随着对边缘计算和网络入侵等领域的更多关注,企业风险管理将如何变化,您应该计划执行哪些审计?
与去年一样,如今 IT 面临许多相同的技术风险挑战。管理系统和网络存在风险,管理使用这些系统和网络的人类员工存在风险,以及网络风险。在网络风险中,最受关注的是来自恶意软件、勒索软件、病毒和网络钓鱼的入侵。
IT 已采取措施避免或减轻其中的许多问题,但 IT 风险管理的变化在于:过去是内部 IT 问题现在是董事会级别、CEO 级别、客户级别和利益相关者-级别的关注。
2021 年平均数据泄露的成本为 424 万美元。到 2031 年,勒索软件的成本预计将超过 2650 亿美元,而 2021 年从勒索软件攻击中恢复的平均成本为 185 万美元。
像这样的成本(以及随之而来的宣传)可能会破坏品牌和/或严重损害公司的声誉。这正是公司利益相关者、董事会和 CEO 对 IT 风险管理进行培训的原因——以及组织可以采取哪些措施来避免高昂的成本和不受欢迎的头条新闻。
“在过去的 12 到 18 个月里,各行各业的高管已经目睹了——并且越来越多地亲身体验了——勒索软件攻击的令人瞠目结舌的频率、复杂性、成本以及经济和运营影响,”Curt Aubley 说,德勤风险与财务咨询业务负责人兼董事总经理在新闻稿中。
IT 审计和企业承诺
归根结底,IT 风险正在成倍增加——公司需要采取措施应对这些风险。
IT 领导者已采取许多措施来预防和/或减轻 IT 资产的风险;然而,IT 不太活跃的一个领域是决定 IT 合同的审计是否仍然是正确的审计,或者鉴于网络犯罪的增加,现在是否需要其他类型的 IT 审计。
任何 IT 审计讨论中的第二个要素是预算。 IT 审计很昂贵。 IT 可以负担多少次审计? CEO 和 CFO 的言行是否会像言辞一样咄咄逼人?
德勤调查质疑 C 级承诺。调查显示,“绝大多数 (86.7%) 的高管和其他高管表示,他们预计未来 12 个月针对其组织的网络攻击数量将会增加。虽然 64.8% 的受访高管表示,勒索软件是一种网络威胁,在未来 12 个月内对其组织构成重大关注,但只有 33.3% 的高管表示,他们的组织已模拟勒索软件攻击,为此类事件做好准备。”
德勤的评论是关于通过模拟攻击场景并了解您对它们的反应程度来支持可证明的准备情况。如果 C 级高管没有积极支持这些步骤,而且他们也没有,那么想象 IT 审计方面的重大硬美元投资也会遭到抵制,这并不牵强。
IT 审计:您选择哪个?
IT 审计有多种类型,但您应该资助和执行的核心审计如下:
1. 一般信息技术审计
应每年进行一次一般性 IT 审计。此审计的价值在于它审计 IT 中的所有内容。它侧重于内部 IT 政策和程序的强度,以及 IT 是否满足公司所遵守的监管要求。 IT 审计着眼于备份和恢复,确保 DR 计划记录在案并保持最新。审计测试网络漏洞并尝试利用它们。在某些情况下,IT 会要求审计员(以额外费用)随机审计多个最终用户部门,以了解 IT 安全标准和程序在 IT 之外的遵守情况。如果您从事金融或医疗保健等高度监管的行业,您的考官会要求您查看最新的 IT 审计。
2.社会工程审计
斯坦福大学的研究人员发现,2020 年 88% 的数据泄露是由人为错误造成的,Haystax 的一项调查显示,56% 的安全专业人员表示内部 [安全] 威胁正在上升。在社会工程审计中,审计员审查最终用户活动日志、政策和程序。他们检查遵守情况。
不幸的是,当预算紧张的时候,许多 IT 部门选择跳过社会工程审计,只进行一般的 IT 审计——但随着员工疏忽、错误和破坏行为的增加,公司能负担得起吗?
鉴于用户违规的数量众多,谨慎的做法是每年进行一次社会工程审计。对于资金紧张的 IT 部门,他们可以选择每隔一年执行一次这些审计。
3.边缘审计
2020 年,Grand View 研究估计边缘计算市场为 46.8 亿美元,另外预测到 2028 年边缘市场将以 38% 的复合年增长率增长。
制造商、零售商、分销商、医疗保健、物流和许多其他行业都在其企业边缘的用户运行网络上安装 IoT(物联网)传感器和设备。
当用户操作网络时,安全漏洞和漏洞的风险会增加。
如果您的公司有大量的边缘计算安装,那么对边缘的安全技术、日志、策略和实践进行审计也很重要。
关于审计的最后评论
审计很昂贵。 IT 人员也不喜欢这样做,因为审计员的问题会占用日常项目工作的时间。
但在当今网络和内部风险不断增长的世界中,这些审计对于企业福祉以及公司将向其行业审查员和商业保险公司展示的内容至关重要。
通过资助和执行对您的企业福祉最重要的审计,您可以保持领先地位。
原文:https://www.informationweek.com/security-and-risk-strategy/how-corporat…
- 登录 发表评论