Yhdistyksen uusimmassa IIA Bulletin –julkaisussa on artikkeli IT-häiriöistä ja niihin varautumisesta. Uudet toimintatavat ja myös IT-tuen siirtyminen etätyöhön ovat aiheuttaneet kokonaan uusia tietouhkia ja haavoittuvuuksia. Sisäiset tarkastajat voivat tunnistaa mahdollisia uhkia ja raportoida toimenpiteistä niiden minimoimiseksi. Tämä uusi julkaisu sisältää yleisiä kysymyksiä riskien arvioimiseksi koronakriisin aikana. Pandemia on pakottanut yritysmaailman uusiin ratkaisuihin operatiivisessa toiminnassa, mikä on voinut aiheuttaa uusia riskejä. Tämä pätee erityisesti tietoverkkoihin. Vaikka kotona pysymiseen liittyviin toimeksiantoihin liittyvät operatiiviset muutokset lisäävät riskejä, IT-resursseja ohjataan jatkossakin etätyöhön ja laajennettuihin videoneuvotteluihin.
Poikkeusoloissa organisaatiot voivat kuitenkin altistua uusille verkkouhkille ja haavoittuvuuksille tai, mikä vielä pahempaa, menettää kokonaan valmiuden olemassa oleviin uhkiin. Tietoturvahäiriöt tai haavoittuvuudet voivat olla kokonaan tuntemattomia tai odottamattomia seurauksia, jotka johtuvat usein ohjelmointivirheistä tai vääristä tietokone- tai tietoturvakonfiguraatioista. Uhka on kaksinkertainen, mikäli tietoverkkorikolliset voivat hyödyntää haavoittuvuutta, kunnes korjaus on tehty. Tästä voi tulla myös pitkäaikainen uhka, jos suositeltua opastusta tai korjausta ei oteta käyttöön heti, kun se on saatavilla. Yksi tärkeä tehtävä, jonka sisäiset tarkastajat voivat nyt suorittaa, on arvioida pandemian vaikutuksia IT-resursseihin ja prioriteetteihin. Siihen olisi kuuluttava sen määrittäminen, ovatko nykyiset menettelyt tietotekniikan ajan tasalla pitämiseksi ja mahdollisten tietoverkkohyökkäysten ja muiden haavoittuvuuksien tiedostamiseksi riittävät ja tehokkaat.
Kysymykset tietoverkkoherkkyyden arvioimiseksi koronakriisin aikana:
- Kuinka organisaatio seuraa luotettavia uutisia ja muita tietolähteitä mahdollisen nollapäivän hyväksikäytön suhteen? Onko näiden riskien käsittelyprosessi muuttunut?
- Kuinka organisaatio varmistaa, että tietoturvan korjaukset pannaan täytäntöön ajoissa?
- Onko jokin uhka tai muu seuranta- tai skannaustoiminta muuttunut organisaation prosessien ja työympäristön muutosten vuoksi? Kuinka mahdollisiin riskeihin puututaan?
- Kuinka organisaatio varmistaa, että haavoittuvuuden käytäntöjä hallitaan asianmukaisesti työympäristön muutosten seurauksena?
- Kuinka organisaatio varmistaa menettelyt riskitapahtumien estämiseksi, havaitsemiseksi ja niihin reagoimiseksi sekä ovat ajan tasalla viimeisimmistä uhista?
- Kuinka organisaatio varmistaa, että tietoverkon muutoksia pyydetään, dokumentoidaan, hyväksytään ja toteutetaan asianmukaisesti?
- Kuinka käyttöoikeuksien hallintaprosessit ovat muuttuneet? Onko työympäristön muutos lykännyt lisäysten, muutosten ja irtisanomisten oikeuksien tarkistusta tai varausmenettelyjä?
- Mitä kriittisiä prosesseja ei voida suorittaa tai valvoa etätyöympäristössä? Kuinka mahdollisiin riskeihin puututaan?
- Kuinka pandemia on muuttanut toimittajasuhteiden hallintaa?
- Mitä muutoksia on toteutettu sopimushallinnassa?
- Kuinka hankintaprosessi on muuttunut työympäristön muutosten seurauksena?
IIA Bulletin löytyy yhdistyksen sivuilta täältä.
NEW! IIA Bulletin: Considerations for IT Disruptions
The unexpected workarounds in operations and redirection of IT support to telecommuting and associated troubleshooting during the COVID-19 stay-at-home mandates has exposed organizations to new and existing cyber threats and vulnerabilities.
Internal auditors can take a number of steps to identify and minimize potential threats to the organization including a full assessment of IT resources, priorities, and focus. This IIA Bulletin includes general questions and resources to assess cyber vulnerability during the COVID-19 crisis.
The COVID-19 pandemic has forced the business world into unplanned workarounds in operations, which in turn have spawned a unique set of risks. This is particularly true for cyber risks.
While operational changes related to social distancing and stay-at-home mandates continue to manifest, IT resources are being redirected to support telecommuting, expanded video conferencing, and associated troubleshooting.
As IT professionals pivot to address these new demands, organizations could be exposed to novel cyber threats and vulnerabilities or, worse yet, lose focus on existing threats. Among the most troubling is the risk of “zero-day” exploits.
The term describes cyberattacks that occur when a weakness is discovered in a particular software, firmware, configuration setting, or operating system that is unknown to the developer and has no known or recommended remediation.
Such security weaknesses or vulnerabilities are unknown or unexpected consequences that often result from programing errors or improper computer or security configurations. The threat is twofold; cybercriminals can exploit the vulnerability until a patch is available in the short term, but this becomes a long-term threat if the recommended guidance or patch is not implemented as soon as it is available.
One important task internal auditors can perform right now is an assessment of the full impact of the pandemic’s impact on IT resources, priorities, and focus. It should include determining whether the current procedures in place to keep IT up to date and aware of potential zero-day attacks and other vulnerabilities are sufficient and effective.
General questions to assess cyber vulnerability during the COVID-19 crisis:
- How does the organization monitor trusted news outlets and other information sources in regards potential zero-day exploits? Has the process for dealing with these risks changed?
- How does the organization ensure necessary security-related patches are being implemented in a timely fashion?
- Have any threat hunting (proactive cyber defense activities) or other monitoring or scanning activities been altered because of changes in the organization’s processes and work environment? How are any resulting risks addressed?
- How is the organization ensuring vulnerability management practices are being properly administered as a result of changes to the work environment? What specific vulnerability scanning or remediation activities have been altered or postponed? Perspective for internal auditors on today’s most urgent issues April 2020 2
- How does the organization ensure IT incident management practices — including procedures to prevent, detect, and respond to incidents — are up to date with latest threats? How does IT continue to ensure current processes include the tools and services needed to triage, analyze, contain, eradicate, and respond to an event?
- How does the organization ensure changes to the network are properly requested, documented, approved, and executed? This specifically includes emergency or ad-hoc changes made to facilitate remote operations.
- How have the organization’s physical and logical access provisioning processes changed? Has the change in the work environment postponed entitlement reviews or provisioning procedures for additions, transfers, and terminations?
- What critical processes cannot be performed or monitored in a remote work environment? How are any resulting risks addressed?
- How has the pandemic response changed vendor relationship management, including relationships with major cloud vendors?
- What changes have been implemented in regard to contract management? For example, have contract requirements been relaxed or bypassed?
- How has the procurement process changed as a result of changes to the work environment? Specifically, what is being done by the organization to address the potential increase of user-acquired or implemented systems, applications, and services?
https://na.theiia.org/news/Pages/NEW-IIA-Bulletin-Considerations-for-IT-Disruptions.aspx