Проводячи оцінку кібербезпеки компанії, внутрішні аудитори повинні звертати увагу на комплекс обставин і факторів, які визначають діяльність компанії.

Важливо, щоб питаннями кібербезпеки займалися аудитори, які добре розуміються на комп’ютерних технологіях і знайомі з основними ризиками в цій галузі. І хоча таких спеціалістів може бути важко знайти та утримати, це важливо зробити, адже компетентний персонал – це ключ до кібербезпеки організації.

Внутрішні аудитори повинні оцінювати всю систему протидії кібератакам загалом, а не перевіряти лише окремі зони. Важливо сформувати загальне розуміння щодо системи захисту організації від кібератак, а також порівняти отримані результати з мінімальними очікуваннями щодо кібербезпеки в цій галузі чи бізнес-секторі.

Початкова загальна оцінка ризиків щодо кібербезпеки організації повинна бути доповнена вичерпним аналізом і тестуванням окремих контролів.

Звичайно, внутрішні аудитори не повинні самі виступати загрозою кібербезпеці організації. Для цього необхідно, як мінімум, чітко дотримуватися всіх процедур і політик компанії щодо безпеки інформаційних технологій, наприклад:

  • не відкривати листів від підозрілих відправників;
  • не переходити за незнайомими посиланнями;
  • працювати лише на дозволених пристроях;
  • не виносити ноутбук з даними за межі території, якщо це забороняється політиками організації.