里卡多-加梅罗夫

阿根廷克里斯顿律师事务所合伙人

里卡多是一名欺诈、审计和风险专家，在安永会计师事务所（EY）工作了二十多年，曾担任加拿大、智利和阿根廷的审计和取证合伙人。 他领导过公用事业、零售业、制造业和采矿业的主要客户，包括可口可乐、麦当劳、西门子、福陆丹尼尔斯等。 里卡多是美国、智利和阿根廷的注册会计师（CPA）、注册舞弊审查师（CFE），并拥有工商管理硕士学位。 他还是安第斯大学的一名大学教授，并出版了一本关于职业欺诈的著作。

网络威胁时代的内部审计

June 10, 2024

阿根廷 Kreston BA管理合伙人兼 Kreston Global 全球审计业务发展总监Ricardo Gameroff 强调了内部审计在应对网络威胁方面的关键作用。 他在《审计与风险》杂志（特许内部审计师协会的出版物）上发表的文章讨论了不断发展的内部审计实践如何通过缜密的风险评估和主动监控来增强抵御勒索软件、网络钓鱼、BEC 攻击和品牌冒充等威胁的能力。单击此处访问完整的出版物，或阅读下面的摘要。

将内部审计作为防御工具

内部审计在降低网络风险和保护组织资产方面一直发挥着关键作用。 此外，审计流程的最新进展也使其能力超越了传统方法。 现在，内部审计团队可以利用创新技术，快速适应不断变化的网络威胁。

对内部审计团队的主要建议：

• 持续监控：使用自动化工具和分析方法实时监控网络活动、检测异常情况并识别潜在的安全漏洞。

• 提高网络安全技能：投资于持续培训和专业发展，以跟上新出现的威胁和最佳实践。

• 整合数据分析：利用数据分析改进风险评估，并通过分析大型数据集的模式和异常情况来检测可疑活动。

• 与 IT 和安全团队合作：与 IT 和安全部门密切合作，了解组织的 IT 基础设施和薄弱环节，根据风险状况调整审计程序。

合乎伦理的人工智能

对道德的深刻理解和健全的企业文化对于保护组织免受网络威胁至关重要。 此外，内部审计还能帮助管理层监督和支持组织文化。 因此，这可确保所有员工了解有关网络安全和道德规范的预期行为。 这促进了良好的决策，加强了治理和控制。

随着人工智能在决策和自动化领域的兴起，确保系统的透明度、问责制和无偏见至关重要。 此外，内部审计师还可以通过审计人工智能算法和确保监管合规，帮助实施符合道德规范的人工智能实践。 尽早参与人工智能计划可使审计人员就风险提出建议并提出解决方案。

部件 网络准备

准备工作是应对网络威胁的关键。 建立企业网络准备涉及治理、战略、事件响应和员工培训。

• 治理和战略：内部审计应为有效的网络安全管理提供支持和建议，帮助制定明确的政策、程序和问责结构。 根据业务目标确定角色、职责和战略目标至关重要。

• 风险评估：定期风险评估有助于识别网络风险并确定其轻重缓急，从而实现高效的资源分配和有针对性的缓解战略。

• 事件响应：组织需要有一个正式的事件响应计划，其中包括指定小组和定期培训演习。 威胁情报监控和事件检测系统等前瞻性措施对于迅速有效地采取应对措施至关重要。

• 员工培训：对员工进行网络威胁和最佳实践方面的教育至关重要，因为人为失误仍是造成事故的常见原因。 定期开展有关网络钓鱼、密码安全、安全使用互联网和安全意识活动的培训，可以培养一种保持警惕的文化。

防止事故发生的内部审计

由于 “险情 “并不公开，因此很难找到内部审计防止网络安全事件的例子。 然而，成功的网络攻击往往凸显了有效的审计实践可以如何减轻或防止漏洞。

在汽车行业，由于两名前雇员的 “内部作案”，2023 年的特斯拉 数据泄露事件影响了超过 7.5 万人。 这一事件凸显了全面的员工培训、严格的访问控制、定期审计和举报政策对于发现未经授权的访问和危险行为的重要性。

在金融服务领域，2017 年 3 月发生的Equifax数据泄露事件就是攻击者利用 IT 系统漏洞造成的，该事件影响了近 1.5 亿人。 此外，虽然外部攻击的预防非常复杂，但内部审计团队专注于强大的网络安全措施、数据管理实践和内部控制，有助于快速发现违规行为，并确保迅速减轻损失和发出通知。

Mailchimp 是一家电子邮件营销服务提供商，由于其员工受到社交工程攻击，导致用户账户受损和客户数据泄露，该公司面临着多次数据泄露事件。 内部审计应确保员工接受足够的网络安全培训，并评估双因素身份验证和实际身份管理做法的实施情况。 此外，政策和系统必须到位，以迅速检测和缓解漏洞，并及时处理漏洞。

随着技术的飞速发展，相关风险也在不断增加。 内部审计必须调整做法，利用人工智能、数据分析和机器学习等技术进步，主动识别潜在漏洞，预测新出现的威胁。 能够预见未来风险的内部审计团队可以为管理层提供有价值的指导，使企业以最佳状态应对不可避免的网络攻击。 有关在企业中实施网络安全协议的更多信息，请单击此处。