Кибербезопасность по-прежнему остается главным приоритетом для служб внутреннего аудита, однако вопросы безопасности данных и угрозы целостности данных остаются серьезной проблемой. Об этом сообщает CFO.com.
Согласно ежегодному обзору приоритетов внутреннего аудита за 2023 год, подготовленного американской консалтинговой компании «Джефферсон Уэллс», наибольшую обеспокоенность служб внутреннего аудита вызывают вопросы кибербезопасности.
Однако их ответные действия не являются единообразными и не сосредоточены на одном направлении. Новые данные «Джефферсона Уэллса» показывают, что только четыре из 10 компаний (40%) с доходом менее 1 миллиарда долларов обращали внимание на кибербезопасность в своих последних оценках технологических рисков.
Для более крупных компаний вероятность оценки была выше – чуть менее трех четвертей (70%).
Поскольку средства кибербезопасности и защиты данных становятся все более сложными, внимание руководителей внутреннего аудита, похоже, распространяется на различные области.
Более половины внутренних аудиторов заявили, что управление угрозами и уязвимостями (54%), а также доступ и управление идентификационными данными (51%) являются частью их подходов к оценке технологических рисков.
Чуть менее половины (47%) добавили оценку рисков облачных вычислений, управление данными и соблюдение конфиденциальности (46%), а также защиту от программ-вымогателей (42%).
Усилия по борьбе с программами-вымогателями также находятся в центре внимания аудиторских групп, особенно в прошлом году.
Около половины (54%) аудиторов заявили, что они рассмотрели план реагирования на атаки программ-вымогателей, а 51% заявили, что они оценили безопасность резервного копирования и хранения данных. По сравнению с 2022 годом эти цифры выросли на 16% и 14% соответственно.
Для выявления слабых мест в системах данных, руководители внутреннего аудита обучают сотрудников реагированию на такие угрозы, как фишинговые атаки, а также осуществлению контролируемых симуляций манипулирования и кражи данных.
Основное внимание в этих тестах обращено на политику паролей (51%), предотвращение потери данных (43%), обнаружение вредоносного ПО (42%), фишинг (37%), обнаружение вторжений (36%) и социальную инженерию (25%).
Согласно опросу, несмотря на то, что у более крупных компаний больше ресурсов для борьбы с такого рода нарушениями, они в дальнейшем сосредоточивают свое внимание на потере данных, вредоносном ПО, а также на проникновении в сеть и вторжениях.
Участники опроса отметили проблему поиска и удержания квалифицированных специалистов по вопросам кибербезопасности.
