چک لیست ممیزی انطباق و سازگاری
چک لیست IT برای ممیزی انطباق و سازگاری
Compliance audite به طور کلی شامل فرایندهایی برای بازبینی گسترده جهت تعیین میزان پایبندی شرکتها و سازمانها به تعهدات مربوط به دستورالعملهای نظارتی میباشد.
تفاوت در ماهیت ممیزی سازمانها مربوط به نوع کسب و کار و دادههایی است که سازمانها آنها را ذخیره یا ارسال میکنند. برای مثال شرکتهای ارائه دهنده سرویسهای حوزه سلامت محور مشمول قوانین HIPAA/HITECH میشوند این در حالی است که بخشهای خدمات مالی باید مطابق با استانداردهای PCI DSS فرایندهای خود را طراحی کنند.
در فرآیند ممیزی انطباق و سازگاری کسب و کارهای IT، ناظران و ممیزیکنندگان بیشتر اقدامات مربوط به مدیریت ریسک و سیاستهای امنیتی سازمان را برای تعیین صحت و میزان قدرت اقدامات انطباقی انجام شده توسط آن سازمان مورد بررسی قرار میدهند.
اهمیت آمادگی برای ممیزی انطباق و سازگاری
موضوع عدم انجام ممیزی انطباق و سازگاری، نشانگر نقض امنیتی در سیستمهای IT است. این موضوع بایستی به عنوان یک اصل مهم امنیتی توسط هر سازمانی مدنظر قرار داده شود. عدم انجام ممیزی میتواند برای هر سازمانی گران تمام شود و حتی به تعطیلی کسب و کار سازمان انجامد .
آسیب پذیریها: ضعف زیرساختهای امنیتی، پروتکلها و فرآیندها، شبکه شما را در برابر انواع حملات ازجمله بدافزارها، باج افزارها و بات نتها آسیب پدیز میکند.
جریمههای سنگین حقوقی: سال 2015 به دلیل افشای اطلاعات کاربران یک شرکت ارایه دهنده سرویسهای حوزه سلامت، جریمه 115 میلیون دلاری در نظر گرفته شد. همچنین شرکت Uber نیز با دادخواستی از ایالتهای مختلف آمریکا در مورد افشای اطلاعات کاربرانش روبه رو میباشد. برندهای بزرگ ممکن است بتوانند در برابر پیامدهای قانونی و مالی یک حمله سایبری مقاومت کنند، اما سوال اینجاست که آیا همه کسب و کارها قادر به انجام چنین کاری میباشند؟
آسیب به شهرت: این یک اصل اثبات شده است که اگر سیستمهای شما به طور کامل برای حفاظت از اطلاعات کاربران قابل اعتماد نباشند، بزودی شما اعتماد کاربران خود را از دست خواهید داد. از دست دادن اعتماد میتواند منجر به از دست رفتن کسب و کار و آسیب شدید به شهرت برند شما شود. باید توجه کرد که بازسازی مجدد یک برند میتواند زمان بر و هزینه بر باشد.
اما سوال اصلی ومهم برای انجام ممیزی این است که وقتی ممیزی کننده در مورد آمادگیتان برای انجام ممیزی میپرسد آیا میدانید که انجام ممیزی چه زمینههایی را تحت پوشش قرار خواهد داد و چه سؤالاتی مطرح خواهند شد؟
مروری بر چارچوبهای نظارتی و انطباق سنجی
چهارچوبهای ممیزی و انطباق شامل بهترین روشها و دستورالعملهایی است که سازمانها برای پیروی از قوانین نظارتی، تقویت امنیت شبکه ، بهبود فرایندها و دستیابی به اهداف کسب و کار خود پیروی میکنند، میباشد.
این روشها و دستورالعملها توسط حسابرسان خارجی و داخلی و اشخاص ثالث (مثلاً سرمایه گذاران و مشتریان بالقوه) برای ارزیابی فرایندهای امنیتی یک سازمان استفاده می شوند.
مثالهایی از چهارچوبهای نظارتی:
- (Sarbanes-Oxley (SOX: برای شرکتهای تجاری عمومی و شرکتهایی که برنامه ریزی برای ارتباط با عموم را دارند، استفاده میشود.
- PCI DSS: برای اشخاص و شرکتهای خدمات مالی که دادههای کارتهای اعتباری را پردازش می کنند، کاربرد دارد.
- HIPAA/HITECH: این چهارچوب برای بیمارستانها، ارائه دهندگان خدمات بیمه و سایر سازمانهایی که اطلاعات مربوط به سلامت شخصی افراد را جمع آوری می کنند (PHI)، میباشد.
- ISO: این چهارچوب برای شرکتهایی مناسب است که هدف آنها بهبود کنترلهای امنیتی و مدیریت کیفیت میباشد.
- Privacy Shield: برای سازمانهایی استفاده میشود که دادهها را بین ایالات متحده و اتحادیه اروپا جمع آوری و پردازش می کنند.
- NIST: این چهارچوب برای سازمانهای دولتی، شرکتهای بزرگ، و هر سازمانی که به دنبال کاهش و به حداقل رساندن مخاطرات امنیتی هستند، میباشد.
انتخاب بهترین چهارچوب امنیتی و انطباق برای یک سازمان وابسته به نوع کسب و کار آن سازمان میباشد. همچنین این را در نظر داشته باشید که سازمان شما فقط محدود به استفاده از یک فریم ورک نمیباشد بلکه میتواند از ترکیبی از فریم ورکهای معرفی شده در بالا استفاده نماید.
به طور کلی نقش اصلی اقدامات مربط به یک فریم ورک ممیزی پیدا کردن معیارهایی است که سیستمهای امنیتی سازمان فاقد آنها میباشد. این اقدامات شامل موارد زیر میباشد:
- Data security
- Access control
- Security awareness
- Communications security
- Asset management
- Data backups
- Disaster recovery
- Business continuity planning
- And more
نکات اصلی در مورد انجام ممیزی و برنامهریزی برای انطباق
ارنست و یانگ لیست کاملی از ملاحظات اصلی در امنیت فناوری اطلاعات که در هنگام انجام ارزیابی ریسک مربوط به سیستمهای امنیتی IT و برنامهریزی برای ممیزی بایستی مورد توجه قرار گیرد را ارایه کردهاند. این لیست شامل موارد زیر میباشد:
امنیت اطلاعات
- آیا استراتژیهای موجود برای امنیت اطلاعات، جامع و کامل میباشند؟ آیا این استراتژیها شامل ارزیابی آسیب پذیریها، آموزش و آگاه سازی افراد، نظارت، مدل سازی برای پیش بینی حوادث، تشخیص و پاسخ و کنترل گزارشات نیز میباشند؟
- آیا امنیت اطلاعات، تنها مسئولیت فناوری اطلاعات است؟ یا یک مسئولیت همهگیر و سازمانی است؟
- آیا مکانیزمهایی وجود دارند که به طور مناسب مشکلات شناخته شده و تهدیدهای شناسایی شده را برطرف كنند؟ آیا آنها مؤثر هستند؟
- حداقل زمان پاسخ سازمان به یک حمله یا تهدید چقدر میباشد؟
داشتن مدیریت برای تداوم و استمرار کسبوکار
- آیا طرح مربوط به تداوم کسبوکار شما از جامعیت کامل برخوردار است؟ آیا روشهای تعریف شده، فرآیندهای اساسی تداوم کسبوکار مانند تحلیل اثرات تجاری، ارزیابی فروشنده، مدیریت تغییرات، آزمایش و نگهداری را پوشش میدهد؟
- در صورت بروز اختلال یا فاجعه، در چه مدت زمانی میتوان عملکردهای عادی تجارت را از سر گرفت؟
- آیا برنامه مدیریت بحران جامعی برای کسبوکار دارید؟ آیا کارمندان و سایر ذینفعان این طرح را درک میکنند؟
تجهیزات قابل حمل (Mobile)
- آیا راهکارهای مناسبی برای تجهیزات همراه شامل شناسایی ریسک و آسیب پذیریها، پیکربندی تنظیمات، مکانیزمهای تشخیص و جلوگیری ازحملات و مدیریت دستگاههای سرقت شده یا گمشده به کار رفته است؟
- اگر یک حمله رخ دهد آیا شما باخبر خواهید شد؟ اگر چنین است، چگونه به آن پاسخ خواهید داد؟
ابر (Cloud)
- آیا سیاستهایی برای استفاده از ابر وجود دارد؟ آیا این سیاستها با سایر سیاستهای سازمانی مانند قوانین تهیه شده، حقوقی و سیاستهای فناوری اطلاعات مطابقت دارند؟
- آیا انتقال خدمات به ابر معنی دارد؟ آیا پیامدهای تجاری استفاده از ابر مورد ارزیابی قرار گرفته است؟
- آیا مکانیزمهایی برای احراز هویت کاربران و پروتکلهایی برای کنترل دسترسی وجود دارد؟
مدیریت ریسک
- چقدر فناوری اطلاعات میتواند ریسکهای موجود را شناسایی، ارزیابی، مدیریت، پذیرش و اصلاح کند؟
- روندها و فرآیندهای ارزیابی ریسک IT چقدر موثر است؟
- آیا فرایندهای مدیریتی رسمی و مستند برای تصمیم گیری در مورد مصوبات پروژه، تخصیص سرمایه و سایر موارد وجود دارد؟
- آیا سازمان شما در صورت وجود از مانیتورینگهای ارائه شده توسط نرم افزارهای موجود GRC (حاکمیت ، ریسک و انطباق) استفاده می کند؟
برنامه ریسک
- آیا سازمان شما نقاطی را که برای اجرای پروژهها و برنامهها از جمله شرکای تجاری، مهاجرت دادهها و تغییر در تجارت که خطرات قابل توجهی ایجاد می کند را مشخص کرده است؟
- خطرات برنامهها و پروژهها چگونه ارزیابی میشود؟
- آیا پروتکلهای برنامه به درستی دنبال میشوند؟
- هنگامی که اهداف کسبوکار تغییر میکند، لیست و موارد مربوط به برنامه چگونه مدیریت میشود؟
مدیریت داراییها (Software/IT)
- آیا سازمان شما روش جامعی برای مدیریت داراییها و نرم افزارهای فناوری اطلاعات دارد؟
- آیا از ابزارهای مدیریت دارایی استفاده میکنید؟ اگر نه، چرا؟
- آیا نقاطی وجود دارد که بتوان هزینه لایسنس نرمافزار را کاهش داد؟ آیا میتوان در مورد قراردادهای لایسنس نرمافزار مجدداً مذاکره کرد؟
مدیریت ریسک رسانههای اجتماعی
- شرکت و کارمندان شما تا چه اندازهای خطرات رسانههای اجتماعی را درک میکنند؟
- وقتی خطرات شناسایی میشوند، آیا شما میتوانید به طور مؤثر با آنها مقابله کنید؟
- آیا فرایندی برای استفاده از رسانههای اجتماعی در سازمان وجود دارد؟ آیا کارمندان شما دستورالعملها را میدانند؟
- آیا انجام اقدامات اصلاحی برای فعالیتهای موجود در رسانههای اجتماعی ضروری است؟ این فعالیتها چگونه بر برند و شهرت تأثیر میگذارد؟
احراز هویت و مدیریت دسترسیها
- آیا پروتکلهای مبتنی بر نقش یا SoD (تفکیک وظایف) وجود دارد؟ آیا این پروتکلها میتوانند از خطا و کلاهبرداری جلوگیری کنند یا آنها را تشخیص دهند؟
- آیا کارمندان سازمان سمت، مجوزهای دسترسی و همچنین مسئولیتهای مرتبط با خود را به خوبی درک میکنند؟
پیشگیری از دست دادن دادهها و حفظ حریم خصوصی
- سازمان شما چه نوع دادههای حساسی را جمع آوری و ذخیره میکند؟ این دادهها کجا ذخیره میشوند؟ آیا برای ذخیره این دادهها از فضای داخلی استفاده شده یا برای ذخیره سازی آنها از خدمات ذخیره سازی بیرونی استفاده میشود؟
- در چه نواحی آسیب پذیر هستید؟ آیا کنترلهایی برای مدیریت و پوشش این ضعفها وجود دارد؟
- درک شرکت شما از مقررات حریم خصوصی مربوط به صنعتش چگونه است؟ آیا کاربران نهایی برای اطمینان از انطباق، رویههای تعریف شده را دنبال می کنند؟
آمادگی IT برای ممیزی انطباق
این درست است که نمی توان به اندازه کافی تأکید کرد که امنیت فناوری اطلاعات یک فرایند در حال انجام است و انطباق نباید هدف نهایی باشد. درعوض با انجام شدن این کار فقط باید به عنوان اولین قدم برای محافظت موثر از کسب و کار خود در گستره فناوری اطلاعات، جایی که تهدیدات دائما در حال تحول هستند، رفتار کرد.
دیدگاهتان را بنویسید