על היתרונות שבבדיקת עירנות (בדיקת פתע)
הסבירו לנו שחשוב לתחקר נתונים, הפכו אותנו ליועצים, תמצתו לנו את הדוחות וצמצמו ממצאים. אז מה עוד אפשר לחדש במקצוע הביקורת הפנימית?!
בתקופה שבה אנו נדרשים יותר מהרגיל להתמקד רק בסיכונים המהותיים, ולצמצם ככל שניתן את מרכיב ההפרעה לפעילות השוטפת של המבוקרים, עלינו להמציא את עצמנו מחדש ולמצוא דרכים להשקיע את משאבי הביקורת בצורה יעילה, דיפרנציאלית, ובאזורים שיגדילו את ערכי התוצרים וההשפעה שלנו בארגון.
כולנו מכירים את הדרך ה"קלאסית" להערכת סביבת הבקרה ובחינת תהליכי עבודה, הנעשית באינטראקציה מול המבוקרים על ידי שימוש בטכניקה של תשאול (שיחות, פגישות ומיילים) ופעילות עצמאית של סקירת חומרים ונתונים. תהליך ביקורת המתבסס ברובו על טכניקה זו עלול לעיתים להקשות על קבלת תמונה מלאה המגובה בעובדות, ואף להסיק מסקנות והערכות העלולות להיתפס כסובייקטיביות.
אז מה אנחנו מציעים?
אחת הדרכים להתמודד עם אתגר זה היא "ירידה לשטח". לא מדובר בשיטה חדשה, אך המטרה היא להגביר את השימוש בטכניקה של "בדיקת ערנות" או בשמה הפחות ידידותי "בדיקת פתע".
אפשר לשלב בדיקת ערנות כמעט בכל ביקורת, ובהמשך המאמר נציג רעיונות ודוגמאות מניסיוננו.
מה נרוויח מזה?
קודם כל, נחזק את היכולת להגיע למסקנות אובייקטיביות. על הדרך, נוכל לאתגר את אפקטיביות הבקרות באופן בלתי ניתן לערעור, נפחית התנגדויות וויכוחים, נצמצם "הפרעה" על ידי הפחתת הבדיקות והאינטראקציה עם המבוקרים, ונקבל תחושת נוחות מתוצרי הבדיקות. אם באמצעות בדיקת ערנות נגיע למסקנה שבקרה מסוימת אינה פועלת כמצופה או אינה פועלת כלל, נוכל לקדם ביעילות את מטרת הביקורת מבחינת הערכת סביבת הבקרה, ולפנות משאבים לבדיקות נוספות. במקביל, ניתן להעביר באופן מיידי למבוקר את תוצאות הבדיקה על מנת שיוכל לטפל בהמלצות בהתאם לרמת החומרה. וכמובן איך אפשר בלי הנהלת הארגון וועדת הביקורת? גם הם מרוויחים מהתהליך, שכן נוכל להציג בפניהן תמונת מצב מוחשית של סביבת הבקרה בנושא הנבדק.
איך זה יתבצע בפועל?
על מנת לבצע את משימת הביקורת בצורה האפקטיבית ביותר ולהעריך את אופן התמודדות הארגון עם הסיכון "בזמן אמת", על המבקר לעבור מספר שלבים:
- לסקור את הבקרות הקיימות בארגון בתהליך הנבדק.
- לזהות בקרות חסרות.
- להגדיר את התרחישים המהותיים שהוא ירצה לבדוק.
- לבצע בדיקות ערנות לאתגור הבקרות בתרחישים שהוגדרו.
קצת המחשות?
בביקורת בנושא דלף מידע, מטרת הביקורת הייתה לבחון את תהליכי העבודה והבקרות לצמצום סיכוני דלף המידע. בהנחה שהארגון הגדיר סט של בקרות כמענה לתרחישי דלף שונים, משימתנו היא להעריך את אופן התמודדות הארגון עם סיכון זה. בתהליך הקלאסי יסקור המבקר את מדיניות הארגון בנושא, את נוהלי העבודה, תהליכי הגדרת בקרות, תהליכי טיפול בהתראות, תחזוקה שוטפת ועוד. סקירה זו בהחלט עשויה לתרום להסקת המסקנות בנוגע לתהליך בכללותו אך האם היא תספיק לקבלת מענה לשאלה: "האם הארגון אכן מוגן מתרחיש דלף מסוים?" – כנראה שלא.
לעומת זאת, באמצעות בדיקת ערנות המבקר יבצע אתגור מוחשי של הבקרות בכך שינסה לשלוח מידע רגיש אל מחוץ לארגון. ומה ניתן יהיה להסיק מכך?
- אם הוגדרו בקרות והמידע נחסם – הבקרות הקיימות אפקטיביות.
- אם הוגדרו בקרות והמידע יצא – הבקרות הקיימות אינן אפקטיביות והארגון לא מוגן בתרחיש זה.
- אם לא הוגדרו בקרות – לארגון קיימת חשיפה לדלף מידע ועליו לנהל את הסיכון בגינו.
דוגמה נוספת היא בביקורת סייבר שבמסגרתה נבקש לבצע ניסיונות חדירה למערכות הארגון מתוך חצרות הארגון. נתחבר באמצעות כלים שונים אל נקודות התקשורת או למצלמות הרשת הפזורות בארגון, וננסה לעקוף את מנגנוני הבקרה הקיימים. גם בבדיקה זו יש להגדיר מראש את המטרות שנרצה להשיג (מעבר בין סביבות עבודה בארגון, חדירה למערכת מסוימת וכו'), ולבחון את רמת ההקשחה (FireWall, מדיניות סיסמאות וכו') הקיימת בארגון.
כמובן שחוץ מלהסיק מסקנות על רמת ההגנה, נוכל גם לבחון בזמן אמת את אפקטיביות מערך הניטור בהקפצת התראות בתרחישים שונים. אם התגלו חוסרים – תוצאות הבדיקה יעזרו בעדכון ההתראות.
בדיקות ערנות רלוונטיות לרוב עולמות התוכן של המבקרים
- ניתן לאתגר בקרות עסקיות ולבצע פעולות יזומות מעל סף הבקרות שהוגדר.
- ניתן לאתגר בקרות טכנולוגיות על ידי התחברות לארגון מאתר של ספק מאושר ולבחון את שרשרת האבטחה, או לחילופין לבצע תרגיל יזום של אירוע חירום/סייבר ולבחון את המודעות העובדים המהווים, במרבית המקרים, את החוליה החלשה ביותר בשרשרת האבטחה בארגון.
- ניתן לאתגר בקרות תפעוליות או לזהות חשיפות בהיבטים רכים יותר, כמו נגישות, שירות וחוויית לקוח על ידי שליחת לקוח/עובד סמוי לארגון, ביצוע האזנות לשיחות מוקלטות, או צפייה בהקלטות מצלמות האבטחה על פעילות העובדים באתרים רגישים.
מרבית הבדיקות ניתנות לביצוע באופן עצמאי או בסיוע יועץ מומחה, אך לעיתים יידרש, ואפילו מומלץ, לפעול בשיתוף פעולה עם גורם נוסף מתוך הארגון שיתבקש להקפיד על דיסקרטיות לצורך שמירה על אפקטיביות הבדיקה.
לפני שרצים להעיר את כולם – בואו ננהל גם אנחנו את הסיכונים
בעת שימוש בבדיקות ערנות, חשוב מאוד ליישם תהליך של "ניהול סיכוני הבדיקה" ולהביאו לידיעת הנהלת הגוף המבקר ואישורו. תהליך זה נועד לצמצם את ההשלכות האפשריות של הצלחת הבדיקה (ומהצד השני כישלון הבקרה) והסיכונים שעלולים להיווצר. כך למשל, בדוגמה על אתגור בקרות דלף מידע, אם המידע יצא מחוץ לחצרות הארגון, נוצר מצב שבו מידע רגיש של הארגון "מסתובב" ברשת הציבורית או באמצעי נתיק (DOK) ששימש להוצאת המידע. בדוגמה של ניסיונות חדירה למערכות הארגון, בעת אתגור של בקרה המונעת/מנטרת חיבור רכיב זר לרשת, עלול להיגרם נזק על ידי "הדבקת" הרשת הארגונית או אף חסימתה.
מה חשוב לכלול בתהליך ניהול סיכוני הבדיקה? – זיהוי ומיפוי מראש של הסיכונים תוך בחינת כלל הנושאים שעלולים "להשתבש", הגדרת תוכנית הפחתה מתאימה ויצירת מנגנון של עצירה מיידית בעת הצורך. דרך נוספת לצמצם את הסיכונים היא באמצעות שיתוף רמה בכירה של היחידה המבוקרת. כך ניתן לרתום את המבוקר לתהליך שבו הוא מקבל הזדמנות להיות שותף בבדיקה, ואנו זוכים בשיתוף פעולה בקבלת תוצאות הבדיקה וביישום המלצות הביקורת.
והתיעוד – לנצח יישאר
היבט חשוב לא פחות בבדיקות מסוג זה הוא התיעוד. על מנת להציג למבוקר את תוצאות הבדיקות שביצענו (וכן – גם קצת להשוויץ J), חשוב לאסוף תיעוד מסודר לאורך כל אחד מהתרחישים הנבדקים. לדוגמה: ריכוז הקבצים שאנו מעוניינים להדליף מחוץ לארגון, צילומי מסך של הוצאת המידע וקבלתו מחוץ לארגון, הודעות שהתקבלו בגין תרחישים שנחסמו ו/או שנוטרו על ידי מרכז הבקרה, צילום תמונות/סרטונים של הציוד שאנחנו מחברים וכו'. כך נוכל להעביר למבוקר תמונה מדויקת ומבוססת עובדות של מצב סביבת הבקרה לגבי החשיפות והסיכונים הנבדקים באופן שיצמצם התנגדויות ויהפוך כמעט כל ויכוח להסכמה.
אז מה היה לנו?
גילינו שעל ידי שימוש מושכל בטכניקה של "בדיקות ערנות", הכולל הכנת תרחישי בדיקה, שיתוף גורמים רלוונטיים, ניהול סיכונים אפשריים ותיעוד מסודר – ניתן להגביר לאין ערוך את אפקטיביות הבדיקות המבוצעות במסגרת הביקורת. בשיטה זו ניתן לספק יתרון משמעותי על פני טכניקות בדיקה אחרות ולהציג הוכחות חד-משמעיות המקלות על קבלת הממצאים על ידי הגורם המבוקר.