Journal | 如何提高网络安全审计的有效性?
网络安全正成为组织越来越重要的关注点,而COVID-19大流行通过远程办公、使用视频会议软件扩展工作环境,以及在组织系统中增加个人设备和私人WiFi网络加剧了各类企业的网络风险。2022年,网络安全在欧洲内部审计协会联合会 (ECIIA) 的 2022年焦点风险 报告和内部审计师协会 (IIA) 的 OnRisk 2022 报告中第五次位列关键风险榜首。世界经济论坛最全面的风险研究之一也将网络安全视为多年来的首要风险。引人注目的是,OnRisk 2022 报告指出,内部审计中最显著的能力差距与网络安全有关。这引发了对内部审计师如何有效地提供网络安全风险管理保证的调查。
我们可以通过一个测验来对网络安全审计的有效性进行评分。然后,企业可以通过这个结果将其网络审计有效性得分与整个样本、地区或行业进行比较。我们已经开发了一个模拟的测验,本文将根据试点结果分析它的有效性。
如何获得满分?
每项内部审计都包含三个相互依存的阶段:计划、执行参与和报告调查结果。该测验为三个阶段中的每一个阶段提供一个子分数,以显示哪些领域需要改进(图1)。如果一家企业在这三个阶段都表现出色,其得分可能接近100分(满分)。分数取决于几个因素,例如企业的风险偏好和风险敞口。得分越高,内部审计对网络安全风险管理的成熟度的贡献就越大。
计划
计划阶段包含内部审计师必须考虑的三个主要步骤:1. 制定战略计划并了解利益相关者的期望——这里内部审计师需要分析网络安全风险管理的行业趋势,识别并与最高管理层沟通新出现的网络安全风险,并与管理层和董事会或审计委员会就网络安全威胁和风险进行前瞻性讨论以了解他们的期望。然而,这一步经常被审核员忽略。
2. 进行初始风险评估——这一步指导网络安全审计工作。它包括识别企业最有价值的数字资产(皇冠上的宝石)以及基于它们对企业的价值所必要的保护级别。审计师应评估已识别的关键数字资产的脆弱性以及这些数字资产被盗或受损时可能产生的影响。所有这些都可以与网络风险管理中的第一道和第二道(防线)合作完成:IT 团队和首席信息官 (CIO) 或类似职能部门。
3. 定义审计标准——这一步定义了内部审计师审计所依据的标准。如果企业使用国际标准来映射和衡量网络安全风险管理流程,例如国际标准化组织 (ISO)/国际电工委员会 (IEC) 标准ISO/IEC 27001 信息安全管理、COBIT® 和美国国家标准与技术研究院技术 (NIST) 标准,它们代表审核标准。其他选项包括互联网安全中心 (CIS) Top 20、美国联邦金融机构检查委员会 (FFIEC) 网络安全评估工具和Treadway委员会 (COSO) 企业风险管理 (ERM) 网络安全框架赞助组织委员会,以及自主研发的标准。使用此类标准是可取的,因为它们是由专业协会和众多专家经过多次迭代开发的。
执行参与
在执行参与阶段,审计师审查内部控制。第一步是定义保证活动的领域,并测试前两条线为管理网络风险而实施的内部控制。该测验使用了医疗保健内部审计师协会 (AHIA) 和德勤提出的12个领域。这12个领域是:1. 网络风险管理
2. 软件安全
3. 数据保护
4. 云安全
5. 身份和访问管理
6. 第三方管理
7. 基础设施安全
8. 劳动力管理
9. 威胁和漏洞管理
10. 监控
11. 危机管理
12. 企业弹性
13. 包括业务连续性计划
为了检查审计师对这些领域的审计情况,测验采用了国际审计标准 (ISA) 500 审计证据的逻辑,在该逻辑下,重新执行控制可提供最高水平的保证,询问——即采访相关管理人员——提供最低级别的保证。多种方法(询问、观察、检查和分析程序)的组合可确保获得更好的分数。如果内部审计职能使用再执行作为标准,则可以保证在该部分测验中获得最高分。
第二步是检查企业使用的网络安全工具并确定它们的性能。这些工具可以是网络安全监控工具、加密工具、Web 漏洞扫描工具、网络防御无线工具、数据包嗅探器、防病毒软件、防火墙、公钥基础设施 (PKI) 服务、社会工程工具、托管检测服务、渗透测试、入侵 检测系统和端点保护。审核员检查的工具越多,测验分数就越高。
报告
向受审计方和董事会 (BoD) 报告调查结果是有效网络审计的最后阶段。尽管“一切交给IT“的逻辑在许多董事会中仍然盛行,但BoD对监督网络安全风险负最终责任,而审计师可以极大地帮助BoD行使监督权。审计师向董事会提交的报告应准确、客观、有建设性、完整和及时(国际专业实务框架 [IPPF] 标准 2420 通信质量)。这可以通过发布关于网络安全风险管理的总体意见来实现,该意见使BoD对此类管理的有效性有合理的保证。由于环境和企业的快速变化,考虑向高级管理层和董事会报告与网络安全风险管理相关的调查结果的频率也很重要。提供总体意见和更高的报告频率导致测验得分更高。
国际样本调查结果
该测验通过月刊和电子邮件分发给19个IIA附属机构、3个欧洲 ISACA® 分会和1个美国ISACA分会的成员。183名参与者完成了测验,并分析了分数。人员统计数据揭示了能力的显著两极分化。尽管几乎一半 (48%)的受访者拥有注册信息系统审计师® (CISA®) 认证或与网络安全和IT相关的多项认证,但40% 的内部审计职能 (IAF)的参与者没有获得专业认证的审计员(图2),31% 的审计员没有执行网络安全审计的经验,41% 的IAF没有IT审计员。为了弥补内部技能的不足并获得可靠的基准,20% 的参与者将网络安全审计完全外包,65% 的参与者与外部供应商共同进行审计。近三分之一的受访者来自金融行业,这是一般风险管理尤其是网络安全风险管理中监管最严格的行业之一。82% 的受访者表示,他们的企业使用一个或多个网络安全框架来制定网络安全审计计划。他们主要依赖ISO 27001和ISO 27002 (53%)、COBIT (40%) 或 NIST (28%)。部分企业(16%)使用基于这三个框架的部分自研框架(图3)。大多数审计师 (62%) 评估其企业的成熟度水平为中等 (3)。
受访者的平均得分为57.9;但是差异很大。多达 51% 的受访者得分高于61,表明审计有效性水平很高。从各个阶段来看,计划阶段的平均分最高 (64),其次是报告和执行阶段,平均分分别为55分和54分。然而,结果表明无论是计划和报告阶段,还是执行和报告阶段,都没有很强的相关性。这表明,即使那些没有有效履行计划或执行阶段的审计师仍会向董事会提供有关风险管理的总体意见。
地区和行业之间存在很大差异。毫不奇怪,IT和电信以及金融行业的得分最高,其中 IT 和电信的排名 (75) 明显高于任何其他行业(图4)。虽然澳大利亚、新西兰和西欧在地区间得分最高,但地区间差异并不显着,因为每个地区内部差异较大。
检查是测试网络安全控制最常用的程序,其次是询问和观察;分析程序和再执行不经常使用。25% 的受访者表示他们不检查任何网络安全工具,75% 的受访者在一个审计周期中检查一个或多个网络安全工具。
43% 的IAF每年向BoD报告,14% 每季度或在每次委员会会议上报告他们的调查结果。13% 的受访者没有向BoD报告任何调查结果。
提高网络安全审计效率
确定分数后,审计员可以使用该分数来指示组织的后续步骤,以改进其网络安全审计流程,从而提高其分数。内部审计师可以遵循几种最佳实践来提高他们的网络安全审计效率,包括:-
提高技能——可以显著提高审计效率的一个因素是通过鼓励和帮助内部审计师获得认证来提高他们的能力。据报道,样本中最受欢迎的认证是CISA证书。网络安全审计的需求唯有技能提升,才能提供专业的知识和技能。
-
合作或外包,但保持控制——如果IAF的能力不是很令人满意,合作或外包可能有助于达到基准。在合作的情况下,内部审计师应该结合各种外部审计的结果来形成整体意见并掌握报告,因为只有他们知道网络安全风险管理是与企业风险管理相结合还是孤立的工作。
-
参与所有三个审计阶段——就执行的彻底程度而言,审计的所有三个阶段之间应该有很强的相关性。缺乏良好的规划会对执行参与和报告阶段产生严重影响。可以理解的是,对大量控制措施的审计将持续多年,但应确定最相关的风险因素并确定其优先级,以全面了解报告年度内网络安全风险管理的有效性。
-
与一线和二线合作——尽管独立的内部审计很重要,但它不应与其他两条线隔离,正如新的三线IIA模型12所建议的那样。研究发现,三线合作对网络安全风险管理的有效性具有非常积极的效果13。只有8% 的受访者表示他们在确定风险和划分保证活动方面与一线和二线密切合作。42% 的受访者没有保障计划,17% 的受访者根本不与一线和二线合作。使用保证映射来描述每条线的职责有助于更有效地利用有限的内部审计和IT部门资源。保证映射有助于正式确定深入和持续的合作。
结论
网络安全是一个日益重要的优先事项,组织需要能够衡量其网络安全审计的有效性,以了解如何更好地推进和加强其网络安全实践。如果网络安全风险管理的规划、执行和报告审计结果的程序遵循标准、专业指南和最佳实践,那么内部审计是有效的。
研究结果表明,IT 审计认证很重要,但可以通过将网络安全审计外包给第三方来部分抵消。此外,如果内部审计的规划和执行阶段没有正确完成,内部审计师应该谨慎地向董事会提供总体意见。归根结底,网络安全不仅仅是一个人或团队的责任,而是整个组织的责任,因为内部审计师和其他团队(例如,运营IT、信息安全)之间的协作可以带来更好的网络安全风险管理。
编者注:本文出自ISACA Journal 2022年第5期。尾注略。文章内容仅代表作者本人观点。
联合作者:MATEJ DRAŠČEK | PH.D., CSX-F, CFSA, CIA, CRMA,是斯洛文尼亚一家地区性零售银行的首席审计执行官。
SERGEJA SLAPNIČAR是昆士兰大学商学院(澳大利亚布里斯班)的会计学副教授。
TINA VUKO是斯普利特大学(克罗地亚斯普利特)经济、商业和旅游学院会计与审计系教授。
MARKO ČULAR是斯普利特大学(克罗地亚斯普利特)经济、商业和旅游学院会计和审计助理教授。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。