Sisäisen tarkastuksen kasvava rooli kyberturvallisuuden hallinnassa
Internal Audit’s Growing Engagement in Cyber Management: https://na.theiia.org/news/Pages/Internal-Audits-Growing-Engagement-in-Cyber-Management.aspx
Artikkelissa kommentoidaan uusinta tutkimusta liittyen sisäisten tarkastajien tehtäviin, rooleihin ja tarvittavaan osaamiseen tulevaisuudessa kyberturvallisuuden osalta ja miltä osin kyberturvallisuuden riskit jatkossa vaikuttavat sisäisten tarkastajien töihin. Tutkimuksen mukaan osaamisvaateet sisäisille tarkastajille kasvavat tulevaisuudessa, kun tarkastajat arvioivat kyberturvallisuuden hallintaa ja johtamista organisaatioissa.
IIA Globalin toiminnanjohtaja Chambers korostaa sisäisten tarkastajien vastuun edellyttävän, että tarkastuksen ammattilaiset ymmärtävät tietoturvallisuuden periaatteet ja kyberturvallisuuden viitekehysten hyödyntämisestä omassa työssään.
Paitsi että presidentti näkee kyberturvallisuuden osaamisen tarpeellisena osana sisäisten tarkastajien työtä, niin sen lisäksi hän näkee myös hyvän osaamisen ja arvokkaiden tarkastushavaintojen kyberturvallisuudesta omalta osaltaan nostavan sisäisten tarkastajien ammattikunnan arvostusta ja tarvetta toiminnolle myös tulevaisuudessa. Eli tämä voi olla myös mahdollisuus sisäiselle tarkastukselle.
Tutkimuksessa tuodaan esille useita mahdollisuuksia, miten kyberturvallisuuden osaamista voidaan hyödyntää sisäisen tarkastuksen työssä ja yhteistyössä eri osapuolten kanssa ja saada enemmän hyötyä kuin vain pelkästään muodollisilla ja perinteisillä yhteistyömuodoilla ja kommunikoinnilla.
Tutkimuksessa päädytään siihen johtopäätökseen, että säilyttääkseen tuloksellisuutensa ja luottamuksensa, sisäisen tarkastuksen ammattilaisten on ymmärrettävä, kuinka paljon resursseja ja aikaa on käytettävä kyberturvallisuuden arviointiin tai kyseisten ohjelmistojen käyttämisessä ja hyödyntämisessä kontrollien ja testausten tehokkuuden arvioinnissa. Tässäkin työssä sisäisen tarkastuksen pitää kuitenkin pystyä osoittamaan itsenäisyytensä ja riippumattomuutensa arvioidessaan kyberturvallisuuden riskiympäristöjä.
Lisäksi tutkimuksessa korostetaan sisäisen tarkastuksen oikeutta saada tehtäviin riittävät henkilöresurssit myös kyberturvallisuuden osalta. Käytännössä monessa tapauksessa sisäiset tarkastajat käyttävät tietohallinnon ja tietoturvallisuuden henkilöitä parhaan mahdollisen osaamisen saamiseksi.
Artikkelin lopussa painotetaan vielä kattavan ja monipuolisen osaamisen tarvetta sisäisen tarkastuksen toiminnossa sekä aktiivista yhteistyötä muiden toimintojen kanssa parhaan mahdollisen lopputuloksen saavuttamiseksi, koska teknisen osaamisen ja kokemuksen vaateet kasvavat koko ajan ja asettavat uusia haasteita.