"ניטור קומפליינס ו-AI – ישנה לחלוטין את תהליכי הביקורת החיצוניות על אבטחת מידע"
מאת: מאירן גאליס, מייסד ומנכ"ל, סייטייל AI (Scytale AI)
הדרך בה מבוצעות היום ביקורות אבטחת מידע ברוב המקרים מיושנת, לא אפקטיבית ולא בהכרח מורידה את רמת הסיכון הנשקפת לחברה עליה מבוצעת ביקורת צד שלישי, כדוגמת SOC 2 ו-ISO 27001. למעשה, אנשים רבים לא רואים קשר ישיר בין ביקורת חיצונית לשיפור אבטחת המידע הארגונית.
הבעיה הראשונה היא שהביקורות תלויות בניסיון הסובייקטיבי וברמת הידע של מבקר. עם מבקר אחד הביקורת עלולה להיות פשוטה ואצל מבקר אחר הביקורת תהיה מאתגרת הרבה יותר. כל ביקורת צריכה להיות זהה ברמת המקצועיות והירידה לפרטים, ללא תלות בזהות המבקר.
שנית, קיימת בעיה כשהביקורות לא מעודכנות לשנת 2023, ומבוססות על מתודולוגיית מיושנות.
חוסר יכולת לזהות את התכולה המלאה (אילו מערכות/תהליכים/אנשים רלוונטים) יוצר פערים – אם המבקר לא יודע שמשהו קיים, אז איך ידע לבדוק אותו?.
בנוסף, שלמות ודיוק המידע לא בהכרח נבדקים כחלק מהתהליך – אלא יותר ההסתכמות על מסמכי מדיניות ארגונית, ראיונות עם חלק מעובדי החברה ומדגם יחידני.
במקרים רבים המניע לבצע ביקורות אבטחת מידע נובע מהיבט עסקי – כתנאי מקדים מלקוח פוטנציאלי, או כחלק מאסטרטגיית יתרון תחרותי בעמידה ברגולציות וסטנדרטים גלובליים של אבטחת מידע, על מנת לחדור לשווקים חדשים, ולעיתים זוהי רגולציה או התחייבות חוזית.
זהו מניע חיוני, שכן לעיתים קרובות כוחות השוק דורשים מחברות לעמוד בביקורות, אך יחד עם זאת, הציפייה של אותם לקוחות היא שהביקורת תהיה איכותית ומעמיקה ככל האפשר, ותשתקף נאמנה את אפקטיביות הבקרות הפנימיות – גורם קריטי להורדת הסיכון הנשקף לחברה.
ערך אמיתי מביקורות אבטחת המידע
המטרה היא לגדוע את גישת ה-"סימון וי" ולקבל ערך אמיתי מהתהליך. כך ניתן יהיה להטמיע תהליכים תומכים בחברה, לרתום את ההנהלה הבכירה, לקבל תקציבים לכלים טכנולוגיים ויועצים רלוונטיים, ולשפר את אבטחת המידע וחשיפת הארגון.
בנוסף, ניטור מתמשך של הבקרות הפנימיות יוריד את העבודה הידנית והזמן של עובדי הארגון – שיוכלו להתרכז בסיכונים המהותיים. במסגרת הניטור תינתן תמונת מצב עדכנית למנהל אבטחת המידע, ותשפר את איכות הביקורת והמוכנות לביקורת.
עם התפתחות תשתיות הענן ושימוש הולך וגדל במוצרים תוכנה מבוססי ענן (SaaS), חברות משתמשות בקצב הולך וגדל במוצרים טכנולוגיים שיוצרים סיכונים נלווים. חברות שלהן עד 50 עובדים ישתמשו בממוצע בכ-40 מערכות; חברות עם עד 500 עובדים ישתמשו בממוצע ביותר מ-100 מערכות; וחברות עם יותר מ-500 עובדים ישתמשו בממוצע בכ-288 מערכות.
בהתאם למגמות אלו, גם מתודולוגיות ביקורת יתעדכנו בעתיד הקרוב מביקורת שנתית (Point-in-time audit) לביקורת מתמשכת (Continuous audit). המבקרים, שתמיד נמצאים בפער משיפורים טכנולוגיים, יעשו שימוש ב-Big Data וכלי AI, באמצעותם ניתן יהיה לנטר את הקומפליינס באופן שוטף 24/7, לאסוף ראיות באופן מתמשך לכלל הביקורות, לזהות אנומליות בתכולה, דיוק ושלמות המידע בצורה אוטומטית, להוריד את התלות הסובייקטיבית במבקר, לבצע בדיקות על כל המידע ולא רק על חלק מהמידע (ביטול דגימות רנדומליות) ולקבל תובנות לגבי מגמות שעלולות לייצר סיכונים בטווח זמן הקרוב והרחוק, הן מבחינת מעבר ביקורות והן מבחינת הסיכון האמיתי הנשקף לחברה.
הכותב, מנכ"ל סייטייל AI, ישתתף מחר (ד') בכנס Future of AI
לפרטים נוספים ולהרשמה לאירוע – לחצו כאן.