حسابرسی فناوری اطلاعات

آسیب پذیری چیست؟

حسابرسان داخلی برای ارزیابی اثربخشی کنترل های امنیت اطلاعات باید اطلاعات گسترده ای در خصوص آسیب پذیری های امنیتی داشته باشند.

به صورت متداول مجموعه ای از تهدیدهای امنیتی در فضای بیرون سازمان وجود دارد. ویروس ها، کرم ها، حملات اینترنتی، فعالیت های مخرب و اقداماتی با هدف نفوذ به سازمان از جمله این تهدیدها هستند. در صورتی که سازمان در مقابل این تهدیدها از خود ضعف نشان دهد، دارای یک آسیب پذیری است.

به عبارت دیگر آسیب پذیری، ضعف بالقوه سازمان در مقابل یک تهدید است. البته همیشه تهدیدها در فضای بیرون سازمان نبوده و تهدیدهای درونی نیز وجود دارند. دسترسی غیرمجاز به داده ها و سواستفاده از آنها توسط کاربران درونی نیز می تواند یک تهدید درونی باشد.

حسابرسان فناوری اطلاعات ابتدا باید در مورد تهدیدهای متداول امنیتی اطلاعات لازم را در اختیار داشته باشند. سپس بتوانند سازمان را بررسی کنند که آیا در مقابل این تهدیدها آسیب پذیر هستند یا خیر.

در این میان احتمال اینکه تهدید بتواند براساس آسیب پذیری سازمان، موثر واقع شود، ریسک نامیده می شود. به عبارت دیگر ریسک احتمال موثر شدن تهدید برای سازمان است.

آسیب پذیری ها معمولا برای دارایی های سازمان شناسایی و تحلیل می شوند. از این رو حسابرسان فناوری اطلاعات باید آسیب پذیری را به ازای هر یک از اموال اساسی سازمان تحلیل کنند. کارکنان، سیستم ها، داده ها، شبکه و زیرساخت برخی از اموال کلیدی سازمان هستند.

نظر دهید