网络安全和内部审计的作用

 作者:杨湓     |      日期:2019-01-28 04:11:05
LUISITO T AMPER在圣周之前的日子里,很难错过有关正在进行的涉嫌洗钱计划调查的新闻报道,据报道这是该国有史以来发现的最大案件考虑到发生的事情的许多版本到目前为止被告知,它开始看起来像一部神秘的惊悚片,当我写这篇文章时,越来越多的人物和机构从木工中走出来但是已经建立的一件事就是:有问题的钱被非法移动了根据市场分析机构Juniper Research的一项研究,预计到2019年网络犯罪可能会使企业损失超过2万亿美元,这几乎是2015年预计费用的四倍随着我们越来越依赖于面向数字平台的数字平台共享 - 互联网,云,移动,社交技术 - 来自网络攻击的威胁将继续增加和发展所以,也将是保护我们数据的要求传统上,业务部门和信息技术(IT)功能是组织防范网络攻击的第一道防线,因为它们将网络风险管理与日常决策和运营相结合第二条涉及IT风险管理领导者,他们建立治理和监督,监督安全行动并根据需要采取行动内部审计:第三道防线建立第三道防线的趋势越来越明显:内部审计(IA)IA通过进行保护组织对安全措施和绩效的独立审查其任务还包括让审计委员会和董事会及时了解他们所负责的控制措施 - 确保这些控制措施到位并正常运行在一篇题为“网络安全和作用”的文章中内部审计:紧急行动呼吁,“Deloitte提供了一个IA可以用来执行的框架是一种功能,即评估组织的网络安全并加强其防御作为起点,IA应该提出以下三个关键问题:谁可能会攻击肇事者是罪犯,竞争对手,第三方供应商,心怀不满的内部人士,议程驱动的黑客还是其他人他们追求什么以及需要减轻哪些业务风险他们想要钱还是知识产权他们的目标是破坏业务还是破坏组织的声誉他们可以使用什么策略他们会进行网络钓鱼,测试系统漏洞,使用被盗的凭据,还是通过受到攻击的第三方进入网络通过这些问题确定的威胁可以通过德勤咨询确定的三管齐下的方法得到解决:安全大多数组织都建立了控制,如周边防御和数据保护,以防范已知和新出现的威胁以风险为中心的计划优先考虑控制措施符合最高业务风险的区域警惕威胁情报,安全监控以及行为和风险分析用于检测恶意或未经授权的活动,例如异常数据移动,并帮助组织响应不断变化的威胁形势弹性事件响应协议,取证,以及业务连续性和灾难恢复计划的实施,以尽快恢复并减少影响在Deloitte文章中(可以在此处完整下载:http:// www2deloittecom / us / en / pages / risk / articles / cybersecurity-internal-audit-rolehtml),有一个详细的网络安全评估框架在SecureVigilantResilient™概念中列出12个安全域空间限制阻止我在这里详细说明这些域,但IA可以使用该框架来了解组织在每个域中的功能并检查是否存在安全漏洞除了此框架之外,还有其他IA专业人员在进行网络安全评估时应牢记的因素首先,让具有必要经验和技能的人员参与是很重要的,虽然IA拥有进行评估的专业知识,但这些专业人员可能无法确定是否具有最佳性能 IT部门正在做一个强大的威胁建模工作,例如,它可能有助于引入一个专注于网络世界的技术导向的审计专业人员其次,IA应评估该组织的完整网络安全框架 这涉及了解当前的状态和组织的发展方向,并针对整个行业的最低预期网络安全实践进行基准测试最后,IA的初步评估应该是一个广泛的评估,而不是需要进行广泛测试的详尽分析IA可以将其视为第一步更加详细的基于风险的网络安全审查随着对涉及菲律宾最大的商业银行之一的洗钱计划的调查愈演愈烈,该国其他金融部门也进行了一些调查:领导人公开谈论仔细研究在这个争议之后,我不知道我们的大银行目前正在进行什么样的审查和测试,但我希望他们在他们的运营中增加这一层安全性并使他们的IA专业人员得到充分利用如今,你在网络空间永远不会太安全作者是企业风险服务主管Deloitte东南亚有限公司的当地成员公司Navoro Amper&Co的负责人,该公司是Deloitte Touche Tohmatsu有限公司的成员公司,包括在文莱,柬埔寨,关岛,印度尼西亚,老挝人民民主共和国,马来西亚,缅甸,菲律宾,