肖竞译

目录

内部审计成为网络技术方面值得信赖的顾问

依靠团队合作

最高层给予的支持

相关问题

结论

附件1：有效的CAE通过为利益相关者提供咨询建议脱颖而出

附件2：成为网络技术方面值得信赖的顾问

内部审计成为网络技术方面值得信赖的顾问

网络安全是处在高速发展中的复杂领域，尽管想要理解其中的所有内容可能是不现实的，但作为首席审计执行官（CAE）或者内部审计负责人来说，有必要对网络安全有所了解。实际上，考虑到网络技术带来的风险，在这个值得关注、富有挑战的领域里，一位具有相关知识的CAE完全可以将内部审计部门打造成为组织中值得信赖的顾问。

有关网络安全的统计数据令人感到震惊，以2015年的数据为例：

在该年度中，平均一次数据泄露造成的损失可以达到379万美元，而2014年这个数字还只有352万，相比2013年的数据更是高出了整整23个百分点。

这些损失主要来自客户非正常流失、营销成本提高、声誉损失和商家良好声誉遭受的损害。

网络攻击者在攻破防护进入组织系统环境之后，平均205天之后才会被察觉。即使这种行为最终被发现，69%遭受攻击的组织也不是由自己的员工发现，而是从第三方了解到有关情况。

仅在2015年上半年，就爆出888起信息泄露事件，將近246万条记录被窃取。这些信息泄露事件中至少有半数无法确定到底有多少记录和数据被非法访问或盗取。

这样的情况发生在世界的每一个角落。2015年上半年，大部分信息泄露事件发生在北美（707起），紧随其后的是英国（94起）和亚洲（63起）。如果按照泄露的记录数量排序，最严重的10起数据泄露事件有一半发生在非美公司中。

面对这样的数据，难怪RSA信息安全公司的总裁Amit Yoran会说：“网络安全行业正在衰落，它已经完全失败了。”

然而没有人会质疑网络安全“用于保护与互联网连接的系统中的数据免遭丢失、破坏、非法获取和滥用的各种措施”的重要性。许多有识之士已经在这个行业中工作了多年，他们的期望非常现实：一般来说，业界并不认为能够完全消灭网络攻击。正如哥伦比亚洛斯安第斯大学法学院的杰出教授Jeimy Cano所说，如今的数据环境已经“注定会遭遇失败”。网络安全是一项将破坏降到最低限度的工作，其目标是尽可能地阻挡网络攻击，在不可避免被攻破的情况下，在犯罪分子找到核心机密信息之前发现他们。

依靠团队合作

这并不只是网络安全专家的工作。必须全面、系统地考虑有关网络安全的问题，因为一旦网络安全出现漏洞，其后果可能是无法进行最基本的交易，可能是知识产权被窃取，也可能是巨大的声誉损失。这并不只是一项技术风险，而是一项重要的经营风险，因此内部审计人员在其中应当能够发挥重要的作用。能否获得成功很大程度上取决于董事会或审计委员会对此投入了多少关注和CAE采用何种方式来应对。对CAE来说，网络安全问题的爆发也是一个千载难逢的良机，让他们的工作不再仅仅局限于确保网络安全审计业务按计划正常开展，而是可以针对经营活动提出预见性和战略性的观点，真正成为可信赖的顾问。CAE能够提出的意见包括网络安全风险是什么、对经营活动和组织声誉会造成什么影响等，由此促成管理层和高层领导及时、具有针对性的讨论，从而为网络安全争取到应有的关注和资源。

CAE还可以与首席信息官（CIO）和首席信息安全官（CISO）建立起密切合作关系，这样的关系可以帮助CAE更好地了解IT和数据安全团队到底需要些什么，内部审计又能为他们提供些什么。FirstRand有限公司的CAE Jenitha John 指出，CISO希望内部审计能够以诚恳和主动的态度说明与数据安全环境有关的最新趋势和热点问题——这也展现了值得信赖的顾问积极主动的一面。她认为内部审计应当“明确指出与组织面对的信息泄露问题及其影响密切相关的事项”。

按照IIA执行副秘书长兼CIO Charles Redding的说法，CIO的需求与CISO既有相似的一面，但也有所区别。他指出，CIO更习惯于从技术角度看待网络安全问题。内部审计可以通过提供信息，拓宽执行官的思路，“帮助他们评估风险，并确定风险偏好”。

CAE同样也认为内部审计和CIO之间的合作非常重要：“当Charles和我都在办公室里的时候，我们会一直谈论风险和网络安全。我觉得作为CAE来说，不能跟CIO保持密切的联系，就意味着不可能获得成功。”

沙特基础工业集团（SABIC）的副总裁兼首席审计执行官Gregory Grocholski也表示团队之间的协作非常有必要，但他指出CAE在网络安全方面扮演的角色绝不仅止于推动部门之间的协作。CAE必须认识到，数据既可能以结构性的方式存在（应用程序），也可能以非结构性的方式被存储（Excel、Word等），不论是哪种情况，都有可能成为网络攻击的对象。

CAE必须熟悉数据进出组织的路径，并确保组织各个层级都对这些路径进行检查，关闭没有必要的路径，设置适当的控制，了解风险可能带来的影响，并确立风险偏好。无论什么时候，CAE都应当关注如何预防，而不仅仅是在发生问题后如何应对。

最高层给予的支持

几乎在所有的组织里，在每一个重大项目中，来自高层的认同都是重中之重。但董事会对于网络安全工作的支持还没有做到毫无保留。根据一项最近开展的调查结果，26%的受访者表示他们的CIO或者CISO每年只向董事会汇报一次有关安全的问题，甚至还有几乎同样数量（28%）的受访者所在的组织中，根本没有这样的汇报机制。大约三分之一的受访者指出董事会中没有专门的委员会或人员负责监管网络风险，只有15%提到审计委员会会关注网络安全风险。

对网络安全的传统观念正在发生改变。董事会逐渐开始要求获得更多有关网络安全和组织内部相关风险的信息，这不仅仅是因为他们认识到网络攻击可能带来的巨大潜在风险，监管部门的要求也让他们感受到压力。2014年6月，美国证券交易监督委员会主席Luis Aguilar指出：“董事会对于网络安全风险的管理至关重要，只有做到这点，公司才能采取适当的措施来预防和应对网络攻击可能造成的破坏……忽视或者贬低网络安全监管责任重要性的董事会只会让自己暴露在风险中。”

董事会、审计委员会和高级管理层需要适当的信息才能有效履行职责。内部审计由于拥有可以自由获取信息的独特地位，能够帮助他们获得有关网络安全的资讯。John认为CAE的角色定位非常清楚：“CAE必须向适当的治理机构提交审计业务中发现的信息，这样他们才会对问题予以关注，并持续监控后续改进措施的落实情况。”澳大利亚保险集团有限公司（IAG）的首席审计执行官Lee Sullivan指出，他的报告能够通过独立客观的观点，帮助董事会了解“IAG应对网络安全风险的准备程度”。

CAE想要最有效地履行与网络安全相关的职责，就必须关注整个行业的趋势，如监管要求的变化、购买险种的新要求、新的诉讼案例，并且从内部审计的角度对这些新趋势进行思考。他们还需要对人员和团队（如应急团队和开展风险评估的第三方人员等）的配置是否有能力处理网络安全专业问题进行确认。

CAE也应当对目前正在开展的网络安全項目提出建议，说明这些项目做得如何：是否能够降低面对的风险;是否能够有效利用资源，并将其优先投入最重大的风险领域;是否足够严格有力，能够发现和防范威胁。弗吉尼亚大学的首席审计执行官Carolyn Saint指出，内部审计参与网络安全项目可以通过向更高层传递对于资源的需求，从而帮助管理层更好地实现目标。

相关问题

网络安全问题与生俱来的挑战性让“网络恢复能力”这个概念进入了我们的视线。网络恢复能力是指事前、事中、事后采取的一系列措施，其目的是为了保持信息和沟通系统（以及依赖这些系统的机构和人员）能够在发生针对互联网相关资源的持续攻击时，依然能够保持足够的恢复能力。这样的措施包括加强网络安全方面的知识，提高所有员工的网络安全意识，从而使得组织内部的人员能够更好地理解相关风险的本质和影响，形成一道对抗网络攻击的可靠防线。CAE要在这项工作中发挥领导作用，必须做到在内部审计人员中提升相关知识和强化网络风险意识。根据IIA 2016年北美内部审计脉搏调查的结果，内部审计人员缺少网络安全专业知识是阻碍内部审计应对网络安全风险的最大原因。

弗吉尼亚大学的首席信息安全官Jason Belford认为网络恢复能力是网络安全的一项重要指标——尽管二者是相对独立的两个概念，但我们不能将其完全割裂开来看待。该大学分管IT的副校长Ron Hutchins也同意这一说法：“我们追求的是高度的有效性和可靠性，但我们也认可并不是所有的职能都需要相同程度的保护。”

此外，南非共和国开普敦市政府信息系统和技术总监Andre Stelzner对这个概念做了简明的总结：“一个具有较强网络恢复能力的组织总是知道自己的薄弱环节在哪里。”显然，要确保安全并具有恢复能力，最好的方法就是首先了解自己的缺陷，以及应该采取哪些行动来降低这些风险，制定计划以应对网络攻击，并从攻击造成的损害中迅速恢复过来。

隐私和保密同样是网络安全的关键要素，因为它们涉及许多关键问题：哪些数据受到了处理？这些数据如何储存？储存在哪里？哪些人有权通过哪些方式使用这些数据？对澳大利亚保险集团来说，保持客户的信任一直是工作的重中之重，因此首席客户官也与首席保密官和首席数据安全官协作，来保护客户数据的安全。在许多组织中，保密部门也会参与制定组织的相关规范、编制流程和政策;保密部门往往还会负责对其他员工进行网络安全方面的培训。

内部审计应当把这些负责保密工作的机构和个人也作为自己的关键利益相关者，在所有相关的审计项目中，对有关保密规定的遵循情况进行考察。对保密职能部门的检查和观察也能够进一步提供有关组织网络安全方面的信息。数据的所有者、技术的使用者、保密/法务团队需要在组织的大框架下保持紧密的对话与协作，如果做不到这一点，就可能出现需要关注的问题。

结论

CAE和信息技术/安全负责人的意见非常明确：网络安全是一个无法逃避的问题。用Cano的话来说：“这是一次新的工业革命，是一个转型的新纪元，主宰它的是数据、无尽的破坏和重建。”那些不希望成为下一个信息泄露牺牲品的组织需要确保自己能够获得足够的专业知识，给予防控部门足够的资源，密切关注相关法律法规，追踪全球网络攻击的趋势，集合所有利益相关者的力量与信息泄露和损失做不屈不挠的斗争，任何一方面的短板都会导致令人遗憾的后果。

作为备受信赖的顾问，CAE在达成这一目标的过程中能够扮演非常关键的角色。要想真正做到这一点，CAE必须具备并展现自己在网络安全方面的专业能力，从而建立起信任，利用自己的沟通技巧和敏锐嗅觉向正确的对象在正确的时间提出正确的问题：公司在网络安全方面的政策和态度是否保持了一致性？现有的规定和流程能否支持这个态度？其他组织在做什么？我们跟他们相比做得怎么样？提问还需要积极、专注地聆听来配合，再辅以对行业知识、商业头脑和科技思维的运用，最终就能找到问题的答案。

在网络安全方面获得成功的前提是认识到残酷的现状：组织内部或外部有人正在不断尝试获得公司的有关数据。他们绝不会手下留情，所以成为这些犯罪分子目标的组织也不应当掉以轻心。Grocholski的话恰到好处地总结了当下的现实：“我们生活在一个数字化的世界中，像保护你的家园和家人一样保护你的信息。”

附件1

有效的CAE通过为利益相关者

提供咨询建议脱颖而出

澳大利亚保险集团

在澳大利亚保险集团有限公司（IAG），首席信息安全官Jeff Jacobs对整个组织的网络安全管理负总责。为了降低IAG面对的网络安全风险，他与首席审计执行官Lee Sullivan、第二道防线各个部门和负责保密的团队都保持了紧密的合作关系。

Sullivan和Jacobs最近共同推动建立了一项网络安全方面的战略。Jacobs主导了战略内容的制定，包括对目前的状态和能力进行评估、发现新的风险、明确战略性障碍，并制定了一套具体的实施路径和计划来应对上述风险。而Sullivan则指派内部审计的一个团队在这项战略开始实施后不久对其成果进行了独立审核。为此他们达成一致意见，同意在信息安全部门和内部审计部门使用同一套网络安全框架，以确保在向高级管理层和董事会汇报时使用同样的术语，并保持传递信息的一致性，使得整个审核流程能够顺利推进。

在实施战略的过程中克服的挑战包括：

◆ 确保最基础的东西是正确的——最好的例子是通过一系列基本原则，明确网络安全方面，哪些情形可以接受，哪些情况不可接受。

◆ 提高发现问题和应对问题的能力，而不仅仅是关注保护——现实已经证明光靠组织投资防护工具并不能保证万无一失。实际上，按照Jacobs的说法，“我们永远不可能生活在完全的保护之下，因此如果真的发生数据泄露的情况，我们需要变得更加善于发现问题并迅速做出反应。”

◆ 从设计上强化网络安全——网络安全往往是在问题发生后才引起人们的注意。设计者和程序开发者在提出解决方案之初就应该将安全问题考虑在内。

◆ 网络安全意识——即便拥有最完善的技术、流程和充分的专业知识，人的因素永远可能成为薄弱的一环。人们需要思考安全问题，意识到危险的存在，从而能够更加适当地处理这些威胁。

IAG内部基本上已经形成了共识，外部的威胁正在变得更加严峻、更加复杂，需要一套有效的网络安全框架来应对。但与上述战略在推进中涉及的其他部分相比，应当向网络安全能力建设投入多少资源并没有一个清晰的认识。组织中的有些人可能会认为对网络安全的关注会拖慢计划中的数据化进程。但Jacobs表达了不同意见：“这并不是一个二选一的难题，我们必须两手抓，两手都要硬。”

弗吉尼亚大学

弗吉尼亚大学的首席审计执行官Carolyn Saint、首席信息官Virginia Evans、首席信息安全官Jason Belford、分管IT的副校长Ron Hutchins和IT审计处处长Gerald Cannon共同致力于推进Hutchins称之为“三足凳”的工作流程来处理网络安全问题：建立规定、执行规定及审计对规定的落实情况。这套工作流程的关键在于参与每个环节的职能部门相互之间都是独立的，但是仍然保持协作的关系。正如Evans所说：“要想妥善地解决网络安全问题，唯一的办法就是以团队精神开展协作。”

Saint采取了一种基于标准框架的工作方式，由内部审计对网络安全进行全面和标准化的覆盖，确保内部审计不但考察是否存在相关措施，还会评估措施的有效性。Evans也说：“之前的审计团队只关注合规，而现在更加积极地去寻找风险。”

Belford、Hutchins和Evans都认为现在内部审计这种合作者、咨询者的角色对组织来说极为有益。他们觉得现在的模式更类似于一种写作，让人感觉与内部审计“站在同一阵营”，而不是传统印象中内部审计就是想“要你好看”。

Saint承认让CIO和CISO了解内部审计的角色和价值需要一个沟通和交流的过程，但这就是CAE工作的一部分。她补充道：“CAE的工作之一就是确保组织的各个层面都了解风险的存在。”

该所大学为了遵循美国联邦信息安全管理法案（FISMA）的要求，除了上述人員之外，还有其他跨部门的代表也加入进来，工作力度甚至超过了一般的网络安全措施。尽管已经做出了一些成绩，但与“通过计划性的工作方式建立起可不断改善的环境，从而真正达到FISMA”的要求还有一些距离。

无论如何，各部门之间的协力绝不可少。正如Saint指出的那样：“网络安全是每一份审计计划的重中之重，在未来几年中估计都是如此。”

开普敦市

南非共和国开普敦市政府的网络安全团队认识到科技的发展永远比控制措施快一步，因此需要不断投入资源来增加新的预防、侦测和修正措施。即便如此，谁也不能保证能够逃过攻击，所以能否获得成功就取决于整个团队能以多快的速度发现安全漏洞，以及应对威胁的手段有多么有效、迅速和经济。

这个团队由首席审计执行官Lindiwe Ndaba、信息系统高级审计经理Etienne Postings以及信息系统和技术总监Andre Stelzner组成。他们选择了基于风险的工作方式来应对网络安全问题。第一步就是仔细梳理不同职能和不同机构发现的组织面对的IT风险，在此基础上，通过IT审计人员和CIO就组织的网络风险趋势、组织外部的相关风险和可能会对组织产生影响的全球性趋势交换意见作为补充。

Stelzner指出实现网络安全需要团队中的每个成员都尽可能地发挥自己的能力。出于这个原因，他认为内部审计应当是一个独立的确认机构，对组织的安全状况进行鉴证，对IT部门为了降低风险而建立的规定、系统和服务进行检查。但他自己也承认，目前还只是“对是否遵循IT部门自己制定的规定进行评估，而不是对每一个安全方面的措施都进行测试”。

内部审计和安全团队的紧密合作也反映了团队精神。内部审计的代表会参加安全论坛会议，而正是在这些会议上会对一般性问题和解决方案进行讨论。所有人都秉持着同一个目标：使工作、系统和流程尽可能变得更安全。

与Saint提到网络安全在内部审计计划中的重要性相似的是，Ndaba和Postings也认为，在开普敦市政府，“网络安全和IT审计一直是内部审计战略清单上的重要组成部分”。

附件2

成为网络技术方面值得信赖的顾问

作为网络技术方面值得信赖的顾问，CAE需要在组织中推动变革。在认识和理解、风险管理以及确认活动等方面投入特别关注有助于CAE成为网络技术方面真正值得信赖的顾问。