חלק מהפריטים הרגישים ביותר במשרד, מבחינת ניהול סיכוני ביקורת, הם המחשבים אליהם יש לעובדים ואשר בדרך כלל מכילים מידע רגיש של החברה.
חברות רבות בימינו, בעיקר תאגידים בינלאומיים, מחזיקים בסודות מסחריים שיהיו הרות אסון אם הם ייפלו לידיים הלא נכונות. מסיבה זו, שיטות ביקורת חברות כוללות כיום לא רק ביקורת תפעולית וביקורת מחשבים, אלא גם ניהול סיכוני ביקורת. מערכות אלו מוצבות בדרך כלל כדי להילחם או להפחית את הסיכון הפנימי הנובע מהעסקת עובדים והתפטרותם. התפקיד העיקרי של ביקורת ניהול הסיכונים הוא להבטיח שמירה והגנה נכונה על נתונים רגישים ונכסי ערך אחרים של החברה. אחת הפעילות הבסיסית לניהול סיכוני ביקורת היא לקבוע למי יש גישה לנתונים רגישים מסוימים, ולהבין האם מתאים לאנשים האלה להיות גישה למידע זה. לבקרת הביקורת חייבים להיות גם הכלים לפקח על מערכות מחשוב וחברות, ועל גורמים גורמים לחברה כדי לזהות פעילות בלתי חוקית.
ניהול סיכוני ביקורת
חברות כמו McAfee ו- Paisley Consulting מציעות מגוון רחב של כלים לניהול סיכוני ביקורת שיתאימו לצרכים שלך.
להלן מספר טיפים כיצד למצוא כלים מתאימים לניהול סיכוני ביקורת:
אבטח את המחשבים. חלק מהפריטים הרגישים ביותר במשרד, מבחינת ניהול סיכוני ביקורת, הם המחשבים אליהם יש לעובדים ואשר בדרך כלל מכילים מידע רגיש של החברה. על מנת למתן איום זה, עליכם להיות בכלים המתאימים לביצוע סקירות של מסלולי ביקורת במטרה הספציפית לחפש ולמצוא אירועי אבטחה ומקרים של ניצול לרעה של הרשאות גישה למידע. כלים אלה חייבים להיות בעלי יכולת לאמת בקרות שכר, הרשאות ספריות ותצורות מערכת חשבונאיות. זה חייב להתפשט גם למשימה של אפשרות לאמת את תוכנת הגיבוי המנוצל מוגדר כראוי וכי הגיבויים מלאים וללא שגיאות. לבסוף, עליכם להשתמש בכלים שיאפשרו לכם לבדוק מערכות שיתוף רשת למידע רגיש אפשרי המאוחסן ללא הגבלת גישה מינימאלית.
אבטח את מקום העבודה המשרדי. מלבד מערכות המחשוב, דבר נוסף שיש להבטיח הוא מקום העבודה עצמו. ישנן קבוצות כלים נפרדות שניתן להשתמש בהן לביצוע בדיקות שטחי משרדים על מנת לקבוע אם העובדים אכן מקפידים על נהלי האבטחה והמדיניות הנדרשים על ידי החברה, כגון להבטיח כי לא נשארים חומרים מסוימים המכילים מידע רגיש. ללא השגחה, וכי מסכי המחשב בתחנות העבודה של העובדים מאובטחים.
עקוב אחר הגישה הרגילה של העובד. עליכם להחזיק גם את הכלים שיאפשרו לכם לפקח על גישת העובדים למידע. אלה כוללים כלים להשגת רשימה של כל אנשי החברה הנוכחיים ממשאבי אנוש ולהערכת רשימה זו מול חשבונות החברה הפעילים. כלים אלה חייבים גם לאפשר לך לבטל או להשעות את הגישה למידע באופן שיטתי כאשר אנשי החברה עוזבים מהארגון או מחליפים תפקידים.
לפקח על גישה פיזית סטנדרטית. כמו כן, חובה שיהיו לך הכלים לעקוב אחר יומני הגישה האבטחה הפיזית. אלה אמורים לאפשר לך לעקוב אחר עובדים הנוהגים לערוך ביקורים לאחר שעות העבודה ובמהלך סופי השבוע. מערכות אלה אמורות גם לאפשר לך לבדוק עדכוני טלוויזיה במעגל סגור ונתיבי ביקורת מערכת אם ימצאו עדויות על פעילות חשודה.
אסוף את הכלים שלך. עכשיו, כשתדעו מה לחפש, תוכלו להיכנס לאינטרנט ולמצוא את הכלים שיתאימו לצרכים שלכם. חברות כמו McAfee ו- Paisley Consulting מציעות מגוון רחב של כלים לניהול סיכוני ביקורת שיתאימו לצרכים שלך.
יש לבצע את הפעילויות הנ"ל לפחות רבעונית להגנה מרבית. במידת האפשר, עדיף לבצע אוטומציה של הביקורת שלך, שלא תשמור רק על משאבים, אלא גם תגלה הפרות אבטחה מסוימות בשלב מוקדם.
