Dokument Cybersecurity Topical Requirement (CTR) opracowany przez The Institute of Internal Auditors Inc. ma na celu zapewnienie ustrukturyzowanego podejścia dla audytorów wewnętrznych podczas oceny zagrożeń dla cyberbezpieczeństwa, zarządzania i kontroli. Określa on minimalne oczekiwania dotyczące audytu cyberbezpieczeństwa, ale moim zdaniem pozostaje na zbyt wysokim poziomie, aby mieć znaczącą wartość w praktycznych audytach.
Kluczowe obszary
Zarządzanie - Ustanowienie strategii cyberbezpieczeństwa, raportowanie na poziomie zarządu i zaangażowanie interesariuszy.
Zarządzanie ryzykiem - identyfikacja i ograniczanie zagrożeń, definiowanie odpowiedzialności i ustalanie procesów eskalacji incydentów.
Kontrole - wdrażanie technicznych środków bezpieczeństwa, takich jak szyfrowanie, segmentacja sieci i reagowanie na incydenty.
Chociaż obszary te zapewniają podstawową strukturę, nie oferują dogłębnych wskazówek na temat tego, w jaki sposób audytorzy powinni praktycznie oceniać ryzyko cyberbezpieczeństwa lub zapewniać o wdrożeniach technicznych.
Po latach pracy w audycie IT stwierdzam, że audyty cyberbezpieczeństwa wymagają czegoś więcej niż tylko ogólnych wytycznych. Dokument CTR jest przydatny w definiowaniu ogólnych oczekiwań, ale brakuje mu głębi w praktycznym audycie cyberbezpieczeństwa. Audytorzy wewnętrzni, zwłaszcza ci bez silnego zaplecza informatycznego, będą mieli trudności z oceną rzeczywistych zagrożeń technicznych, korzystając wyłącznie z tego dokumentu.
- Audyt cyberbezpieczeństwa to nie tylko zarządzanie i ramy - wymaga głębokiej wiedzy technicznej w zakresie np. systemu operacyjnego, bezpieczeństwa sieci, bezpieczeństwa chmury, bezpieczeństwa OT, bezpieczeństwa AI, DevSecOps
- Sami audytorzy wewnętrzni nie są w stanie nadążyć za szybkimi zmianami w zagrożeniach cyberbezpieczeństwa. Nawet audytorzy IT napotykają trudności, dlatego konieczna jest współpraca z ekspertami w danej dziedzinie.
- Dokumenty takie jak IIA GTAG i programy audytów cyberbezpieczeństwa ISACA zapewniają znacznie bardziej praktyczne podejście niż CTR.
- Bez technicznej wiedzy na temat cyberbezpieczeństwa, poleganie wyłącznie na tym przewodniku nie wystarczy do zapewnienia znaczącej pewności co do zagrożeń dla cyberbezpieczeństwa.
Audytorzy cyberbezpieczeństwa muszą wykraczać poza ramy i rozwijać wiedzę specjalistyczną:
- Zrozumienia modeli współdzielonej odpowiedzialności, ryzyka błędnej konfiguracji i wyzwań związanych ze zgodnością w AWS, Azure i GCP.
- Oceny przemysłowych systemów sterowania, bezpieczeństwa SCADA i zgodności z NERC CIP.
- Ocena ryzyka związanego z podejmowaniem decyzji w oparciu o sztuczną inteligencję, wykrywaniem uprzedzeń i zagrożeniami związanymi ze sztuczną inteligencją.
- Zrozumienie praktyk bezpiecznego kodowania, bezpieczeństwa CI/CD i SBOM.
- Dostosowanie audytów cyberbezpieczeństwa do ewoluujących zagrożeń i wzorców ataków (MITRE).
Wiele audytów kończy się niepowodzeniem, ponieważ koncentrują się one na listach kontrolnych, a nie na zrozumieniu, w jaki sposób materializują się rzeczywiste zagrożenia cybernetyczne. Bez wiedzy w tych obszarach, audyty stają się ćwiczeniami typu tick-box, a nie wartościowymi ocenami ryzyka. Jeśli audyt chce wnieść wartość dodaną w cyberbezpieczeństwie, musi ewoluować poza wymagania wysokiego poziomu i zintegrować prawdziwą wiedzę techniczną.
The Cybersecurity Topical Requirement
The Cybersecurity Topical Requirement (CTR) document from The Institute of Internal Auditors Inc. aims to provide a structured approach for internal auditors when assessing cyber security risks, governance, and controls. It sets minimum expectations for auditing cybersecurity but, in my opinion, remains too high-level to be of significant value in practical audits.
Key Areas Covered
Governance – Establishing cybersecurity strategies, board-level reporting, and stakeholder engagement.
Risk Management – Identifying and mitigating threats, defining accountability, and setting incident escalation processes.
Controls – Implementing technical security measures such as encryption, network segmentation, and incident response.
While these areas provide a basic structure, they do not offer in-depth guidance on how auditors should practically assess cybersecurity risks or provide assurance on technical implementations.
After years in IT auditing, I find that cybersecurity audits require more than just high-level guidance. CTR document is useful in defining general expectations, but it lacks depth in practical cybersecurity auditing. Internal auditors, particularly those without a strong IT background, will struggle to assess real technical risks using this document alone.
- Auditing cybersecurity is not just about governance and frameworks—it requires deep technical expertise in, eg, OS, network security, cloud security, OT security, AI security, DevSecOps
- Internal auditors alone cannot keep up with the rapid changes in cybersecurity threats. Even IT auditors face difficulties, which is why collaboration with subject-matter experts is necessary.
- Documents like IIA GTAGs and ISACA’s cybersecurity audit programs provide far more practical approaches than CTR.
- Without technical cybersecurity knowledge, relying only on this guide is not enough to provide meaningful assurance on cybersecurity risks.
Cybersecurity auditors must go beyond frameworks and develop expertise in:
- Understanding shared responsibility models, misconfiguration risks, and compliance challenges in AWS, Azure, and GCP.
- Assessing industrial control systems, SCADA security, and NERC CIP compliance.
- Evaluating risks in AI-driven decision-making, bias detection, and adversarial AI threats.
- Understanding secure coding practices, CI/CD security, and SBOM.
- Aligning cybersecurity audits with evolving threats and attack patterns (MITRE).
Many audits fail because they focus on checklists rather than understanding how real cyber risks materialize. Without knowledge in these areas, audits become tick-box exercises rather than valuable risk assessments. If audit wants to add value in cybersecurity, it must evolve beyond high-level requirements and integrate real technical expertise.
Autor: Sebastian Burgemejster
Yorumlar