全球視角和觀點：內部審計成為網絡技術方面值得信賴的顧問

肖競譯

目錄

內部審計成為網絡技術方面值得信賴的顧問

依靠團隊合作

最高層給予的支持

相關問題

結論

附件1：有效的CAE通過為利益相關者提供咨詢建議脫穎而出

附件2：成為網絡技術方面值得信賴的顧問

內部審計成為網絡技術方面值得信賴的顧問

網絡安全是處在高速發展中的復雜領域，盡管想要理解其中的所有內容可能是不現實的，但作為首席審計執行官（CAE）或者內部審計負責人來說，有必要對網絡安全有所了解。實際上，考慮到網絡技術帶來的風險，在這個值得關注、富有挑戰的領域里，一位具有相關知識的CAE完全可以將內部審計部門打造成為組織中值得信賴的顧問。

有關網絡安全的統計數據令人感到震驚，以2015年的數據為例：

在該年度中，平均一次數據泄露造成的損失可以達到379萬美元，而2014年這個數字還只有352萬，相比2013年的數據更是高出了整整23個百分點。

這些損失主要來自客戶非正常流失、營銷成本提高、聲譽損失和商家良好聲譽遭受的損害。

網絡攻擊者在攻破防護進入組織系統環境之后，平均205天之后才會被察覺。即使這種行為最終被發現，69%遭受攻擊的組織也不是由自己的員工發現，而是從第三方了解到有關情況。

僅在2015年上半年，就爆出888起信息泄露事件，將近246萬條記錄被竊取。這些信息泄露事件中至少有半數無法確定到底有多少記錄和數據被非法訪問或盜取。

這樣的情況發生在世界的每一個角落。2015年上半年，大部分信息泄露事件發生在北美（707起），緊隨其后的是英國（94起）和亞洲（63起）。如果按照泄露的記錄數量排序，最嚴重的10起數據泄露事件有一半發生在非美公司中。

面對這樣的數據，難怪RSA信息安全公司的總裁Amit Yoran會說：“網絡安全行業正在衰落，它已經完全失敗了。”

然而沒有人會質疑網絡安全“用于保護與互聯網連接的系統中的數據免遭丟失、破壞、非法獲取和濫用的各種措施”的重要性。許多有識之士已經在這個行業中工作了多年，他們的期望非常現實：一般來說，業界并不認為能夠完全消滅網絡攻擊。正如哥倫比亞洛斯安第斯大學法學院的杰出教授Jeimy Cano所說，如今的數據環境已經“注定會遭遇失敗”。網絡安全是一項將破壞降到最低限度的工作，其目標是盡可能地阻擋網絡攻擊，在不可避免被攻破的情況下，在犯罪分子找到核心機密信息之前發現他們。

依靠團隊合作

這并不只是網絡安全專家的工作。必須全面、系統地考慮有關網絡安全的問題，因為一旦網絡安全出現漏洞，其后果可能是無法進行最基本的交易，可能是知識產權被竊取，也可能是巨大的聲譽損失。這并不只是一項技術風險，而是一項重要的經營風險，因此內部審計人員在其中應當能夠發揮重要的作用。能否獲得成功很大程度上取決于董事會或審計委員會對此投入了多少關注和CAE采用何種方式來應對。對CAE來說，網絡安全問題的爆發也是一個千載難逢的良機，讓他們的工作不再僅僅局限于確保網絡安全審計業務按計劃正常開展，而是可以針對經營活動提出預見性和戰略性的觀點，真正成為可信賴的顧問。CAE能夠提出的意見包括網絡安全風險是什么、對經營活動和組織聲譽會造成什么影響等，由此促成管理層和高層領導及時、具有針對性的討論，從而為網絡安全爭取到應有的關注和資源。

CAE還可以與首席信息官（CIO）和首席信息安全官（CISO）建立起密切合作關系，這樣的關系可以幫助CAE更好地了解IT和數據安全團隊到底需要些什么，內部審計又能為他們提供些什么。FirstRand有限公司的CAE Jenitha John 指出，CISO希望內部審計能夠以誠懇和主動的態度說明與數據安全環境有關的最新趨勢和熱點問題——這也展現了值得信賴的顧問積極主動的一面。她認為內部審計應當“明確指出與組織面對的信息泄露問題及其影響密切相關的事項”。

按照IIA執行副秘書長兼CIO Charles Redding的說法，CIO的需求與CISO既有相似的一面，但也有所區別。他指出，CIO更習慣于從技術角度看待網絡安全問題。內部審計可以通過提供信息，拓寬執行官的思路，“幫助他們評估風險，并確定風險偏好”。

CAE同樣也認為內部審計和CIO之間的合作非常重要：“當Charles和我都在辦公室里的時候，我們會一直談論風險和網絡安全。我覺得作為CAE來說，不能跟CIO保持密切的聯系，就意味著不可能獲得成功。”

沙特基礎工業集團（SABIC）的副總裁兼首席審計執行官Gregory Grocholski也表示團隊之間的協作非常有必要，但他指出CAE在網絡安全方面扮演的角色絕不僅止于推動部門之間的協作。CAE必須認識到，數據既可能以結構性的方式存在（應用程序），也可能以非結構性的方式被存儲（Excel、Word等），不論是哪種情況，都有可能成為網絡攻擊的對象。

CAE必須熟悉數據進出組織的路徑，并確保組織各個層級都對這些路徑進行檢查，關閉沒有必要的路徑，設置適當的控制，了解風險可能帶來的影響，并確立風險偏好。無論什么時候，CAE都應當關注如何預防，而不僅僅是在發生問題后如何應對。

最高層給予的支持

幾乎在所有的組織里，在每一個重大項目中，來自高層的認同都是重中之重。但董事會對于網絡安全工作的支持還沒有做到毫無保留。根據一項最近開展的調查結果，26%的受訪者表示他們的CIO或者CISO每年只向董事會匯報一次有關安全的問題，甚至還有幾乎同樣數量（28%）的受訪者所在的組織中，根本沒有這樣的匯報機制。大約三分之一的受訪者指出董事會中沒有專門的委員會或人員負責監管網絡風險，只有15%提到審計委員會會關注網絡安全風險。

對網絡安全的傳統觀念正在發生改變。董事會逐漸開始要求獲得更多有關網絡安全和組織內部相關風險的信息，這不僅僅是因為他們認識到網絡攻擊可能帶來的巨大潛在風險，監管部門的要求也讓他們感受到壓力。2014年6月，美國證券交易監督委員會主席Luis Aguilar指出：“董事會對于網絡安全風險的管理至關重要，只有做到這點，公司才能采取適當的措施來預防和應對網絡攻擊可能造成的破壞……忽視或者貶低網絡安全監管責任重要性的董事會只會讓自己暴露在風險中。”

董事會、審計委員會和高級管理層需要適當的信息才能有效履行職責。內部審計由于擁有可以自由獲取信息的獨特地位，能夠幫助他們獲得有關網絡安全的資訊。John認為CAE的角色定位非常清楚：“CAE必須向適當的治理機構提交審計業務中發現的信息，這樣他們才會對問題予以關注，并持續監控后續改進措施的落實情況。”澳大利亞保險集團有限公司（IAG）的首席審計執行官Lee Sullivan指出，他的報告能夠通過獨立客觀的觀點，幫助董事會了解“IAG應對網絡安全風險的準備程度”。

CAE想要最有效地履行與網絡安全相關的職責，就必須關注整個行業的趨勢，如監管要求的變化、購買險種的新要求、新的訴訟案例，并且從內部審計的角度對這些新趨勢進行思考。他們還需要對人員和團隊（如應急團隊和開展風險評估的第三方人員等）的配置是否有能力處理網絡安全專業問題進行確認。

CAE也應當對目前正在開展的網絡安全項目提出建議，說明這些項目做得如何：是否能夠降低面對的風險;是否能夠有效利用資源，并將其優先投入最重大的風險領域;是否足夠嚴格有力，能夠發現和防范威脅。弗吉尼亞大學的首席審計執行官Carolyn Saint指出，內部審計參與網絡安全項目可以通過向更高層傳遞對于資源的需求，從而幫助管理層更好地實現目標。

相關問題

網絡安全問題與生俱來的挑戰性讓“網絡恢復能力”這個概念進入了我們的視線。網絡恢復能力是指事前、事中、事后采取的一系列措施，其目的是為了保持信息和溝通系統（以及依賴這些系統的機構和人員）能夠在發生針對互聯網相關資源的持續攻擊時，依然能夠保持足夠的恢復能力。這樣的措施包括加強網絡安全方面的知識，提高所有員工的網絡安全意識，從而使得組織內部的人員能夠更好地理解相關風險的本質和影響，形成一道對抗網絡攻擊的可靠防線。CAE要在這項工作中發揮領導作用，必須做到在內部審計人員中提升相關知識和強化網絡風險意識。根據IIA 2016年北美內部審計脈搏調查的結果，內部審計人員缺少網絡安全專業知識是阻礙內部審計應對網絡安全風險的最大原因。

弗吉尼亞大學的首席信息安全官Jason Belford認為網絡恢復能力是網絡安全的一項重要指標——盡管二者是相對獨立的兩個概念，但我們不能將其完全割裂開來看待。該大學分管IT的副校長Ron Hutchins也同意這一說法：“我們追求的是高度的有效性和可靠性，但我們也認可并不是所有的職能都需要相同程度的保護。”

此外，南非共和國開普敦市政府信息系統和技術總監Andre Stelzner對這個概念做了簡明的總結：“一個具有較強網絡恢復能力的組織總是知道自己的薄弱環節在哪里。”顯然，要確保安全并具有恢復能力，最好的方法就是首先了解自己的缺陷，以及應該采取哪些行動來降低這些風險，制定計劃以應對網絡攻擊，并從攻擊造成的損害中迅速恢復過來。

隱私和保密同樣是網絡安全的關鍵要素，因為它們涉及許多關鍵問題：哪些數據受到了處理？這些數據如何儲存？儲存在哪里？哪些人有權通過哪些方式使用這些數據？對澳大利亞保險集團來說，保持客戶的信任一直是工作的重中之重，因此首席客戶官也與首席保密官和首席數據安全官協作，來保護客戶數據的安全。在許多組織中，保密部門也會參與制定組織的相關規范、編制流程和政策;保密部門往往還會負責對其他員工進行網絡安全方面的培訓。

內部審計應當把這些負責保密工作的機構和個人也作為自己的關鍵利益相關者，在所有相關的審計項目中，對有關保密規定的遵循情況進行考察。對保密職能部門的檢查和觀察也能夠進一步提供有關組織網絡安全方面的信息。數據的所有者、技術的使用者、保密/法務團隊需要在組織的大框架下保持緊密的對話與協作，如果做不到這一點，就可能出現需要關注的問題。

結論

CAE和信息技術/安全負責人的意見非常明確：網絡安全是一個無法逃避的問題。用Cano的話來說：“這是一次新的工業革命，是一個轉型的新紀元，主宰它的是數據、無盡的破壞和重建。”那些不希望成為下一個信息泄露犧牲品的組織需要確保自己能夠獲得足夠的專業知識，給予防控部門足夠的資源，密切關注相關法律法規，追蹤全球網絡攻擊的趨勢，集合所有利益相關者的力量與信息泄露和損失做不屈不撓的斗爭，任何一方面的短板都會導致令人遺憾的后果。

作為備受信賴的顧問，CAE在達成這一目標的過程中能夠扮演非常關鍵的角色。要想真正做到這一點，CAE必須具備并展現自己在網絡安全方面的專業能力，從而建立起信任，利用自己的溝通技巧和敏銳嗅覺向正確的對象在正確的時間提出正確的問題：公司在網絡安全方面的政策和態度是否保持了一致性？現有的規定和流程能否支持這個態度？其他組織在做什么？我們跟他們相比做得怎么樣？提問還需要積極、專注地聆聽來配合，再輔以對行業知識、商業頭腦和科技思維的運用，最終就能找到問題的答案。

在網絡安全方面獲得成功的前提是認識到殘酷的現狀：組織內部或外部有人正在不斷嘗試獲得公司的有關數據。他們絕不會手下留情，所以成為這些犯罪分子目標的組織也不應當掉以輕心。Grocholski的話恰到好處地總結了當下的現實：“我們生活在一個數字化的世界中，像保護你的家園和家人一樣保護你的信息。”

附件1

有效的CAE通過為利益相關者

提供咨詢建議脫穎而出

澳大利亞保險集團

在澳大利亞保險集團有限公司（IAG），首席信息安全官Jeff Jacobs對整個組織的網絡安全管理負總責。為了降低IAG面對的網絡安全風險，他與首席審計執行官Lee Sullivan、第二道防線各個部門和負責保密的團隊都保持了緊密的合作關系。

Sullivan和Jacobs最近共同推動建立了一項網絡安全方面的戰略。Jacobs主導了戰略內容的制定，包括對目前的狀態和能力進行評估、發現新的風險、明確戰略性障礙，并制定了一套具體的實施路徑和計劃來應對上述風險。而Sullivan則指派內部審計的一個團隊在這項戰略開始實施后不久對其成果進行了獨立審核。為此他們達成一致意見，同意在信息安全部門和內部審計部門使用同一套網絡安全框架，以確保在向高級管理層和董事會匯報時使用同樣的術語，并保持傳遞信息的一致性，使得整個審核流程能夠順利推進。

在實施戰略的過程中克服的挑戰包括：

◆ 確保最基礎的東西是正確的——最好的例子是通過一系列基本原則，明確網絡安全方面，哪些情形可以接受，哪些情況不可接受。

◆ 提高發現問題和應對問題的能力，而不僅僅是關注保護——現實已經證明光靠組織投資防護工具并不能保證萬無一失。實際上，按照Jacobs的說法，“我們永遠不可能生活在完全的保護之下，因此如果真的發生數據泄露的情況，我們需要變得更加善于發現問題并迅速做出反應。”

◆ 從設計上強化網絡安全——網絡安全往往是在問題發生后才引起人們的注意。設計者和程序開發者在提出解決方案之初就應該將安全問題考慮在內。

◆ 網絡安全意識——即便擁有最完善的技術、流程和充分的專業知識，人的因素永遠可能成為薄弱的一環。人們需要思考安全問題，意識到危險的存在，從而能夠更加適當地處理這些威脅。

IAG內部基本上已經形成了共識，外部的威脅正在變得更加嚴峻、更加復雜，需要一套有效的網絡安全框架來應對。但與上述戰略在推進中涉及的其他部分相比，應當向網絡安全能力建設投入多少資源并沒有一個清晰的認識。組織中的有些人可能會認為對網絡安全的關注會拖慢計劃中的數據化進程。但Jacobs表達了不同意見：“這并不是一個二選一的難題，我們必須兩手抓，兩手都要硬。”

弗吉尼亞大學

弗吉尼亞大學的首席審計執行官Carolyn Saint、首席信息官Virginia Evans、首席信息安全官Jason Belford、分管IT的副校長Ron Hutchins和IT審計處處長Gerald Cannon共同致力于推進Hutchins稱之為“三足凳”的工作流程來處理網絡安全問題：建立規定、執行規定及審計對規定的落實情況。這套工作流程的關鍵在于參與每個環節的職能部門相互之間都是獨立的，但是仍然保持協作的關系。正如Evans所說：“要想妥善地解決網絡安全問題，唯一的辦法就是以團隊精神開展協作。”

Saint采取了一種基于標準框架的工作方式，由內部審計對網絡安全進行全面和標準化的覆蓋，確保內部審計不但考察是否存在相關措施，還會評估措施的有效性。Evans也說：“之前的審計團隊只關注合規，而現在更加積極地去尋找風險。”

Belford、Hutchins和Evans都認為現在內部審計這種合作者、咨詢者的角色對組織來說極為有益。他們覺得現在的模式更類似于一種寫作，讓人感覺與內部審計“站在同一陣營”，而不是傳統印象中內部審計就是想“要你好看”。

Saint承認讓CIO和CISO了解內部審計的角色和價值需要一個溝通和交流的過程，但這就是CAE工作的一部分。她補充道：“CAE的工作之一就是確保組織的各個層面都了解風險的存在。”

該所大學為了遵循美國聯邦信息安全管理法案（FISMA）的要求，除了上述人員之外，還有其他跨部門的代表也加入進來，工作力度甚至超過了一般的網絡安全措施。盡管已經做出了一些成績，但與“通過計劃性的工作方式建立起可不斷改善的環境，從而真正達到FISMA”的要求還有一些距離。

無論如何，各部門之間的協力絕不可少。正如Saint指出的那樣：“網絡安全是每一份審計計劃的重中之重，在未來幾年中估計都是如此。”

開普敦市

南非共和國開普敦市政府的網絡安全團隊認識到科技的發展永遠比控制措施快一步，因此需要不斷投入資源來增加新的預防、偵測和修正措施。即便如此，誰也不能保證能夠逃過攻擊，所以能否獲得成功就取決于整個團隊能以多快的速度發現安全漏洞，以及應對威脅的手段有多么有效、迅速和經濟。

這個團隊由首席審計執行官Lindiwe Ndaba、信息系統高級審計經理Etienne Postings以及信息系統和技術總監Andre Stelzner組成。他們選擇了基于風險的工作方式來應對網絡安全問題。第一步就是仔細梳理不同職能和不同機構發現的組織面對的IT風險，在此基礎上，通過IT審計人員和CIO就組織的網絡風險趨勢、組織外部的相關風險和可能會對組織產生影響的全球性趨勢交換意見作為補充。

Stelzner指出實現網絡安全需要團隊中的每個成員都盡可能地發揮自己的能力。出于這個原因，他認為內部審計應當是一個獨立的確認機構，對組織的安全狀況進行鑒證，對IT部門為了降低風險而建立的規定、系統和服務進行檢查。但他自己也承認，目前還只是“對是否遵循IT部門自己制定的規定進行評估，而不是對每一個安全方面的措施都進行測試”。

內部審計和安全團隊的緊密合作也反映了團隊精神。內部審計的代表會參加安全論壇會議，而正是在這些會議上會對一般性問題和解決方案進行討論。所有人都秉持著同一個目標：使工作、系統和流程盡可能變得更安全。

與Saint提到網絡安全在內部審計計劃中的重要性相似的是，Ndaba和Postings也認為，在開普敦市政府，“網絡安全和IT審計一直是內部審計戰略清單上的重要組成部分”。

附件2

成為網絡技術方面值得信賴的顧問

作為網絡技術方面值得信賴的顧問，CAE需要在組織中推動變革。在認識和理解、風險管理以及確認活動等方面投入特別關注有助于CAE成為網絡技術方面真正值得信賴的顧問。