数字之外的专业知识

内部审计在降低网络安全风险中的关键作用

内部审计(IA)能够而且应该在支持组织减少网络风险方面发挥关键作用. 这些审计可以作为潜在的网络攻击和您的组织之间的关键障碍. 由于成本问题, 风险, 以及网络事件或数据泄露可能导致的声誉损害, 公共和私人组织都在积极考虑他们的网络战略和应对计划.

从2018年开始,美国政府要求公开上市公司.S. 美国证券交易委员会(SEC)披露与网络安全风险和网络事件有关的义务.[1] 该披露在管理讨论和分析(MD&A)财务状况和经营结果. 每个注册人应概述已知的网络安全风险, 并披露本财年发生的任何网络安全事件. 这种披露可以包括正在进行的网络安全活动的成本, 补救措施, 知识产权损失, 监管调查, 和诉讼行为.[1]

而私营公司和政府实体不受SEC监管规定的披露约束, 一个小型网络活动的费用, 例如商务邮件攻击, 价格在1美元之间,240年,44美元,000 [2]. 此外,一次数据泄露可能会造成2美元的损失.6500万到500多万美元.[3]

因为网络犯罪会迅速升级, 企业内部审计和风险管理职能比以往任何时候都更加重要, 作为潜在网络攻击的关键防御手段.

驱动网络风险的因素?

虽然有很多因素会导致网络风险, 组织在决定他们是否处于增加的网络攻击风险时,应该考虑优先考虑以下几点:

  1. 技术: 技术在世界上越来越普及. 现在我们可以全天候访问我们的账户, 从云和移动设备访问的数据允许进入大多数组织的内部网络.
  2. 商业模式: 技术的进步使得商业模式从现场葡京官网向远程葡京官网转变, 外包, 或者全球各地的离岸团队.
  3. 数据量: 除了技术和商业模式的变化, 数据量呈指数级增长. 这包括员工, 客户, 供应商的数据可能是机密的, 个人, 并且需要保护,以确保遵守法律.

技术的变化, 商业模式, 数据的涌入产生了多种驱动网络风险的动机. 这些动机吸引了内部欺诈者, 公司的入侵者, 以及来自世界各地的黑客. 因为针对这类罪行的执法措施仍在发展, 这可能是一个昂贵且难以适当监控的领域.

内部审计如何支持组织网络安全计划?

一个有效的风险管理原则,以支持网络安全是纳入多层防御. 第一层防御围绕支持组织日常运作的业务和信息技术(IT)功能. 第二个功能包括IT风险管理功能,它在组织内创建治理标准和监督. 第三级防御通过评估控制的有效性,纳入组织的内部监督功能, 向董事会报告观察结果, 并记录财务和监管合规情况. [4] IA可以通过五个关键要素来协助防御,以补充一个成功的网络安全战略和应对计划. 五个关键要素如下:

  1. 保护
  2. 检测
  3. 业务连续性
  4. 危机管理
  5. 持续改进 [4]

IA通过测试和审查策略来支持保护和检测, 流程, 以及遵循IT治理和行业最佳实践的过程. 保险业监督还通过与组织的各级进行协调和沟通,并对各种灾害进行规划,推动业务连续性和危机管理, 包括网络攻击. 进一步, 业务连续性管理可减少约280美元的数据泄露成本,如果你输了3美元,你就输了000美元.9200万年. [3] 去年, 内部审计的重点是为组织带来价值, 从组织内的每个部门吸取经验教训,并加强这些过程和程序,以持续改进. [4]

您的组织如何向前发展?

网络事件变得越来越普遍,给组织带来了巨大的成本. 考虑到优先事项和预算的不断变化, 对于IA来说,计划和协调应对市场上的各种网络威胁是一项挑战. 对于组织来说,了解、采用和计划这些风险是至关重要的. 以下风险缓解做法和技术可作为评估和解决当前与网络安全有关的风险环境的机会:

  • 风险评估: 进行组织风险评估,重点是识别, 评估, 并制定网络安全缓解计划.
  • 网络安全策略发展: 与管理层合作, 和/或董事会, 根据行业最佳实践制定网络安全战略和政策(e.g., NIST, COBIT, ITIL, HITRUST等.).
  • 审计发展计划: 在完成风险评估并制定网络安全策略后, 制定审计计划,整合对网络安全控制有效性的测试.

如果您有兴趣了解更多葡京官网IA如何为您的组织减少网络事件 葡京官网的团队. 您还可以查看 我们的页面 了解更多我们提供的葡京官网.

[1] 美国证券交易委员会葡京官网上市公司网络安全披露的指导意见

[2] 2020年数据泄露调查报告

[3] 2019 IBM数据泄露的成本

[4] 内部审计在网络安全中的作用是什么?