ביקורת מערכות מידע
<   +  גודל טקסט  - 
articles.co.il

ביקורת מערכות מידע 

מאת   01/11/2008 |  נצפה 4807 פעמים
על- פי ההגדרה 1* "..ביקורת מערכות מידע הינה תחום מקצועי שמטרתו הגדלת הוודאות כי מערכות המידע בארגון פועלות באופן תקין. זהו תת-תחום של ביקורת. ביקורות מערכות מידע הינה עיסוק בינתחומי המשלב התמחויות מתחום הפיננסים וראיית החשבון עם התמחויות בתחום מערכות המידע והמחשבים.

ביקורת מערכות מידע יכולה לפעול בשירות הביקורת הפנימית או הביקורת החיצונית. כמו בתחום הביקורת בכלל, גם בתחום זה הלקוחות העיקריים לתוצרי הביקורת הינם גורמים ניהוליים של התאגיד ובפרט הדירקטוריון, ועדת ביקורת של הדירקטוריון, מנהל כללי וגורמים נוספים.."

לביקורת מערכות מידע שם נרדף נוסף הנמצא בשימוש בארגונים מסוימים: ביקורת ענ"א (ביקורת עיבוד נתונים אוטומטי).

רוב העוסקים בתחום זה למדו את עבודתם ורכשו ניסיון כמתמחים אצל מבקרים וותיקים אחרים. הדבר מייחד את המקצוע ומקשה על הכניסה למעגל העוסקים בו.

יש לציין כי קיימת הסמכה בינלאומית (CISA) למבקרי מערכות מידע על-ידי ארגון מבקרי מערכות מידע ואבטחת מידע בימלאומי ISACA *2. ההסמכה ניתנת על בסיס הצלחה במבחן מקצועי ועמידה בתנאים נוספים (ניסיון בתחום, השכלה אקדמית ועוד).



תמונת מצב קיים בתחום ביקורת מערכות מידע


ביקורת מערכות מידע ניתנת כיום בעיקר כחלק מפונקציית הביקורת הפנימית בארגונים. גם ביקורת חיצונית (המיוצגת על-ידי פירמות רואי החשבון השונות) נעזרת במבקרי מערכות מידע, אך מדובר בעבודות מאוד ספציפיות ומוגבלות על-פי הגדרתן (כגון: ניתוח נתוני ספר ראשי, GL, לאיתור מעילות ושגיאות).

עקב סיווגה ושיוכה של ביקורת מערכות מידע לפונקציית הביקורת הפנימית, היא סובלת מכל "המחלות הכרוניות" של הביקורת הפנימית.

באפריל 2008 פרסמו רשות ניירות הערך ולשכת המבקרים הפנימיים (ישראל) דוח חמור בנוגע למצב הביקורת הפנימית בארץ. הדוח בחן את הדיווחים שהעבירו לרשות ניירות הערך 500 חברות ציבוריות במהלך השנים 2004, 2005 ו-2006.

הדוח קובע כי "..ביקורת פנים הינה בגדר קישוט אירגוני בלבד.." וכי לא קיימת ביקורת פנים ראויה לשמה בחברות הציבוריות, על אף שהן מחויבות לכך על פי החוק.

להלן מספר עובדות מדאיגות שהועלו בדוח:


•  87% מהחברות דיווחו על היקף שעות ביקורת פנים שנתיות השקול לרבע משרה בלבד

•  28% מהחברות לא דיווחו כלל על מספר דוחות הביקורת שבוצע בהן

•  מבין החברות שדיווחו על מספר הדוחות 83% ניפקו רק שלושה דוחות ביקורת פנים בשנה - פחות מדוח אחד לרבעון

לאור הממצאים הנ"ל ניתן להסיק בקלות כי כמות דוחות הביקורת שעסקו בביקורת מערכות מידע הייתה עוד יותר קטנה. יותר מזה, בחלק מהחברות ביקורת מערכות מידע לא נערכה כלל.

נציין כי מערכות המידע ששימשו בעבר כלי עזר בלבד בידי המפעילים, הפכו בימינו לפס הייצור של החברות, ליתרון תחרותי ולליבת הרווחיות הארגונית.

בהיעדר ביקורת מערכות מידע לא יתגלו ולא יטופלו חשיפות שונות בפיתוח ותחזוקת המערכות, אבטחת המידע, גיבויים ועוד.

בחברות רבות כשל חמור בתחומים הנ"ל עלול להביא לקריסה וביטול הארגון כיישות עסקית (לדוגמה, כתוצאה מאבדן כל הנתונים הממוחשבים או עזיבה מאסיבית של הלקוחות).

גם כשלים שאינם חמורים גורמים לנזקים כספיים, עיכובים מיותרים, השקעה בפרוייקטים כושלים, בזבוז זמן עבודה יקר ופגיעה במוניטין החברות.



השלכות של הזנחת ביקורת מערכות מידע


להלן פירוט של סיכונים (רשימה חלקית לפי תחומים) שעלולים להתממש בסבירות גבוהה אם לא מקיימים ביקורת מערכות מידע נאותה:



פיתוח תוכנה

מדובר בתהליכי פיתוח מערכות מידע חדשות או הכנסת שינויים ושדרוגים במערכות הקיימות. התהליך כולל כתיבת קוד תוכנה ושינויים בבסיסי הנתונים ובאפליקציות בסביבת הייצור (Production).

להלן הסיכונים:


• שתילת קוד זדוני במערכות התוכנה (BackDoors *3, TimeBombs *4 ועוד) והפעלתו בעת הצורך על-ידי האקרים או מתחרים.

• פיתוח קוד באיכות ירודה (קוד מסובך, ללא מדריכים מסודרים ועוד). קוד כזה קרוב לבלתי אפשרי לתחזוקה ויאלץ את החברה לפתח את היישומים מחדש תוך זמן קצר.

• אי-הכללה של מנגנונים חשובים בתוצר הסופי, עקב אילוצי זמן או כוח אדם (לדוגמא: אי הכללת דוחות בקרה חשובים, נתיב ביקורת (Log) או מודול הרשאות).

• העברת תוכנה לא תקינה (באגים מרובים) לסביבת הייצור, כתוצאה מאי-ביצוע בדיקות איכות. הפעלת מערכות מידע שאינן מתפקדות בצורה טובה בסביבת הייצור (שגיאות חישוב, זמני תגובה ארוכים, נפילות מערכת תכופות) עולה לארגונים ביוקר: הוצאות כספיות חריגות, בזבוז שעות עבודה ומשאבי מחשוב.

• אינטגרציה כושלת בין המערכות השונות בסביבת הייצור. התוצאות האפשריות הן נפילות המערכת, השבתת פעילות חלקית או מלאה ועוד.


רכש תוכנה

להלן הסיכונים:


• רכישת תוכנה שאינה תואמת את צורכי הארגון.

• רכישות ללא בדיקות מקדימות של תועלת או איכות הפיתרון המיכוני.


ניהול ספקי שירות חיצוניים

להלן הסיכונים:


• התקשרות עם גורמים לא מקצועיים.

• התקשרות יקרה מדי או לא כלכלית.

• יצירת תלות בספקים יחידים.

• איכות תוצרים ירודה עקב אי-ביצוע בדיקות איכות על-ידי הספק.

• חשיפת נתוני חברה רגישים בפני גורמים בלתי מורשים בצד הספק.


ניהול משתמשים

להלן הסיכונים:


• ביצוע מעילות על-ידי עובדי החברה תוך ניצול הרשאות גישה רחבות במערכות.

• תביעות משפטיות עקב הפרות הסכמים בכל הנוגע לשימוש ברשיונות תוכנה / תחנות עבודה.

• חשיפת נתונים רגישים ומעילות על-ידי עובדים לשעבר שחשבונות המשתמש שלהם לא בוטלו בזמן.


אבטחת מידע

אבטחת המידע בארגון היא כלב השמירה שבלעדיו אי-אפשר להתקיים. כשלים במערך האבטחה שאינם מתגלים בזמן עלולים להביא להשלכות חמורות.
להלן הסיכונים:


• ביטול יתרון תחרותי של החברה עקב גניבת אינפורמציה קריטית על-ידי המתחרים (לדוגמה, על-ידי השתלת סוסים טרויאניים).

• תביעות משפטיות נגד החברה עקב חשיפת אינפורמציה רגישה, על-פי חוק הגנת הפרטיות 5*.

• גניבת כספים מהחברה או מלקוחותיה על-ידי העברה אלקטרונית בלתי מורשית.

• פגיעת האקרים או מתחרים בנכסי המידע עקב תצורה לא נכונה של ההגנות על התקשורת (FireWalls *6, IDS *7).

• חשיפה או נזק לנתונים רגישים עקב התחברות בלתי מורשית של גורמים זדוניים לרשת הפנימית (לדוגמה, על-ידי ניצול פרוטוקול DHCP בסיסי 8*).


גיבויים והיערכות לשעת חירום

להלן הסיכונים:


• נזק כספי עקב פגיעה בנתונים ואבדן מידע כתוצאה משריפה / הצפה בחדר שרתים.

• נזק כספי כבד או קריסת חברה טוטאלית בעת חירום (כגון: מלחמה, רעידת אדמה, פיגוע המוני) כתוצאה מפגיעה קשה בנתונים ומידע, ללא יכולת לשחזרם.

• קנסות רגולטוריים (על-ידי מפקח על הבנקים, מפקח על הביטוח, רשות לניירות ערך ועוד) עקב אי-עמידה בדרישות היערכות לשעת חירום.



כיצד למנוע פגיעה בחברה


סוד ההצלחה הוא קיום ביקורת מערכות מידע באופן עקבי, רציף ויעיל.

עקבי - עם היעדים העסקיים של החברה.

רציף - כל תחום פעילות או מערכת (לחלוקה מקובלת ניתן להיעזר ב- CobiT *9) אמורים להיבדק אחת לתקופה. התקופה מוגדרת בד"כ על-ידי רמת סיכון של התחום הנבדק.

יעיל - בדיקות מערכות מידע אינן אמורות להוות נטל (הוצאות כבדות או עומס בלתי סביר על עובדי IT). על הביקורות להתפרס לאורך פרק זמן קצר יחסית (שבועות) ולהקיף אך ורק תחומים רלוונטיים (בהתאם למה שהוגדר בתוכנית העבודה).

על הביקורת להתבצע על-ידי מומחים בתחום בעלי הסמכה מתאימה וניסיון מוכח. את נושא הניסיון יש לבחון בקפידה. מומלץ לדרוש הקצאה של עובדים מנוסים ומוסמכים (CISA) למשימות אלה, לצד יועצים "מתמחים", על-מנת להבטיח פיקוח נאות ושמירה על איכות הבדיקות.

מומלץ לכלול ביקורת בלתי תלויה למערכות המידע בתוכנית עבודה של מערך ה- IT עצמו, על-מנת להעלות את רמת האיכות ולקבל הערכה מקצועית חיצונית.

בדיקות מסוג זה מומלץ לערוך ללא קשר לדרישות רגולציה (כגון: SOX), ביקורת חיצונית (כגון: על-ידי רואה חשבון מבקר) או ביקורת פנימית.

ראוי לציין, כי במקרים בהם הנהלת IT תערוך ביקורת מערכות מידע מקצועית מיוזמתה, גורמי הפיקוח השונים (מבקרים, רגולטורים) יתבססו על תוצאות בדיקות אלה ויצמצמו משמעותית את פעילותם ביחידת מערכות המידע.




הערות


הגדרת ביקורת מערכות מידע 1* כפי שמופיעה בויקיפדיה www.wikipedia.com

ISACA *2 - ארגון מקצועי בינלאומי למקצועני ביקורת מערכות מידע, בקרה ואבטחת מידע, לפרטים נוספים: www.isaca.org

BackDoors *3 - שיטה לעקיפת מנגנון הזדהות ועיבוד סטנדרטי של מערכת מידע. ברוב המקרים מיושמת על-ידי האקרים / מתכנתים באמצעות שתילת פקודות קוד חבויות במוצרי תוכנה.

TimeBombs *4 - שיטה להפעלת קוד זדוני במועד קבוע מראש. עד למועד ההפעלה גילוי המנגנון הרדום הינו קשה ביותר.

חוק הגנת הפרטיות 5* חוקק בישראל בשנת 1981 ומגדיר את הדרישות מהחברות השונות לנקיטת אמצעים להגנה על אינפורמציה רגישה השייכת ללקוחותיהם אך נשמרת במחשבי החברות (מאגרי מידע).

FireWalls *6 חומות אש מהוות מנגנון הגנה על רשתות הארגון מפני חדירה מבחוץ או מבפנים. הפעלתן מבוססת על סינון נתונים לפי קריטריונים מוגדרים מראש (rules). קיימים סוגים שונים של חומות האש שמבוססות על תוכנה / חומרה / שילוב של חומרה ותוכנה.

IDS *7 - קיצור של Intrusion Detection System, הינה מערכת לגילוי חדירות למערכות מידע. מדובר בכלי אבטחת מידע המבוסס תוכנה / חומרה שמטרתו לגלות גישה בלתי מורשית, שינויים או חבלה במערכות המידע הארגוניות.

פרוטוקול DHCP בסיסי 8* הינו פרוטוקול תקשורת המאפשר הקצאה אוטומטית של נתוני כתובות IP, לצורך הוספה של מחשבים לרשת או ניודם בתוך החברה בקלות. הפרוטוקול הבסיסי אינו כולל אמצעי אבטחה ובכך מאפשר התחברות גורמים בלתי מורשים לרשת הארגון.

CobiT *9 - קיצור של Control Objectives for Information and related Technology המהווה מסגרת שיטות מקובלות לבקרה וניהול מערך IT, מאת ISACA ו- ITGI.

רמי איצלב, M.B.A, CISA


בעל תואר ראשון במדעי המחשב וסטטיסטיקה ותואר שני במנהל עסקים מאוניברסיטת בר-אילן, חוקר פלילי מוסמך ומבקר מערכות מידע (CISA) מוסמך.

מייסד חברת "ארה שירותי ביקורת" - eRA IT Audit Services המתמקצעת בביקורת מערכות מידע, אבטחת מידע, בדיקות חדירה, SOX IT וניהול סיכונים.

אתר: http://www.era-ita.com
דוא"ל: rami@era-ita.com

מאמרים נוספים שעשויים לעניין אותך:

מאמרים במדיה:
פייסבוק - טוויטר - יוטיוב - גוגל-פלוס

 פרסם את המאמר   הדפס את המאמר   שלח לחבר   קישור ישיר למאמר   פניה לכותב המאמר   דווח מאמר בעייתי 

עבור לגירסה המלאה

הרשם | התחבר  | גרסא מלאה