Kiểm toán nội bộ cần làm gì với điện toán đám mây?

Đội ngũ KTV phải có kỹ năng phù hợp để kiểm toán ĐTĐM. Ảnh: TPcloud

Quản lý dữ liệu và rủi ro

ĐTĐM không phải mới phát triển gần đây, ngược lại, các tổ chức đã rất quen thuộc và ngày càng đưa nhiều dữ liệu quan trọng, các quy trình và giao dịch cốt lõi của họ vào ĐTĐM. Rõ ràng, ĐTĐM mang lại sự đổi mới nhanh hơn, tài nguyên linh hoạt và đầu tư vốn thấp hơn. Đặc biệt, trong bối cảnh môi trường làm việc linh hoạt, nhiều tổ chức đã chuyển phần lớn dữ liệu sang ĐTĐM để nhân viên có thể truy cập các ứng dụng và dữ liệu từ bất kỳ nơi nào họ muốn.

Tuy nhiên, theo khảo sát của Viện Tiêu chuẩn và công nghệ quốc gia (NIST), 99% lỗi bảo mật đám mây là do lỗi của các nhân viên và khách hàng. Do đó, các tổ chức cần quản lý quá trình chuyển đổi một cách cẩn thận để tránh những rủi ro tiềm ẩn. Các nhóm KTNB phải đánh giá các rủi ro đám mây và mô hình quản trị dữ liệu của tổ chức, hiểu được khả năng chịu rủi ro, từ đó hoàn thiện quy trình quản trị, quản lý rủi ro và kiểm soát ĐTĐM.

Theo đó, các kiểm toán viên (KTV) cần xác định dữ liệu và loại công nghệ đám mây được sử dụng trong toàn bộ tổ chức, từ đó hiểu được mức độ sử dụng đám mây và đánh giá rủi ro chung. Trách nhiệm quản trị đám mây được phân chia rõ ràng giữa nhà cung cấp dịch vụ và khách hàng, mức độ rủi ro và trách nhiệm tăng hay giảm phụ thuộc vào việc các tổ chức sử dụng các dịch vụ đám mây khác nhau. Nhóm KTNB cần phân tích các bên liên quan chính và vai trò của họ để đảm bảo trách nhiệm được phân chia và nhà cung cấp dịch vụ đám mây luôn phải thực thi đúng vai trò của mình.

Chiến lược và quản trị đám mây là những thông tin rất quan trọng đối với các KTV để xác minh và đánh giá mức độ phù hợp với chiến lược kinh doanh tổng thể của tổ chức. KTV có thể sử dụng mô hình tham chiếu đám mây để phác thảo các thông lệ tốt nhất cho ĐTĐM, chẳng hạn như NIST SP 500-292 (định nghĩa các dịch vụ và mối quan hệ giữa các nhà cung cấp dịch vụ đám mây, người tiêu dùng và các bên liên quan khác).

Bên cạnh đó, KTV cũng phải xác nhận rằng các tổ chức đã tuân thủ các quy trình, chính sách giúp di chuyển tài sản kỹ thuật số của công ty từ hệ thống tại chỗ sang hệ thống ĐTĐM. Điều này giúp tổ chức giảm thiểu rủi ro, đảm bảo sự phù hợp với các mục tiêu kinh doanh. Định kỳ, KTV rà soát, xác nhận xem tổ chức có sử dụng các công cụ phù hợp để theo dõi các dịch vụ đám mây đang sử dụng nhằm ngăn chặn việc sử dụng dịch vụ trái phép.

Thông thường, các tổ chức thực hiện một số quy trình thủ công trong môi trường đám mây, chẳng hạn như cài đặt và cấu hình máy chủ, mạng hoặc dung lượng lưu trữ. Các hành động này dễ xảy ra lỗi và mất nhiều thời gian hơn so với các tác vụ tự động hoặc bán tự động. KTNB cần tư vấn việc sử dụng tự động hóa trong môi trường đám mây, đồng thời theo dõi chi phí sử dụng ĐTĐM.

Tần suất đánh giá các dự án đám mây cũng phải thường xuyên hơn, dựa trên một số khía cạnh của mức độ rủi ro hằng năm. Các tổ chức thường tập trung vào thẩm định nhà cung cấp dịch vụ đám mây, nhưng điều quan trọng là phải theo dõi sự phát triển của các dịch vụ đám mây theo thời gian thực. Do đó, KTNB có nhiệm vụ đánh giá ĐTĐM trước khi tổ chức sử dụng để xác nhận các chính sách, quy trình và biện pháp giải quyết các rủi ro. Sau đó, KTNB có thể quyết định tần suất và cách thức kiểm toán dựa trên mức độ phức tạp, mức độ trưởng thành và loại hình dịch vụ đám mây.

Kiểm soát bảo mật - yếu tố then chốt

Nhóm KTNB phải xác nhận rằng tổ chức đã thiết lập một bức tường bảo mật đủ mạnh cho môi trường đám mây. Chương trình bảo mật này bao gồm các kế hoạch ứng phó sự cố, trách nhiệm bảo mật và các biện pháp kiểm soát an ninh mạng: bảo mật ứng dụng, phân đoạn mạng, kiểm soát truy cập, bảo mật email, tường lửa, hệ thống ngăn chặn xâm nhập, lập kế hoạch ứng phó sự cố, xác thực đa yếu tố, phát hiện và phản hồi điểm cuối (EDR).

Các tổ chức phải đảm bảo có biện pháp quản lý danh tính và quyền truy cập mạnh mẽ, từ xác thực đa yếu tố, kiểm soát quyền truy cập dựa trên vai trò và liên tục xem xét các quy tắc, chính sách về danh tính. Đồng thời, lựa chọn các giải pháp tận dụng trí tuệ nhân tạo/học máy để giảm tình trạng cảnh báo không cần thiết và xác định các mối đe dọa nâng cao. Ngoài ra, tổ chức cũng cần triển khai các biện pháp kiểm soát phù hợp để đảm bảo dữ liệu đám mây được mã hóa khi lưu trữ và truyền tải, ưu tiên các phương pháp mã hóa không đối xứng như mật mã đường cong elip và chữ ký số.

Các KTV nội bộ đánh giá thường xuyên và xác nhận các biện pháp nêu trên để phát hiện và ngăn chặn hoạt động đáng ngờ trong các ứng dụng đám mây, duy trì tính bảo mật và toàn vẹn của dữ liệu. Việc giám sát các hoạt động và giao dịch của người dùng là rất quan trọng để phát hiện các bất thường, chỉ ra hành vi vi phạm bảo mật. Trong môi trường đám mây, dữ liệu nhật ký có thể giúp KTV có được thông tin chi tiết theo thời gian thực, xác định các bất thường và phản ứng nhanh chóng với các sự cố tiềm ẩn.

Có nhiều công cụ giám sát khác nhau do các nhà cung cấp dịch vụ đám mây thiết kế giúp ghi nhật ký và kiểm tra các hoạt động, từ truy cập dữ liệu đến thay đổi cấu hình. Vấn đề đặt ra là đội ngũ KTV phải có kỹ năng phù hợp để kiểm toán ĐTĐM, nhận thức được các mô hình và loại dịch vụ khác nhau, các biện pháp thực hành bảo mật đám mây, cập nhật được kiến thức về các khuôn khổ và tiêu chuẩn liên quan như: Điểm chuẩn cho cấu hình bảo mật của hệ thống (CIS); Tiêu chuẩn bảo mật thông tin để xử lý, lưu trữ và truyền dữ liệu thẻ tín dụng (PCI DSS); Bảo vệ an ninh và quyền riêng tư đối với thông tin chăm sóc sức khỏe cá nhân (HIPAA); Quản lý bảo mật thông tin (ISO 270002); Khung an ninh mạng cho điện toán đám mây (CSA)./.

THÙY LÊ