زاد اهتمام المؤسسات بمفهوم الأمن السيبراني خصوصاً بعد جائحة كورونا التي ضاعفت حجم المخاطر الإلكترونية، ومع التسارع التكنولوجي الحاصل فإن تطوير البيئات الرقابية والتقليل من المخاطر غير المتنبأ بها والهجمات السيبرانية باتت حاجة ملحة وقضية عصرية. وفي هذا العام كان مفهوم الأمن السيبراني في التقرير الصادر عن الاتحاد الأوروبي لمعاهد التدقيق الداخلي متصدراً بإعتباره خطراً كبيراً وفجوة حقيقية في كفاءة التدقيق الداخلي المتعلق بالأمن السيبراني، وهذا ما يتطلب التحقيق في مدى فعالية المدققين الداخليين في تقديم تأكيد مع?ول لمجالس الإدارات بشأن إدارة مخاطر الأمن السيبراني.
ومن أجل فحص درجة فاعلية تدقيق الأمن السيبراني تم اقتراح اختبار يُمكن المؤسسات من استخدام النتائج للمقارنة، فالتدقيق الداخلي في المؤسسات يتكون من مراحل مترابطة هي: التخطيط، وتنفيذ المهمة، والابلاغ عن النتائج وتحسينها عبر محاكاة النموذج الأمثل. وتعتمد النتائج على عدة عوامل أهمها ارتفاع شهية المخاطر (أي المستوى الأعلى المقبول للمخاطر لغايات تحقيق القيمة) المؤسسية والكشف عنها، فكلما كانت النتائج أقرب للمئة كدرجة مثالية زادت مساهمة التدقيق الداخلي في نضج إدارة مخاطر الأمن السيبراني.
عند الشروع بعملية التخطيط لا بد من وضع خطط استراتيجية وفهم وتحديد المخاطر الناشئة وإبلاغها للإدارة العليا ومناقشة واستشراف تهديدات الأمن السيبراني مع الإدارة ومجلس الإدارة أو لجنة التدقيق المنبثقة عنه لفهم التوقعات المستقبلية. ومن ثم إجراء التقييم الأولي للمخاطر عبر تحديد الأصول الرقمية الأكثر قيمة للمؤسسة والأثر الناجم عن اختراقها أو سرقتها بالتعاون مع إدارة المخاطر الالكترونية في المؤسسة. وتحديد المعايير التي ينتهجها المدققون الداخليون مثل: (ISO / IEC 27001، COBIT) والمعايير المطورة ذاتيا وغيرها. يقوم ال?دققون بمراجعة الضوابط الداخلية عبر تحديد مجالات كأمن البرمجيات وإدارة الطرف الثالث وتخطيط استمرارية الاعمال وغيرها. وللتحقق من مدى جودة التدقيق يتم إجراء مقابلات مع المدراء المعنيين عبر مجموعة من الاساليب كالاستفسار والمراقبة والتفتيش والاجراءات التحليلية لضمان درجة أفضل من الممارسات. والخطوة الثانية هي التحقق من أدوات الأمن السيبراني التي تستخدمها المؤسسة مثل أدوات التشفير وأدوات فحص ثغرات الويب وغيرها من الأدوات، فكلما زادت الأدوات زادت درجة الموثوقية. وتبقى الحاجة للنظر في عدد المرات التي يتم فيها الابل?غ عن النتائج المتعلقة بإدارة مخاطر الأمن السيبراني للإدارة ومجلس الادارة.
إن الإبلاغ عن نتائج تدقيق الأمن السيبراني يعتبر المرحلة الأخيرة للمراجعة الإلكترونية الفعالة. وعلى الرغم من أن الأمر متروك برمته في غالبية مجالس الأدارات لقسم تكنولوجيا المعلومات، ألا أن مسؤولية مجلس الإدارة الاشراف على مخاطر الأمن السيبراني بمساعدة المدققين. يجب أن يكون تقرير المدققون لمجلس الإدارة دقيقا وموضوعيا وكاملاً وفي الوقت المناسب، فهو تقرير يوفر تأكيداً معقولاً لفاعلية الادارة حول جاهزيتها لمخاطر الأمن السيبراني. برأيي هناك العديد من المعايير والمبادىء التوجيهية المهنية وأفضل الممارسات التي يمكن ?تباعها لزيادة فعالية تدقيق الأمن السيبراني مثل تحسين المهارات عبر تشجيع المدققين على الحصول على شهادات مهنية متخصصة مثل (Certified Information Systems Auditor)، و إمكانية الاستعانة بمصادر خارجية، فالأمن السيبراني مسؤولية مشتركة لا تقع على كاهل شخص بعينه فتعاون المدققين وأقسام تكنولوجيا المعلومات وأمن المعلومات يؤدي إلى إعادة هندسة تطبيق البيئية الرقابية وإدارة المخاطر بشكل أفضل.
