בעקבות אירוע | "הביקורת צריכה להתאים עצמה לקצב התפתחות הטכנולוגיה"
"ביקורת אשר אינה בודקת את הצדדים הטכנולוגיים ואינה חודרת לנבכי מערכות המחשב – אינה מספקת כיום. קיים צורך הולך וגובר לשימוש בטכניקות תחקור נתונים ואבטחת מידע כחלק מהביקורת, כמו גם בחינתן של טכנולוגיות מחשוב חדשות הנכנסות לשמימשו בארגון", כך קובעים אורן שני ואסף קורן, מנכ"לים משותפים בחברת SecAudit, המתמחה בביקורת מערכות אבטחת מידע ותחקור נתונים.
לדברי קורן, "הביקורת היום צריכה להתאים עצמה לקצב התפתחות הטכנולוגיה. ביקורת אשר תסתפק בראיונות וסקירת תיעוד ונהלים, אינה מספקת. בכל ביקורת יש לחדור גם לנבכי מערכות המחשב. תקן GTAG16 החדש (אוגוסט 2011) של ה-IIA מחזק קביעה זו. התקן מסביר ומדגים את יתרונות השימוש בביקורת ממוכנת של תחקור נתונים כחלק מהביקורת. כאשר הביקורת 'חודרת' פנימה ושולפת את נתוני המחשב, ניתן לאתר ממצאים שבאמצעות ביקורת רגילה לא היו "עולים" עליהם, לכמת פערים וליקויים, או לאושש שהמערכות עובדות בצורה תקינה. ביקורת המשלבת תחקור נתונים ואמצעים טכנולוגיים משדרגת את היכולות של המבקר".
חשיבות רבה יש לשילוב טכניקות תחקור נתונים בעבודות ביקורת חקירתית. במקרים רבים, ניתן לאתר את "האקדח המעשן" בנבכי בסיסי הנתונים וזאת באמצעות שאילתות מתוחכמות השולפות נתונים חריגים המתרגמים את לוגיקת הפעילות העסקית לפעולות מצופות ולא מצופות, פעולות ניתוח לוג פעולות חריגות, פעולות על ידי משתמשים לא מורשים, פעולות חיוב ולאחר מכן זיכוי, Back Dating, פעולות מלאי חריגות כמו איפוסי מלאי, גריעות ועוד…
"בחינת שילובן של טכנולוגיות חדשות בארגון הינו באחריותו של מבקר הפנים, לא פחות משהן באחריותו של מנהל ה IT", טוען שני. "לדוגמה, נוכל לקחת את נושא שילוב טלפוניית ה-IP המוכרת יותר כ-VoIP. מבקרים רבים אינם מכירים כלל בסיכון שיש בשילוב מערכות מעין אלה בארגון ואינם מבינים את החשיפה החדשה הנוצרת. למשל את העובדה כי במקרים רבים ניתן לבצע האזנה לשיחות מתוך מערכות המחשוב הפנימיות ו/או החיצוניות בארגון למערך הטלפוניה, כל זאת מעצם העובדה שמדובר למעשה במערך טלפוני מבוסס מחשוב, הכולל כרטיסי רשת, כתובות IP ושאר מאםיינים של רשת ולא של טלפוניה.
ביצוע בחינות ובכלל זה בחינות טכנולוגיות, המנתחות את הסיכון בטכולוגיות החדשות, מאפשרות למפות את הסיכונים, להציג את הפערים ולייצר בקרות מפצות. כל זאת על מנת לאפשר הכנסתה של טכנולוגיה חדשה לארגון מבלי שזו תציב סיכונם בלתי מטופלים.
