الفرق بين الامتثال والتدقيق في أمن المعلومات
في أمن المعلومات ، يعد كل من الامتثال والتدقيق مكونين حيويين للإطار التنظيمي للمؤسسة في مجال الأمن السيبراني والدفاع ضد انتهاكات البيانات....
بلغ الإنفاق العالمي على تكنولوجيا المعلومات (IT) على الأجهزة وأنظمة / برمجيات مراكز البيانات وخدمات الاتصالات 4.26 تريليون دولار في عام 2021 ومن المتوقع أن يرتفع إلى حوالي 4.43 تريليون دولار أمريكي في نهاية عام 2022. مع هذا النمو الهائل الجديد ، تواجه المؤسسات تحديات جديدة معقدة تتعلق بالامتثال وأمن تكنولوجيا المعلومات في كيفية تخزين البيانات والمعلومات.
في أمن المعلومات ، يعد كل من الامتثال والتدقيق مكونين حيويين للإطار التنظيمي للمؤسسة في مجال الأمن السيبراني والدفاع ضد انتهاكات البيانات.
تعتمد كل مؤسسة على جوانب معينة من التدقيق والامتثال لأنها ضرورية في حوكمة الشركة. مجتمعة ، فهي تضمن أن السياسات الداخلية والخارجية للمؤسسة مرتبة وتعمل بكفاءة.
في حين أن الامتثال والتدقيق في أمن تكنولوجيا المعلومات هما وجهان لعملة واحدة تفي بالمتطلبات التنظيمية ، فإن كلاهما لهما أدوار مختلفة مع فارق بسيط بسيط.
من المفهوم ، نظرًا لأنها تتداخل في عملية فحص الامتثال التنظيمي للشركة ، فليس من غير المألوف العثور على المصطلحات المستخدمة بالتبادل.تشرح هذه المقالة كيفية عمل الامتثال والتدقيق في أطر الامتثال لتكنولوجيا المعلومات ، وكيف تختلف عن بعضها البعض ، وما هي الأدوار الرئيسية لكل منهما.
ما هو الامتثال في أمن المعلومات؟
بعبارات بسيطة ، يعد الامتثال وظيفة تشغيلية في مؤسسة أو شركة ، ويعني التزام المؤسسة بالالتزامات القانونية والتنظيمية خارج المنظمة.
هناك العديد من التعريفات وأنواع الامتثال ، مثل متطلبات الامتثال الخاصة بالصناعة ، مثل الرعاية الصحية ، والشركات ، والمالية ، والموارد البشرية ، وما إلى ذلك. ولكن عندما يكون أمن المعلومات موضع تساؤل ، فإن الامتثال يتعلق بالوفاء بالالتزامات التنظيمية للأمن السيبراني ، والأكثر شيوعًا هو حماية أصول البيانات والمعلومات.
يمكن أن تكون هذه اللوائح على المستويات المحلية والولائية والفدرالية.
بخلاف ذلك ، إذا فشلت الشركة في تلبية هذه المتطلبات ، فإنها لا تخاطر فقط بانتهاك البيانات ، ولكنها قد تواجه أيضًا عقوبات مالية ، ودعاوى قضائية ، وتلف السمعة.
من أجل الالتزام باللوائح الإلزامية المذكورة أعلاه ، يجب على الشركة اتباع بعض أطر الامتثال لأمن تكنولوجيا المعلومات.
ببساطة ، تتمثل المهام الرئيسية للامتثال للأمن السيبراني في تأمين وحماية أصول المعلومات والبيانات ومنع أي هجمات إلكترونية وسرقة بيانات محتملة. بالإضافة إلى ذلك ، يمكن أن يعني الالتزام بأحدث معايير أمان المعلومات أيضًا اكتشافًا أفضل للهجمات الإلكترونية المحتملة والبرامج الضارة والتصيد الاحتيالي وما إلى ذلك.
من أجل أن تظل الشركة متوافقة مع هذه الأطر ، يلعب تدقيق الامتثال دوره.
تعرف على أفضل الممارسات لإدارة الامتثال في الأمن السيبراني.
ما هو تدقيق الامتثال في أمن المعلومات؟
تدقيق الامتثال ، المعروف أيضًا باسم التدقيق الخارجي ، هو مراجعة شاملة لالتزام الشركة بالإرشادات التنظيمية التي يمكن إجراؤها على مدار السنة المالية. يساعد تدقيق الامتثال على تحديد نقاط الضعف في عمليات الامتثال التنظيمي ، ويوصي أيضًا بأساليب تحسين الامتثال.
نظرًا لتعديل قوانين ولوائح الأمن السيبراني الحالية باستمرار ، يجب أن تتغير برامج الامتثال باستمرار مع هذه المد والجزر. هذا هو السبب في أن تدقيق الامتثال المنتظم أمر بالغ الأهمية ، لأنه يوفر للشركات مخططًا ديناميكيًا لعملياتها الداخلية المتغيرة باستمرار بالإضافة إلى العوامل الخارجية.
يعتمد ما يفحصه تدقيق الامتثال إلى حد كبير على أشياء متعددة ، مثل نوع البيانات التي يتم التعامل معها ، وما إذا كانت تنقل أو تخزن بيانات حساسة أم لا ، وما إذا كانت الشركة عامة أو خاصة.
على مدار مراجعة تدقيق الامتثال ، يقوم مدقق الامتثال بتقييم والإبلاغ عن فعالية تحضيرات معينة للامتثال ، وسياسات الأمان ، وضوابط وصول المستخدم ، وإجراءات إدارة المخاطر. من المهم اتباع إرشادات مدقق الامتثال لتقليل المخاطر مع الابتعاد أيضًا عن المصاعب القانونية المحتملة وغرامات عدم الامتثال.
ما هو التدقيق في أمن المعلومات؟
ببساطة ، التدقيق هو مراجعة شاملة لما إذا كانت الشركة تفعل ما تقول إنها تفعله. يضمن التدقيق أن السياسات والإجراءات الموضوعة للشركة يتم تنفيذها بشكل صحيح وتعمل على النحو المنشود.
في أمن المعلومات ، التدقيق هو التقييم المنهجي للبنية التحتية لتكنولوجيا المعلومات في المؤسسة ، والأمن السيبراني ، والأداء الإجرائي.
يساعد التدقيق في تحديد نقاط الضعف والضعف لمنع انتهاكات البيانات ، والتي من شأنها أن تسمح للجهات السيئة بالوصول غير المصرح به إلى المعلومات الحساسة.
يمكن أيضًا إجراء التدقيق الأمني بعد حدوث خرق للبيانات ، بالإضافة إلى الحالات التي يؤدي فيها إهمال الموظف للممارسات الداخلية إلى حدوث انتهاكات أمنية.
عادة ما يتم إجراء التدقيق من قبل مدقق مؤهل ، حيث يراجعون:
إجراءات تقييم المخاطر لتحديد نقاط الضعف ،
ضوابط وعمليات الأمن الداخلي ،
أداء الموظفين،
وثائق الشركة ،
إجراءات الامتثال.
اعتمادًا على حجم الشركة ومواردها ، يتم إجراء تدقيق أمن المعلومات بشكل متكرر (شهريًا أو ربع سنويًا) على مدار العام ، بدلاً من مراجعات الامتثال التي تتم مرة أو مرتين في السنة.
تساعد عمليات التدقيق الروتينية المنتظمة في تحديد الإجراءات الخاطئة أو الحالات الشاذة في الشركة وتشجيع الموظفين على اتباع ممارسات أمان المؤسسة لتحديد نقاط الضعف بشكل أسرع.
يمكن أن تكون عمليات التدقيق عمليات واسعة النطاق - يُنصح بأن تقوم المؤسسات التي مرت بتغييرات تشغيلية كبيرة بإجراء تدقيق. يمكن أن تشمل هذه التغييرات:
خروقات البيانات
ترحيل البيانات
ترقيات النظام
تقديم معيار امتثال جديد
على سبيل المثال ، تواجه المؤسسات في القطاع المالي ومقدمو الرعاية الصحية تغييرات مستمرة في الامتثال ، لذلك من المرجح أن تجري عمليات تدقيق منتظمة.
كيف يعمل التدقيق؟
الهدفان الرئيسيان لتدقيق أمن المعلومات هما تقييم وضع الامتثال للمؤسسة والتأكد من اتباع إرشادات أمان تكنولوجيا المعلومات.
تشمل الأهداف الأخرى ما يلي:
المساعدة في حماية البيانات الهامة ومعلومات الشركة ؛
إنشاء أو تحديث الأطر والإجراءات والسياسات الأمنية ؛
الامتثال لسياسات الأمن الداخلية والخارجية ؛
مراقبة فعالية استراتيجيات الأمن الافتراضية ؛
مقارنة مع عمليات التدقيق القادمة والرجوع إليها في المستقبل ؛
تحديد الموارد الزائدة والثغرات الأمنية.
من خلال تدقيق الأمن السيبراني المناسب ، لن تواجه المؤسسات مشكلة في تقييم العمليات غير المتوافقة وحلها ، سواء كان ذلك قانون SOX ، أو GDPR ، أو PCI DSS ، أو غير ذلك من متطلبات الامتثال والتنظيم. للحصول على نتيجة أفضل للمراجعة ، يمكن للمدقق الخارجي إجراء مراجعة إضافية.
قد تؤدي الحوادث الأمنية الناتجة عن الأخطاء التي يمكن الوقاية منها إلى تثبيط الموردين والعملاء وأصحاب المصلحة الرئيسيين الآخرين عن التواصل مع المؤسسة.
إجراءات تدقيق الامتثال
تشتمل عمليات تدقيق الامتثال على اجتماعات بين موظفي الشركة (عادة متخصصي الأمن وفروع الشركة) ومدقق الامتثال ، حيث يحددون مهام الامتثال وقوائم المراجعة والمبادئ التوجيهية للتدقيق.
للحصول على مراجعة امتثال ناجحة وشاملة ، يجب على المؤسسات إنتاج مسارات تدقيق عبر بيانات من سجلات الأحداث وعمليات التدقيق الداخلية / الخارجية.
بالنسبة للسعر ، يمكن أيضًا إجراء تقييمات الامتثال بواسطة مدقق خارجي من شركة استشارية للأمن السيبراني. التدقيق الخارجي هو مطلب لبعض معايير الامتثال ، مثل PCI DSS.
قبل تدقيق الامتثال ، يُنصح مسؤولي تكنولوجيا المعلومات بتتبع المستندات الأساسية والمصادقات والسجلات وعناصر التحكم في نظام تكنولوجيا المعلومات والعثور عليها وإعدادها عبر مديري سجل الأحداث والحوكمة والمخاطر والامتثال (GRC) وبرامج إدارة التغيير الأخرى.
بهذه الطريقة ، يمكن لمسؤولي أمن المعلومات (CISOs) إنهاء إجراءات التدقيق بسرعة وبدقة في مصلحة الوقت.
يلتزم مدققو الامتثال أيضًا بإعطاء استبيانات مسؤولي تكنولوجيا المعلومات و C Suite فيما يتعلق بتاريخ التوظيف للجدول الزمني ، وإلغاء المعرفات ، والتي يمكن لمسؤولي تكنولوجيا المعلومات الوصول إليها لأنظمة الأمان المهمة ، وما إلى ذلك.
بالإضافة إلى ذلك ، يحتاج موظفو الشركة إلى أن يكونوا على علم بسياسات الأمان الخاصة بشركتهم ، بما في ذلك كيفية ظهور البيانات المالية ، وكيفية تخزين المعرف ، وتكوين جدار الحماية ، وكيفية إعداد كلمات مرور قوية ، واستراتيجيات التعرف على التصيد الاحتيالي ، واستراتيجيات التوعية الأمنية الأخرى.
يقوم مدققو الامتثال بعد ذلك بمراجعة عمليات الامتثال لتقرير نهائي. يمكنهم تزويد المديرين التنفيذيين للشركة بمعلومات حول مستويات الامتثال في مؤسستهم والانتهاكات المحتملة ، بالإضافة إلى تقديم اقتراحات لمزيد من التحسين. غالبًا ما يتم إصدار التقرير النهائي علنًا.
كيف يتم إجراء تدقيق أمن المعلومات؟
تختلف إجراءات التدقيق في كل نوع من أنواع المؤسسات ، ولكن الخطوات الخمس التالية غالبًا ما تكون جزءًا رئيسيًا من تدقيق الأمن:
1. حدد الأهداف الرئيسية للتدقيق مع أصحاب المصلحة في الشركة.
2. تحديد نطاق التدقيق ، حيث تقوم الشركة والمدقق بإعداد قائمة بالأصول التي يجب تدقيقها ، مثل الأجهزة ، والبرامج ، وبيانات الشركة ، والمستندات ، وما إلى ذلك.
3. إجراء المراجعة. تحدد هذه المرحلة نقاط الضعف التي يسرد فيها المدقق التهديدات المحتملة المتعلقة بكل مكون قابل للتدقيق ، مثل فقدان البيانات ، أو تعطل المعدات ، أو إهمال الموظف أو سوء السلوك ، أو الإجراءات المعيبة ، أو البرامج الضارة ، أو المستخدمين غير المصرح لهم ، إلخ.
تعلم كيفية إجراء تقييم الضعف.
4. تقييم المخاطر الأمنية. قم بتقييم مخاطر حدوث كل تهديد من التهديدات المحددة ومدى قدرة المنظمة على الدفاع ضدها.
تعرف على كيفية إجراء تقييم مخاطر الأمن السيبراني.
5. تحديد الضوابط المطلوبة. حدد التدابير الأمنية التي يجب تنفيذها أو تحسينها لتقليل المخاطر.
تعرف على كيفية تقليل مخاطر الأمن السيبراني في مؤسستك.
تنطبق تفاصيل هذه الخطوات بشكل عام على جميع الصناعات ، اعتمادًا على إجراءات الامتثال الأمني الخارجية التي يجب على المؤسسة الالتزام بها.
يقوم التدقيق عادةً بتقييم أمان نظام المؤسسة وتكوينه ، وبيئة العمل ، والبرمجيات ، وكيفية معالجة الشركة لعمليات المعلومات ، وكود عمل الموظف. غالبًا ما يشتمل التدقيق الأمني الكامل على كل من المدققين الداخليين والخارجيين.
تعتمد كيفية أداء الشركة على تدقيق أمني على معايير معينة يضعها المدقق لتقييم أنظمة معلومات المؤسسة.
أثناء التدقيق اللاحق ، قد تخضع المؤسسة لقوانين خصوصية البيانات ، والتي يمكن أن تضع شبكة معقدة من المتطلبات. تُعد نتائج التقييم بمثابة تحقق للبائعين وأصحاب المصلحة من أن دفاعات المنظمة نموذجية ومستوفية للمعايير.
أتمتة عملية التدقيق
لإجراء تدقيق أسرع للأمن السيبراني ، يمكن للمؤسسات تنفيذ حل كامل لإدارة سطح الهجوم (ASM).
يكتشف برنامج ASM على الفور نقاط الضعف الداخلية والجهات الخارجية ، ويقوم بأتمتة عمليات سير عمل الإصلاح ، ويوفر تقارير تنفيذية مفصلة.
يمكن لفرق الأمن استخدام هذه التقارير لإبلاغ الإدارة التنفيذية بقضايا الأمان عالية الخطورة والتي يجب أن تحظى بالأولوية بعد التدقيق.
اتباع أطر الامتثال
يتم تنظيم الامتثال من خلال أطر عمل محددة للأمن السيبراني تحدد ممارسات الأمان المناسبة للمؤسسات لاتباعها. من أجل تحقيق الشركة للامتثال ، فإن فرق أمن تكنولوجيا المعلومات لديها مسؤولة عن تنفيذ الأطر.
يتم تنظيم هذه الأطر وفقًا لأحدث تشريعات الولاية ولوائح الصناعة ومعايير أفضل الممارسات. بعض أطر الامتثال إلزامية ، في حين أن الأطر الأخرى اختيارية ولكنها لا تزال تؤثر على درجة الامتثال الإجمالية للشركة.
سيقوم مدقق أو منظم الامتثال بمراجعة ممارسات الأمان والسياسات والإجراءات وبرامج الأمان والضوابط الأمنية للشركة وتحديد ما إذا كانت تفي بمتطلبات إطار الامتثال.
على سبيل المثال ، عادةً ما تلتزم شركات الأمن السيبراني بقانون Sarbanes-Oxley ، والذي يثبت بموجبه أنهم احتفظوا بسجلاتهم المالية لمدة سبع سنوات. علاوة على ذلك ، تخضع شركات الخدمات المالية التي تعتمد على نقل بيانات بطاقات الائتمان لمتطلبات معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).
قائمة أطر الامتثال واللوائح والمعايير
فيما يلي بعض الأطر الأكثر أهمية التي ينصح المنظمات بالامتثال لها بانتظام.
قانون SOX (قانون Sarbanes-Oxley)
يعد قانون SOX (قانون Sarbanes-Oxley) أحد أهم التشريعات التي تنطبق على مجموعة واسعة جدًا من الصناعات. قامت SOX بإجراء تغييرات تشريعية ولوائح رئيسية من أجل الموثوقية المالية والممارسة.
تتمثل المهمة الرئيسية لمراجعة الامتثال هذه في تحسين الدقة المالية وموثوقية إفصاحات الشركات. أقر الكونجرس قانون SOX في عام 2002 في أعقاب فضائح المحاسبة المتعلقة بشركات إنرون ، وجلوبل كروسينج ، و World.com ، حيث تم إصدار بيانات مالية مزيفة.
يتطلب القانون من جميع الشركات العامة الاحتفاظ بسجلاتها المالية لمدة تصل إلى سبع سنوات. وبشكل أكثر تحديدًا ، فهو يؤثر على أمن المعلومات ، مما يتطلب دعم جميع اتصالات تكنولوجيا المعلومات وتأمينها ببنية تحتية للتعافي من الكوارث. بالإضافة إلى ذلك ، فإنه يؤثر على تقارير الضوابط الداخلية وحماية البيانات والمساءلة للمديرين التنفيذيين.
PCI DSS
PCI-DSS (معيار أمان بيانات صناعة بطاقات الدفع) ، الذي تم تشكيله في عام 2006 بواسطة Visa و MasterCard و Discover و American Express (AMEX) ، عبارة عن مجموعة من 12 لوائح أمان لجميع الشركات التي تتعامل مع كيفية التعامل مع معلومات بطاقات الائتمان للعملاء والعملاء تتم إدارة البيانات ونقلها وتخزينها ومعالجتها.
يساعد القانون في توضيح إرشادات التشغيل لكيفية تعامل الشركات والمؤسسات مع معلومات بطاقة ائتمان المستهلك وحماية خصوصية المستهلك ومعلومات بطاقة ائتمان العملاء من أجل تقليل الاحتيال.
SOC 2
تدقيق الامتثال SOC 2 (الأنظمة والضوابط التنظيمية) ، على النحو المحدد من قبل AICPA (المعهد الأمريكي للمحاسبين القانونيين المعتمدين) ، هو معيار امتثال صارم للبيانات يشمل التكنولوجيا الحديثة وشركات أمن المعلومات والموردين ومقدمي الخدمات الذين يخزنون العملاء البيانات والمعلومات الخاصة في السحابة.
ينقسم الامتثال SOC 2 إلى جزأين ، ويستغرق الأمر ما يصل إلى عام من الاستعدادات الدقيقة التي تقوم فيها الشركات بتطوير سياسات وإجراءات الخصوصية وتحديث والحفاظ على ضوابط الأمان لتقليل المخاطر والسرية ، وتحديد نطاق التدقيق لمؤسستها.
ISO 27000
جعلت المنظمة الدولية للمعايير ISO (المنظمة الدولية للتوحيد القياسي) مجموعة ISO 27000 من معايير الأمان المعترف بها دوليًا والتي تنطبق على جميع أنواع الأعمال التجارية.
على وجه التحديد ، يعد ISO / IEC 27001 (المعروف أيضًا باسم ISO 27001) معيارًا أمنيًا معتمدًا على نطاق واسع لمرونة الهجمات الإلكترونية والذي يشتمل على سياسات وعمليات أمان البيانات التي توفر إرشادات للشركات حول أوضاع أمان المعلومات الأفضل والصيانة والإدارة.
الغرض من معايير إطار العمل هذا هو مساعدة الشركات في الحفاظ على أنظمة إدارة أمن المعلومات (InfoSec) وقواعد الممارسة لتقليل المخاطر الأمنية وحماية أنظمة المعلومات المهمة.
للوفاء بهذه المعايير ، يتعين على المنظمات تنفيذ ضوابط أمنية معينة لتقييم فعالية ممارسات الأمن السيبراني الخاصة بهم. في معظم البلدان ، لا يعد الامتثال لـ ISO / IEC 27001 إلزاميًا ولكن يوصى به بشدة لأمن المعلومات والقطاعات المالية.
يرجع الطلب المتزايد باستمرار على هذه الشهادة إلى حقيقة أن إطار العمل يوفر حماية متقدمة للبيانات الحساسة ، كما هو موضح في مسح ISO 2018.
تحكم مجموعة معايير ISO 31000 المبادئ الرئيسية لإرشادات إدارة المخاطر وعمليات التنفيذ.
مثل عائلة ISO 27000 ، يعمل هذا الإطار كمعيار صناعي لعمليات إدارة المخاطر المؤسسية القابلة للتخصيص (إدارة مخاطر المؤسسة) ، ويساعد في تقييم جودة ممارسات الأمن السيبراني للمؤسسات ، ويحسن تحديد المخاطر وتخصيص موارد معالجة المخاطر.
NIST نيست
NIST (المعهد الوطني للمعايير والتكنولوجيا) هو المعادل الأمريكي للمنظمة الدولية للتوحيد القياسي (ISO). مثل ISO ، يوفر إطار عمل NIST للمؤسسات إرشادات قابلة للتخصيص لتقليل مخاطر الأمن السيبراني وإدارتها.
يجمع هذا الإطار بين أفضل الممارسات والإرشادات والمعايير لتحقيق معيار مقبول للأمن السيبراني. تستخدم المنظمات إطار عمل NIST لإنشاء لغة مخاطر مشتركة لتحسين التواصل عبر الصناعات.
يعد الامتثال NIST إلزاميًا لجميع الكيانات الفيدرالية والمتعاقدين معها ولكنه تطوعي للقطاعات الخاصة والرعاية الصحية الخاصة. على وجه التحديد ، يغطي منشور NIST 800-53 مجموعة من معايير أمان المعلومات ، بما في ذلك الامتثال للأمن السيبراني.
يوسع أحدث إصدار من مراجعة NIST 800-53 رقم 5 نطاق تركيزه ليشمل الكيانات غير الحكومية ويؤكد على حماية البيانات أكثر من الإصدارات السابقة للامتثال ، ويقدم مجموعة موحدة من الضوابط لتحسين التنسيق بين اللوائح المتعددة.
HIPAA
تم تمرير قانون HIPAA (قانون نقل التأمين الصحي والمساءلة) في عام 1996 ، وهو قانون ينظم كيفية مشاركة صناعة الرعاية الصحية الأمريكية للمعلومات الصحية الشخصية وحماية خصوصية المرضى الأمريكيين وأمان معلوماتهم الطبية.
بالإضافة إلى ذلك ، يهدف القانون إلى تبسيط معالجة السجلات الصحية عبر السجلات الإلكترونية لتقليل الاحتيال في مجال الرعاية الصحية وضمان تغطية الرعاية الصحية للموظفين المفصولين أو المنقولين.
ينطبق القانون على كل مؤسسة ، بما في ذلك شركات التأمين ، تخزن وتنقل بيانات الرعاية الصحية.