По мнению аудиторской компании PwC, системы защиты большинства сегодняшних компаний малоэффективны против киберпреступников, в результате чего риск взлома баз данных и кражи важной информации остается на очень высоком уровне. Мнением PwC делится gaap.ru, ссылаясь при этом на публикацию в Journal of Accountancy.
В опубликованном исследовании Fortifying Your Defenses: The Role of Internal Audit in Assuring Data Security and Privacy («Усиливаем свою защиту: роль внутреннего аудита в обеспечении сохранности и конфиденциальности данных») его авторы прямо указывают, что возросшее за последнее время число атак, равно как и степень их успешности, требует, чтобы компании делали для собственной защиты нечто большее, чем простое введение в действие протоколов защиты. В представлении PwC, оптимальным является трехступенчатый подход к защите, в котором одна из ведущих ролей отводится именно департаменту внутреннего аудита.
Статистически, число кибератак за последние пару лет действительно возросло, притом значительно. Данные Open Security Foundation свидетельствуют, что в 2012 году (который, заметим, еще даже не завершился) уже было сообщено о 879 фактах потери, кражи или иного нарушения конфиденциальности персональных данных. Такими темпами будет побит рекорд предыдущего года (1,037) – кстати, по сравнению с 2010-м это был рост сразу на 30%.
Причин возросшей активности хакеров много. Одной из главных, пожалуй, является более сильная привязанность компаний и их сотрудников к Интернету в результате активного распространения «дружелюбных к пользователю» технологий: мобильные приложения, «облачные» технологии и т.д. К сожалению, простота в обращении часто означает и простоту взлома. Не стоит забывать и о том, что в электронном виде в одном месте сегодня складируются терабайты информации, являющейся лакомым куском для киберпреступников. При этом компании, пока не наученные горьким опытом и не учащиеся на опыте других, редко проводят модернизацию своей защиты: например, в прошлом году из 10.000 опрошенных топ-менеджеров только 39% сказали, что они регулярно – раз в год, по крайней мере – проводят пересмотр действующих систем электронной защиты.
Теперь, какое место во всем этом занимает или может занимать внутренний аудит? Как считают специалисты PricewaterhouseCoopers, одно из центральных. Они предлагают сразу три линии защиты против электронного взлома:
- Менеджмент. Именно менеджеры должны присматривать за наиболее эффективными системами электронной защиты. На них же должна быть возложена ответственность за оценку, контроль и устранение рисков нарушения информационной безопасности.
- Риск-менеджмент, департамент нормативно-правового соответствия. Компаниям следует создавать специальные комиссии и рабочие группы, которые будут заниматься разработкой новых подходов к информационной защите и механизмов контроля, а также проводить оценку эффективности уже действующих.
- Наконец, внутренний аудит. Команда внутренних аудиторов является ответственной за предоставление объективной оценки эффективности систем защиты от киберугроз, при этом свои оценки аудиторы представляют в совет директоров и топ-менеджерам. Без этой постоянной – и, что немаловажно, квалифицированной – оценки очень велика вероятность, что применяющийся Вами подход к защите электронной информации в конце концов станет неадекватным и морально устаревшим.