Kako mjeriti učinkovitost interne revizije kibernetičke sigurnosti? U sklopu međunarodnog projekta tim pitanjem pozabavili su se znanstvenici s Ekonomskog fakultetu Sveučilišta u Splitu prof.dr.sc. Tina Vuko i doc.dr.sc. Marko Čular, zajedno s prof.dr.sc. Sergejom Slapničar (University of Queensland, Business School) te dr.sc. Matejem Draščekom (Institut internih revizora Slovenije).
Ideja o zajedničkom projektu pod nazivom „How comprehensive is internal audit cyber security assurance?“ nastala je u siječnju 2020. godine, neposredno prije lockdown-a.
Dr. Vuko i dr. Čular kazuju nam kako je taj projekt zapravo nastavak suradnje s prof. dr.sc. Sergejom Slapničar koja je zaposlena na University of Queensland, sveučilištu koje se po mnogim kriterijima ubraja u top 50 sveučilišta na svjetskoj razini.
-S prof.dr.sc. Slapničar smo već prethodno imali izvrsnu suradnju dok je bila zaposlenica Ekonomskog fakulteta u Ljubljani te smo s njom već objavili jedan znanstveni članak u časopisu European Accounting Review, vodećem znanstvenom časopisu iz računovodstva i revizije na području EU. Prof.dr.sc. Slapničar je bila i idejni vođa ovog novog projekta, a postojećem istraživačkom timu smo pridružili i praktičara - dr.sc. Mateja Draščeka, glavnog internog revizora u jednoj kreditnoj instituciji te predsjednika Instituta internih revizora Slovenije. Upravo je Matej najviše zaslužan za promoviranje našeg istraživanja u struci – govore nam splitski znanstvenici o tome kako je došlo do suradnje.
Za uvod u ovaj projekt skreću pozornost na to kako je posljednjih nekoliko godina, zahvaljujući sve intenzivnijoj digitalnoj trasformaciji poslovanja te razvoju novih tehnologija, softvera i aplikacija, kibernetička sigurnost postala jedan od ključnih rizika s kojim se suočavaju suvremene organizacije.
Da će tako ostati i u doglednoj budućnosti potvrđuju rezultati petogodišnjeg istraživanja koje među glavnim internim revizorima različitih organizacija diljem Europe provodi Europska konfederacija instituta internih revizora (ECIIA) u okviru projekta „Rizik u fokusu“.
Pojašnjavaju i kako je unatoč sve većoj svijesti te brojnim naprednim tehnološkim i organizacijskim mehanizmima obrane, kibernetički kriminal i dalje u porastu, a COVID-19 pandemija ga je samo dodatno intenzivirala. Primjerice, u izvještaju iz 2016. godine Cybersecurity ventures predviđa da bi kibernetički kriminal na globalnoj razini do kraja 2021. mogao iznositi do 6.000 milijardi USD godišnje, odnosno 10.500 milijardi USD do kraja 2025. godine. Pritom, važnu ulogu u borbi protiv kibernetičkog kriminala, naglašavaju naši sugovornici, zasigurno ima funkcija interne revizije.
Dodaju kako se u tom kontekstu postavilo važno pitanje kako što pouzdanije i obuhvatnije mjeriti učinkovitost interne revizije kibernetičke sigurnosti.
- S ciljem provođenja istraživanja ukupno smo kontaktirali 19 nacionalnih Instituta internih revizora (IIA) i tri Udruge za reviziju i kontrolu informacijskih sustava (ISACA) koji su diseminirali anketni upitnik svojim članovima. Kao jedan od rezultata projekta u listopadu ove godine nam je prihvaćen za objavu znanstveni članak “Effectiveness of cybersecurity audit“ u časopisu indeksiranom u bazi Web of Science (International Journal of Accounting Information Systems) i to u prvom kvartilu. To je prvi znanstveni članak koji na originalan i obuhvatan način mjeri učinkovitost interne revizije kibernetičke sigurnosti i njezine učinke na upravljanje kibernetičkim rizikom – kazuje dr. Tina Vuko.
Dodaje kako su osim toga, u sklopu projekta objavili i stručnu publikaciju o učinkovitosti interne revizije kibernetičke sigurnosti. Publikacija je proslijeđena internim revizorima, članovima Instituta internih revizora iz Europe, SAD-a, Australije i Novog Zelanda koji su sudjelovali u istraživanju.
-Nadalje, isti tim pripremio je još jedan znanstveni članak u okviru projekta pod naslovom “Key drivers of cybersecurity audit effectiveness: the neo-institutional perspective“ u kojem istražujemo čimbenike koji utječu na učinkovitost revizije kibernetičke sigurnosti, a koji je u trenutno procesu recenzije – kazala je također.
Dr. Marko Čular objašnjava kako je osnovni cilj projekta bio razvoj obuhvatne mjere (indeksa) učinkovitosti interne revizije kibernetičke sigurnosti na temelju koje bi mogli mjeriti njihovu učinkovitost za znanstvene svrhe ali koja može poslužiti i kao mjera učinkovitosti za potrebe prakse.
-Prije samog definiranja indeksa proveli smo pet eksploratornih intervjua s dva IT revizora, dva glavna interna revizora i jednim konzultatntom za kibernetičku sigurnost zaposlenom u velikom revizorskom društvu (tzv. Velika četvorka) kako bismo što jasnije razumjeli perspektivu prakse. U procesu izrade naših članaka značajno nam je pomogla i suradnja s partnerima Ekonomskog fakulteta u Splitu, prije svega internim i IT revizorima u kreditnim institucijama i subjekatima od javnog interesa – ističe dr. Čular.
Na temelju rezultata prethodnih istraživanja, relevantnih stajališta struke te uvida iz prakse najprije su, pojašnjavaju nadalje, konceptualno razvili tiplogiju učinkovitosti revizije kibernetičke sigurnosti te su potom razvili indeks kojim su mjerili stvarnu učinkovitost internih revizora na području kibernetičke sigurnosti.
Što zapravo podrazumijeva koncept kibernetičke sigurnosti? Naši sugovornici informiraju kako taj koncept podrazumijeva postupke kontrole i zaštite informacija i informacijskih sustava od kibernetičkih napada.
-Dok informacijska sigurnost obuhvaća sigurnost podataka u bilo kojem obliku, kibernetička sigurnost se odnosi na zaštitu podataka u elektroničkom obliku. Iako je IT područje po svojoj prirodi tehničko područje, zbog rastuće važnosti digitalnih tehnologija upravljanje IT sustavima danas se nikako ne smije postaviti kao isključivo tehničko već kao i važno poslovno pitanje. Upravo interna revizija čini važnu poveznicu između rukovoditelja i upravljačkih struktura te informatičara, a informatičko okruženje postaje integralni dio kontrolnog okruženja i sustava internih kontrola – ističe Tina Vuko.
Nadalje kazuje kako načela dobrog upravljanja rizicima naglašavaju da se upravljanje rizicima na razini organizacije najbolje provodi kroz model tri linije koji promovira Institut internih revizora (IIA).
-U kontekstu kibernetičkih rizika, rukovoditelji poslovnih jedinica i IT funkcije predstavljaju prvu liniju (tzv. vlasnici rizika) koja promatra kibernetičke rizike kao inherentne rizike poslovanja te uspostavlja odgovarajuće strukture i kontrole za upravljanje rizicima. Funkcija informacijske sigurnosti predstavlja drugu liniju koja kao nezavisna kontrolna funkcija nadzire rizik i učinkovitost kontrola prve linije. Treća linija predstavlja funkciju interne revizije koja pruža neovisno i objektivno uvjerenje i daje savjete o adekvatnosti i efikasnosti upravljanja rizicima – objašnjava prof.Vuko.
S obzirom na to da su tri linije međusobno povezane, za učinkovito upravljanje kibernetičkim rizicima na razini organizacije, također navodi, važno je i da postoji konstruktivna suradnja i komunikacija između menadžmenta, uloga i prve i druge linije te interne revizije kako bi se izbjegla nepotrebna dupliciranja, preklapanja ili praznine.
-O svojim nalazima interni revizori obavještavaju menadžment i upravljačko tijelo radi promicanja i usmjeravanja kontinuiranog unapređenja. Stoga je pred funkcijom interne revizije sada i veliki izazov da osim tradicionalne uloge revidiranja i savjetovanja pomogne organizaciji da se što kvalitetnije pripremi za budućnost kroz anticipiranje nadolazećih rizika i prijetnji (kao što su to kibernetički rizici) te tako postane savjetnik od povjerenja i strateški partner upravljačkih tijela – ističu splitski znanstvenici.
Dr. Čular kaže i kako je osim modela tri linije, za učinkovito upravljanje IT i kibernetičkim rizicima važna primjena odgovarajućih kontrolnih okvira.
-IT kontrolni okviri su modeli za uspostavljanje sustava kontrola nad informacijsko komunikacijskim tehnologijama i važan alat korporativnog upravljanja. IT okviri omogućavaju upravljačkim strukturama uvid i praćenje načina na koji IT sustav doprinosi ostvarivanju ciljeva organizacije – pojašnjava dr.Čular.
Dodaje kako je najpoznatiji okvir upravljanja informacijskim i komunikacijskim sustavima i tehnologijom u svjetskim okvirima COBIT (Control Objectives for Information and Related Technology).
-Također, danas postoje brojni specifični okviri za upravljanje kibernetičkim rizicima (npr. PCI DSS - Payment Card Industry Data Security Standard, ISO 27001/27002, CIS Critical Security Controls, NIST Framework for Improving Critical Infrastructure Cybersecurity i sl.), a organizacije nerijetko koriste i više od jednog okvira – ovisno o specifičnostima njihova poslovanja. U Hrvatskoj postoji Nacionalna strategije kibernetičke sigurnosti i akcijski plana za provedbu nacionalne strategije kibernetičke sigurnosti te Okvir dobrih praksi – pojasnio je dr. Marko Čular.
Dodajmo kako je Europski parlament u travnju 2021. usvojio program Digitalna Europa, vrijedan više od 7,5 milijardi eura. Cilj je ulagati u digitalnu infrastrukturu kako bi strateške tehnologije mogle pridonijeti jačanju konkurentnosti Europe, prelasku na zeleno gospodarstvo i osiguravanju tehnološke suverenosti. Jedno od pet važnih područja tog programa je i kibernetička sigurnost u koju se planira uložiti 1,6 milijardi eura.
