنها می‌باشد. این اقدامات شامل موارد زیر می‌باشد:

  • Data security
  • Access control
  • Security awareness
  • Communications security
  • Asset management
  • Data backups
  • Disaster recovery
  • Business continuity planning
  • And more

نکات اصلی در مورد انجام ممیزی و برنامه‌ریزی برای انطباق

ارنست و یانگ لیست کاملی از ملاحظات اصلی در امنیت فناوری اطلاعات که در هنگام انجام ارزیابی ریسک مربوط به سیستم‌های امنیتی IT و برنامه‌ریزی برای ممیزی بایستی مورد توجه قرار گیرد را ارایه کرده‌اند. این لیست شامل موارد زیر می‌باشد:

امنیت اطلاعات

  • آیا استراتژی‌های موجود برای امنیت اطلاعات، جامع و کامل می‌باشند؟ آیا این استراتژی‌ها شامل ارزیابی آسیب پذیری‌ها، آموزش و آگاه سازی افراد، نظارت، مدل سازی برای پیش بینی حوادث، تشخیص و پاسخ و کنترل گزارشات نیز می‌باشند؟
  • آیا امنیت اطلاعات، تنها مسئولیت فناوری اطلاعات است؟ یا یک مسئولیت همه‌گیر و سازمانی است؟
  • آیا مکانیزم‌هایی وجود دارند که به طور مناسب مشکلات شناخته شده و تهدیدهای شناسایی شده را برطرف کنند؟ آیا آنها مؤثر هستند؟
  • حداقل زمان پاسخ سازمان به یک حمله یا تهدید چقدر می‌باشد؟

داشتن مدیریت برای تداوم و استمرار کسب‌و‌کار

  • آیا طرح مربوط به تداوم کسب‌و‌کار شما از جامعیت کامل برخوردار است؟ آیا روش‌های تعریف شده، فرآیندهای اساسی تداوم کسب‌و‌کار مانند تحلیل اثرات تجاری، ارزیابی فروشنده، مدیریت تغییرات، آزمایش و نگهداری را پوشش می‌دهد؟
  • در صورت بروز اختلال یا فاجعه، در چه مدت زمانی می‌توان عملکردهای عادی تجارت را از سر گرفت؟
  • آیا برنامه مدیریت بحران جامعی برای کسب‌و‌کار دارید؟ آیا کارمندان و سایر ذینفعان این طرح را درک می‌کنند؟

تجهیزات قابل حمل (Mobile)

  • آیا راهکارهای مناسبی برای تجهیزات همراه شامل شناسایی ریسک و آسیب پذیری‌ها، پیکربندی تنظیمات، مکانیزم‌های تشخیص و جلوگیری ازحملات و مدیریت دستگاه‌های سرقت شده یا گمشده به کار رفته است؟
  • اگر یک حمله رخ دهد آیا شما باخبر خواهید شد؟ اگر چنین است، چگونه به آن پاسخ خواهید داد؟

ابر (Cloud)

  • آیا سیاست‌هایی برای استفاده از ابر وجود دارد؟ آیا این سیاست‌ها با سایر سیاست‌های سازمانی مانند قوانین تهیه شده، حقوقی و سیاست‌های فناوری اطلاعات مطابقت دارند؟
  • آیا انتقال خدمات به ابر معنی دارد؟ آیا پیامدهای تجاری استفاده از ابر مورد ارزیابی قرار گرفته است؟
  • آیا مکانیزم‌هایی برای احراز هویت کاربران و پروتکل‌هایی برای کنترل دسترسی وجود دارد؟

مدیریت ریسک

  • چقدر فناوری اطلاعات می‌تواند ریسک‌های موجود را شناسایی، ارزیابی، مدیریت، پذیرش و اصلاح کند؟
  • روندها و فرآیندهای ارزیابی ریسک IT چقدر موثر است؟
  • آیا فرایندهای مدیریتی رسمی و مستند برای تصمیم گیری در مورد مصوبات پروژه، تخصیص سرمایه و سایر موارد وجود دارد؟
  • آیا سازمان شما در صورت وجود از مانیتورینگ‌های ارائه شده توسط نرم افزارهای موجود GRC (حاکمیت ، ریسک و انطباق) استفاده می کند؟

برنامه ریسک

  • آیا سازمان شما نقاطی را که برای اجرای پروژه‌ها و برنامه‌ها از جمله شرکای تجاری، مهاجرت داده‌ها و تغییر در تجارت که خطرات قابل توجهی ایجاد می کند را مشخص کرده است؟
  • خطرات برنامه‌ها و پروژه‌ها چگونه ارزیابی می‌شود؟
  • آیا پروتکل‌های برنامه به درستی دنبال می‌شوند؟
  • هنگامی که اهداف کسب‌و‌کار تغییر می‌کند، لیست و موارد مربوط به برنامه چگونه مدیریت می‌شود؟

مدیریت دارایی‌ها (Software/IT)

  • آیا سازمان شما روش جامعی برای مدیریت دارایی‌‌ها و نرم افزارهای فناوری اطلاعات دارد؟
  • آیا از ابزارهای مدیریت دارایی استفاده می‌کنید؟ اگر نه، چرا؟
  • آیا نقاطی وجود دارد که بتوان هزینه لایسنس نرم‌افزار را کاهش داد؟ آیا می‌توان در مورد قراردادهای لایسنس نرم‌افزار مجدداً مذاکره کرد؟

مدیریت ریسک رسانه‌های اجتماعی

  • شرکت و کارمندان شما تا چه اندازه‌ای خطرات رسانه‌های اجتماعی را درک می‌کنند؟
  • وقتی خطرات شناسایی می‌شوند، آیا شما می‌توانید به طور مؤثر با آنها مقابله کنید؟
  • آیا فرایندی برای استفاده از رسانه‌های اجتماعی در سازمان وجود دارد؟ آیا کارمندان شما دستورالعمل‌ها را می‌دانند؟
  • آیا انجام اقدامات اصلاحی برای فعالیت‌های موجود در رسانه‌های اجتماعی ضروری است؟ این فعالیت‌ها چگونه بر برند و شهرت تأثیر می‌گذارد؟

احراز هویت و مدیریت دسترسی‌ها

  • آیا پروتکل‌های مبتنی بر نقش یا SoD (تفکیک وظایف) وجود دارد؟ آیا این پروتکل‌ها می‌توانند از خطا و کلاهبرداری جلوگیری کنند یا آنها را تشخیص دهند؟
  • آیا کارمندان سازمان سمت، مجوزهای دسترسی و همچنین مسئولیت‌های مرتبط با خود را به خوبی درک می‌کنند؟

پیشگیری از دست دادن داده‌ها و حفظ حریم خصوصی

  • سازمان شما چه نوع داده‌های حساسی را جمع آوری و ذخیره می‌کند؟ این داده‌ها کجا ذخیره می‌شوند؟ آیا برای ذخیره این داده‌ها از فضای داخلی استفاده شده یا برای ذخیره سازی آنها از خدمات ذخیره سازی بیرونی استفاده می‌شود؟
  • در چه نواحی آسیب پذیر هستید؟ آیا کنترل‌هایی برای مدیریت و پوشش این ضعف‌ها وجود دارد؟
  • درک شرکت شما از مقررات حریم خصوصی مربوط به صنعتش چگونه است؟ آیا کاربران نهایی برای اطمینان از انطباق، رویه‌های تعریف شده را دنبال می کنند؟

آمادگی IT برای ممیزی انطباق

این درست است که نمی توان به اندازه کافی تأکید کرد که امنیت فناوری اطلاعات یک فرایند در حال انجام است و انطباق نباید هدف نهایی باشد. درعوض با انجام شدن این کار فقط باید به عنوان اولین قدم برای محافظت موثر از کسب و کار خود در گستره فناوری اطلاعات، جایی که تهدیدات دائما در حال تحول هستند، رفتار کرد.