会计与财务专业人员在企业网络安全中的作用 

作者：乔纳森·希尔博士（Dr. Jonathan Hill） 

近年来，网络犯罪在我国及全球均呈上升态势，达到了前所未有的程度。而随着技术进步，企业还将面临更多这种无声的攻击，技术基础设施的核心部分岌岌可危。

技术的飞速发展往往使罪犯更加有机可乘，企业却在疲于应对，以保护自身的数据安全。鉴于这种局面，特许公认会计师公会（AA）美国分会希望更详细地了解会员所在企业的意识和努力程度。我们在今年早些时候开展了下述调查，其结果发人深省。 

加强控制的第一步，就是先行了解此类网络威胁的严重性、基础设施存在的薄弱之处，以及补救措施（而非临时性的权宜之计）等。

华纳·约翰斯顿（Warner Johnston）

AA美国分会会长

会计师既是攻击目标，也是捍卫者

正如美国联邦调查局（FBI）局长詹姆斯·科米（James ey）所说：“美国有两类大型企业：一类是已受到黑客攻击，另一类则尚未察觉自身受到了黑客攻击。”会计专业人员仍处于网络威胁的核心，因为他们负责处理数据、个人验证信息（PII）——而这些正是网络犯罪的攻击目标。面对不断发展的黑客威胁，会计人员正与企业内部网络安全专业人员和外部咨询师密切合作，共同设计数据安全保护措施。AA持续开展着有关于网络犯罪的全面研究，并就网络安全议题与会计和财务专业人士建立了长期对话。此外，AA还与国际信息系统审计与控制协会（ISACA）等相关机构一道，合作编制最佳实践指南——如信息及相关技术控制目标（BIT 5），藉此应对源自财务控制、风险管理和计算技术等职责方面的独特风险，包括网络漏洞和设备管理。

立法及不断加强的政府参与

至少在美国，未来几个月里，政府将制定新的监管指南。近来，银行、大型商家、电信企业和零售商等面向消费者的大型企业，其IT系统频频遭受网络攻击，甚至就连政府机构发现自身也已成为网络攻击的目标，因此各州和联邦层面的立法者与监管方都宣布要加强应对举措。企业既面临着网络窃贼的外部威胁，同时还要面对消费者的质疑，因为他们并不希望企业将自身的个人验证信息转交给政府机构。在网络漏洞层出不穷的环境中，保护隐私的渴望与数据安全（和个人安全）需求之间的冲突正日渐加剧。 

一方面为了响应公众免遭网络犯罪攻击的要求，同时也为了保护企业，使其不必因为网络盗窃而背负债务，美国各州主管部门纷纷行动起来，制定有关合理保护措施的准则，确保企业及其管理层切实负责。对于未能遵循网络安全最佳实践的企业和个人而言，或将面临执法行动。 

相比之下，美国众议院（H.R.）于2015年4月通过了两项议案——即《2015年国家网络安全保护促进法案》（H.R. 1731）和《保护网络空间法案》（H.R. 1560），这两项议案将被合并成一项议案提交参议院审议。

56%的北美受访者比一年前更为关注网络犯罪问题

精明的消费者

消费者都迫切希望与企业和机构打交道，为其数据提供更强有力的安全保障，使其日常商业活动不会受到网络犯罪或系统关闭的影响。但是，很多客户不愿付出更多努力来保护自身的个人验证信息，而倾向于把重担和责任推给企业与政府机构。 

由于用户行为经常有悖网络安全规则，因此从本质上讲，在消费者保护自身电脑和移动设备方面，让企业为客户行为负责这种固有不公平性可能会成为最大障碍。

调查重要发现和关键启示

报告攻击

调查显示，内、外部报告之间有着非常明显的差别。内部报告往往只到达报告链中高一级别的管理者。只有17%的受访者表示，会定期向高级主管层报告网络攻击。而不到半数的受访者表示，唯有在攻击得逞的情况下，才会向执法部门提交外部报告。这或许体现了企业不愿意“公开”数据受侵的心态，因为这可能会损害企业声誉，甚至影响股票价格。

利用外部咨询顾问

近50%的受访者表示自身公司在遭受网络攻击时，有可能或者非常可能聘请外部咨询顾问。

网络安全职能的报告领域

关于企业网络安全高级管理者应当向哪一位首席高管报告，受访者给出了值得关注的不同观点：42%表示应向首席信息官（CIO）报告，25%的提交对象为首席执行官（CEO）报告，而17%则会报告给首席财务官（CFO）。

内部IT风险管理政策的合规

尽管近70%的受访者表示，他们对自身企业的网络风险管理政策和流程有着高度或非常高度的认识，而且57%声称已针对网络威胁，对自身企业的IT系统进行了妥善保护。但仍有近三分之一（32%）的受访者坦承，对传输或存储过程中的数据加密政策一无所知。不仅如此，31%的受访者谈到，尚未建立从员工设备中删除未授权软件的流程。 

另外，只有41%的受访者表示，遵守了企业内部网络安全培训和教育项目所包含的风险管理协议。

云端的分歧

尽管三分之二的受访者都表示，他们使用了云服务器提供商的网络安全实践，并非常信任其完整性，但其余三分之一则表示完全没有使用云存储。这或许说明，使用自己可以控制的服务器能令他们感到更加安全。

IT有效性评估与审计/持续改进网络攻击的应对之道

大多数受访者（71%）表示，他们会定期实施风险缓解举措，如漏洞扫描和软件补丁更新等；约40%的受访企业采取了更为复杂、（侵入式的）渗透测试；而近半数（45%）企业会定期开展安全审计。

AA的贡献

84.5%的受访者指出，AA提供的信息对自身和相关行动具有一定或高度的参考价值。

职能/工作领域比较

调查结果显示，审计师和会计师的认识也存在一定差异。今天，58%的审计师比一年前更关注网络安全问题，相比之下，会计师的比例只有48%。

面临的共同威胁和更多的问题

此次调查获得的数据表明，本专业正在逐步适应流程和系统所遭受的严重外部攻击。为了应对持续发展、日益复杂的威胁，主要的利益相关方群体——包括财务专业人员、IT专业人员和相关的政府监管和执法机构等，其反应和需求也在不断变化。 

日常业务实际情况和网络安全最佳实践理论之间也存在一些矛盾。我们每周都能听到有关网络安全漏洞的新闻，这清楚表明，企业、特别是每位员工都应开始遵守此类最佳实践，其作用至关重要。各国的技术或许有所不同，但调查发现，世界各地从业人员之间的认知并无明显区别。差异之处主要是对网络犯罪威胁严重程度的认知，以及从业人员所使用IT系统的安全性。此外，受访会计师和审计师之间的认知也存在一些值得关注的差别。 

在此环境下，问题和解决办法同样繁多：立法是否紧跟形式发展？会出现怎样的局面？是否将制定可强制执行的信息及相关技术控制目标？还是针对数据完整性的《萨班斯-奥克斯利法案》（Sarbanes-Oxley）？谁来证明企业是否安全？贵公司拥有哪些展示自身数据安全的认证或资格认定？网络攻击的威胁如此严重且千变万化，获得认证等于是向所有黑客发出邀请，由其测试自己的技能并否定这一认证。如果是这样，认证又如何证明企业的安全可靠？ 

然而，眼下的现实是，会计师面临着越来越大的压力，而消费者也日渐担心，在线商务、银行业和购物等行业在经历了指数级增长后可能会放慢增长步伐。同样，政府也迫于压力做出响应，所有的防卫和情报机构都承担了应对网络威胁的任务。包括会计师事务所在内的企业，如果不能提供更好的网络安全防御措施，就会失去客户。政府和私营部门之间有时不太稳定的工作关系也将受到考验，迫使双方都不得不整合自身的活动、技术和系统，而要求华尔街、硅谷和华盛顿更紧密整合的呼声也越来越高。

下载原文：4. Cyberwarriors with Calculators.pdf

以数字为武器的网络卫士