管理网络风险：内部审计的作用

June 28, 2023

Kreston-Ezra Yehuda-Rozenblum的执行合伙人Doron Rozenblum最近在《今日会计》杂志上发表了专题文章，就内部审计为何是网络风险管理的关键分享了自己的见解。 信息技术中断、数据泄露和勒索软件攻击等网络事件是全球风险最高的事件。 数据泄露尤其令公司担忧，2022 年的数据泄露成本达到创纪录的 440 万美元，预计 2023 年将超过 500 万美元。 其他重大风险包括勒索软件攻击和数字供应链或云服务故障。 与网络相关的媒介，包括犯罪攻击、人为错误和技术故障，都可能对企业造成严重破坏。 现在，黑客既针对数字供应链，也针对实体供应链，对中小型企业构成了更大的威胁，而大型企业则在网络安全方面投入更多。

不断演变的网络风险：威胁与趋势

在数字环境中，每家公司，无论规模大小，都容易受到漏洞的侵害，从而危及运营、声誉、品牌和收入渠道。 2023 年的网络风险形势多种多样，并在不断演变，预计到 2023 年，网络犯罪成本将达到 8 万亿美元，到 2025 年将达到 10.5 万亿美元。

勒索软件攻击，特别是通过网络钓鱼进行的攻击，对公共和私营部门都构成了最大的威胁。 这些攻击不仅数量越来越多，而且造成的经济和声誉损失也越来越大。 网络钓鱼涉及黑客通过欺骗性电子邮件诱骗个人共享有价值的数据或传播恶意软件，通常冒充更高级别的个人或可信机构。 商业电子邮件破坏（BEC）是另一个严重问题，通常与网络钓鱼有关。 攻击者使用电子邮件以外的协作工具，如聊天和移动信息应用程序，来实施他们的阴谋。 黑客经常在网络钓鱼攻击中滥用微软的品牌，由于安全习惯差和用户知识缺乏，品牌冒充攻击令人担忧。

随着越来越多的人使用网上银行和购物，欺诈，尤其是身份盗窃，正呈现数字化趋势。 2022 年，消费者报告称因欺诈损失近 90 亿美元，比上一年增加了 30%，其中有大量的身份盗用报告。

加强网络风险管理：内部审计战略

企业因其规模、复杂性和相互关联性而面临着更大的网络风险。 云服务和物联网（IoT）的使用创造了新的攻击载体，给安全防护带来了挑战。 涉及所有利益相关方的强有力的网络风险管理战略对于应对这些风险至关重要。

人工智能（AI）具有潜力，但也可能成为威胁的载体。 由于人工智能系统和平台可能会从不可靠的来源得出不准确的假设和结论，因此应谨慎实施。

内部审计已发展成为防范网络风险的重要手段。 它不仅涉及金融领域，还包括网络安全。 要有效审计网络风险，内部审计需要了解最新的威胁，掌握组织的 IT 环境和网络安全框架，具备风险管理和数据分析方面的专业知识，并与 IT、风险管理和合规职能部门合作。

要对网络风险进行强有力的内部审计，就必须采用基于风险的方法。 必须确定和保护关键资产和系统，评估现有控制措施，并确定需要改进的领域。 应将网络风险管理纳入组织的整体风险管理战略，并定期向董事会和高级管理层提供有关网络风险概况和新威胁的最新信息。 供应链管理是另一个关键领域，需要对供应商的网络安全做法进行评估。

总之，网络风险对组织的威胁与日俱增，内部审计在管理这些风险方面发挥着至关重要的作用。 评估风险状况、审查内部控制和利用数据分析工具对于有效管理至关重要。 通过采用协作和基于风险的方法，内部审计可以帮助组织驾驭复杂多变的网络风险环境。

更多信息，请点击此处。