Η κυβερνοασφάλεια και η κυβερνοετοιμότητα ως αναγκαίο κομμάτι της ελεγκτικής διαδικασίας
Τίτλος:
Cyber-security and cyber-preparedness as a necessary part of the auditing process
Κύρια Υπευθυνότητα:
Κούκη, Αναστασία Ι.
Επιβλέπων:
Φίλος, Γιάννης
Θέματα:
Keywords:
Ελεγκτική, Κυβερνοασφάλεια, Κυβερνοετοιμότητα, Ρίσκα και Ευπάθειες Κυβερνοασφάλειας, Συμμόρφωση, Διεθνή Ελεγκτικά Πρότυπα, Ηνωμένο Βασίλειο, Ηνωμένες Πολιτείες Αμερικής, Ευρωπαϊκή Ένωση, αποτρεπτικές, εντοπισμού, και διορθωτικές δικλείδες ασφαλείας, διεξαγωγή ελέγχων κυβερνοασφαλείας, διαμόρφωση και εκτέλεση ενός ελεγκτικό πρόγραμμα κυβερνοασφαλείας, Παγκόσμιος Οργανισμός Προτύπων, Ένωση για την Ελεγκτική και τις Δικλείδες Ασφαλείας των Πληροφοριακών Συστημάτων, ελεγκτική έκθεση κυβερνοασφαλείας Auditing, cybersecurity, cybersecurity preparedness, cybersecurity risks and vulnerabilities, compliance, International Auditing Standards, UK. USA, EU, preventive, detective, and corrective controls, cybersecurity auditing controls, cybersecurity auditing program, ISO, ISACA, cybersecurity auditing report
Ημερομηνία Έκδοσης:
2019
Εκδότης:
Πάντειο Πανεπιστήμιο Κοινωνικών και Πολιτικών Επιστημών
Περίληψη:
Η παρούσα μεταπτυχιακή εργασία στοχεύει στην βαθύτερη κατανόηση της σημαντικότητα και της αναγκαιότητας ενσωμάτωσης της κυβερνοασφάλειας και της κυβερνοετοιμότητας στις ελεγκτικές διαδικασίες και πρακτικές στην σύγχρονη οικονομική πραγματικότητα. Οι σύγχρονες οικονομικές μονάδες, ανεξάρτητα αν ανήκουν στην ιδιωτική ή δημόσια οικονομική σφαίρα ή έχουν μια μεικτή μορφή, ανεξάρτητα το μέγεθός τους (μικρομεσαίες, μεγάλες, πολυεθνικές, κλπ.) και ανεξάρτητα σε ποιόν οικονομικό κλάδο ανήκουν, λειτουργούν σε υπερβολικά (δια)συνδεδεμένα οικονομικά περιβάλλοντα που απαιτούν από αυτές όχι μόνο να προσαρμοστούν αποτελεσματικά στις τρέχουσες ψηφιακές εξελίξεις και απαιτήσεις, αλλά και προκειμένου να εξασφαλίσουν την ανάπτυξη και μακροημέρευσή τους θα πρέπει να δημιουργήσουν τους νέους ψηφιακούς οικονομικούς κυβερνοκόσμους, μια εξέλιξη που συνοδεύεται από μια πλειάδα ρίσκων και ευπαθειών κυβερνοασφάλειας. Κατά συνέπεια, ο ελεγκτικός κλάδος αντιμετωπίζει μια από τις μεγαλύτερες προκλήσεις, αυτή του διλήμματος κυβερνοασφαλείας, γιατί από την μια μεριά θα πρέπει να ανταπεξέλθει αποτελεσματικά στα ζητήματα κυβερνοασφάλειας κατά την διεξαγωγή των ελέγχων, αλλά από την άλλη θα πρέπει να συμπεριλάβει τις ψηφιακές εξελίξεις και τους κινδύνους κυβερνοασφάλειας που αυτές οι ψηφιακές εξελίξεις ενέχουν, στην εκτέλεση των ελεγκτικών εργασιών. Η παρούσα μεταπτυχιακή εργασία αποσκοπεί να μελετήσει τις διάφορες όψεις της κυβερνοασφάλειας σε σχέση με την ελεγκτική διαδικασία και πιο συγκεκριμένα θα εξεταστούν: (i) ο προσδιορισμός των όρων κυβερνοασφάλειας και κυβερνοετοιμότητας και τα βασικά συστατικά τους στοιχεία (Εισαγωγή), (ii) η λογική αιτιότητα και η σημασία της συμπερίληψης της κυβερνοασφάλειας στην ελεγκτική (Κεφάλαιο 1), (iii) οι πιο σημαντικοί τύποι ρίσκων και ευπαθειών κυβερνοασφάλειας που ενέχει το σύγχρονο μοντέλο επιχειρηματικού κινδύνου σημασία και πως οι οντότητες πρέπει να ανταποκρίνονται σε αυτούς μέσω της αξιολόγησης των εσωτερικών δικλείδων ασφαλείας που σχετίζονται με την κυβερνοασφάλεια, καθώς και η σχέση μεταξύ της συμμόρφωσης με τα πιο σημαντικά νομικά συστήματα κυβερνοασφάλειας, σε εθνικό επίπεδο (θα εξεταστούν οι περιπτώσεις του Ηνωμένου Βασιλείου και των Ηνωμένων Πολιτειών Αμερικής) και σε επίπεδο Ευρωπαϊκής Ένωσης και της ελεγκτικής, αλλά και τα είδη των δικλείδων ασφαλείας (αποτρεπτικούς, εντοπισμού, και διορθωτικούς) που οι οντότητες χρησιμοποιούν και οι ελεγκτές πρέπει να επιθεωρήσουν (Κεφάλαιο 2), (iv) τα σημαντικότερα στοιχεία των διαδικασιών της διαμόρφωσης και της εκτέλεσης ενός ολιστικού ελεγκτικού προγράμματος κυβερνοασφάλειας με την χρήση διεθνώς αναγνωρισμένων προτύπων, όπως αυτά έχουν διαμορφωθεί από Παγκόσμιο Οργανισμό Προτύπων, και την Ένωση για την Ελεγκτική και τις Δικλείδες Ασφαλείας των Πληροφοριακών Συστημάτων (Κεφάλαιο 3), και (vii) η διαδικασία έκδοσης και δημοσίευσης της ελεγκτικής έκθεσης κυβερνοασφάλειας (Κεφάλαιο 4). H ανάλυσή μας θα στηριχτεί στις διατάξεις των Διεθνών Ελεγκτικών Προτύπων. Το τελευταίο κεφάλαιο (Κεφάλαιο 5), περιλαμβάνει τα τελικά συμπεράσματα πάνω στο κεντρικότερο ερώτημα αυτής της ερευνητικής εργασίας, δηλαδή, την αναγκαιότητα της συμπερίληψης της κυβερνοασφάλειας και κυβερνοετοιμοτητας στην ελεγκτική διαδικασία και πρακτική και πως αυτές έχουν μετεξελίξει και μεταμορφώσει τον ελεγκτικό τομέα.
Abstract:
This Master Thesis aims to provide a deep understanding about the importance and the necessity of cybersecurity and cybersecurity preparedness in auditing processes in modern economic reality. Today entities, no matter if they are public or private or of a mix type, their size (small, medium, large, multinationals, etc.), and in which economic sector they belong to, function in a highly (inter)connected economic environment that demands from them not only to be effectively adapted to current digital applications and demands, but also in order to exist and flourish in long-term, they must shape the new digitalized futures, a reality that is accompanied with a lot of cybersecurity risks and vulnerabilities. Likewise, the auditing sector faces one of its biggest challenge, the cybersecurity dilemma one, which from one side targets to best deal effectively the cybersecurity concerns during auditing tests and controls, and on the other side how to best incorporate digital advancements and their cybersecurity obscurities. This Master Thesis aims to cover both the above-mentioned aspects of cybersecurity challenge in auditing performances by examining (i) the definitions of cybersecurity and cybersecurity preparedness and their key components (Introduction), (ii) the resonance and its importance of integration of cybersecurity to auditing (Chapter 1), (iii) the importance of understanding the most important types of cybersecurity risks and vulnerabilities in the modern business risk model environment and how entities must respond to these risks by applying the most suitable internal controls, as well as the operational legal environment of the client entity, the obligation of compliance with most important cybersecurity national regulative frameworks (United Kingdom and United States of America) and the European Union’s cybersecurity landscape, and the types of controls (preventive, detective, and corrective), that entities apply and auditors must inspect, (Chapter 2), (iv) the major particles of planning and executing a holistic cybersecurity auditing program, and how international standards, like those created by International Standards Organization (ISO) and Information Systems Audit and Control Association (ISACA) provide important guidance in these spheres (Chapter 3), and finally (v) we will examine the process of issuance of the cybersecurity auditing report (Chapter 4). Our analysis will be based in the provisions of International Auditing Standards (ISA). In the final chapter (Chapter 5), we will provide our final conclusions about the necessity of inclusion of cybersecurity and cybersecurity preparedness in audit service and how the first had transformed the second.
Περιγραφή:
Διπλωματική εργασία - Πάντειο Πανεπιστήμιο. Τμήμα Δημόσιας Διοίκησης, ΠΜΣ, κατεύθυνση Ελεγκτική και Φορολογία, 2019
