网络安全问题绝非单纯的IT问题,CFO必须在网络安全方面树立正确的观念,并制定行动计划。
网络安全攻击事件(包括近期的勒索软件攻击)持续升级,给公司董事会和高管团队带来重大挑战,尤其在居家办公和分布式办公成为新常态的情况下。虽然网络安全风险已经受到了广泛关注,但仍然有很多公司仅将其视为“IT问题”,而不是与公司战略密切相关的核心战略风险问题。在网络安全风险的评估和管理上,这种狭隘的观点可能会产生盲点和漏洞。
战略管理的最终目的是让企业实现其战略目标和企业宗旨。信息技术的变革,加上企业面临的日益增长的网络安全威胁及其复杂性,让企业在识别、评估和管理相关风险与机遇,并将之纳入企业战略管理流程方面面临巨大挑战。在2019年美国会计协会年会上,德保罗大学战略风险管理实验室发布的一份研究报告介绍了网络安全风险评估和管理流程,并将之作为企业战略管理(使用战略风险评估流程)的一部分。
战略风险评估流程可用于评估和管理网络安全风险,编制网络安全风险情况说明,其主要内容为风险应对准备情况。(该评估流程的更多信息可见《CFO与战略风险管理》一文,刊发于《战略财务》中文刊2021年第1期,英文刊链接bit.ly/2SwJjRJ)在本文中,作为领先网络安全软件公司Keeper Security的CEO兼联合创始人,Darren S. Guccione将就公司如何评价和开发用以评估、衡量及降低网络安全风险的准备能力问题,分享其观点。
CFO与网络安全风险
CFO与财务部门能够在评估和管理网络安全风险方面发挥领导作用,风险管理职能通常设置在CFO办公室。
Mark L. Frigo:在保护公司免受网络攻击方面,CFO应该做的最重要的事情是什么?在评估和管理公司网络安全风险时,你会给CFO什么建议?
Darrn S. Guccione:企业必须制定网络安全行动计划。CFO应与所有高管成员(网络安全团队)协同制定网络安全计划,其中包括五个核心要素:
1.预防
2.检测
3.修复
4.响应
5.报告
作为网络安全计划的一部分,企业应进行严格的自我评估,确定其在流程、内控、安全、保密和技术方面存在的漏洞。
战略风险评估
战略风险评估流程(见图1)包括七个步骤,展示了企业评估和管理风险的连续过程。该流程借鉴了“Creating and Protecting Value: Understanding and Implementing Enterprise Risk Management”(bit.ly/36UTPWo)研究报告中提到的战略风险评估流程,这篇报告由美国反虚假财务报告委员会下属发起人委员会(COSO)于2020年发布。
网络安全团队可按照以下步骤应对网络安全风险。
第一步,了解企业战略,识别阻碍公司实现其战略目标和宗旨的网络安全风险。这包括将关键信息资产作为风险进行评估,如存在风险的客户信息和安全访问信息。在这一步中,我们会用到回报驱动战略框架。
第二步,收集有关网络安全风险(与机会)的数据和观点。公司组建网络安全团队,评估网络安全能力,识别关键的网络安全风险和机会。在这一步中,我们会用到战略风险管理框架。
第三步,编制初步网络安全风险情况说明。在这一步中,我们会确定多个维度的网络安全风险情况,并编制情况说明,如表1所示。
第四步,验证并最终确定网络安全风险状况。网络安全团队验证并最终确定关键的网络安全风险状况。
第五步,制定网络安全风险管理行动计划。该计划包括确定并选择风险应对措施,如减缓措施、风险监测、更新评估程序,以及基于平衡计分卡(BSC)战略地图的风险报告。
第六步,传达网络安全风险管理状况和行动计划。要将此传达给董事会和管理团队,这需要上文提到的网络安全行动计划。
第七步,实施网络安全风险管理行动计划。随着计划的实施,风险管理流程将进入下一个周期。这可帮助公司持续发展其在评估与管理网络安全风险方面的知识和能力,并将其作为公司知识构建文化的一部分。
多维度战略风险状况
多个维度的战略风险状况(见表1)包括可能性与影响,以及一个非常重要的维度──“准备情况”(可见COSO于2011年发布的报告“Embracing Enterprise Risk Management: Practical Approaches for Getting Started”,bit.ly/3xHeYQO)。具体而言,其包括以下维度的内容:可能性、影响、速度、准备情况和优先级。
Mark L. Frigo:在网络安全风险应对准备方面,CFO应该采取哪些关键措施?
Darrn S. Guccione:降低网络风险的第一步是制定网络安全计划,其重点是降低网络攻击媒介(如网络钓鱼、未修复漏洞等,编者注)的有效性,或者降低公司内外部遭受的财产损失。作为安全计划的内容之一,应当实施系统和组织控制(SOC)审计,包括审计的准备和规划。更具体地说,应进行SOC2 1类和2类评估。这是制定网络安全计划极为重要的第一步,因为其包括公司的系统、控制和协议,具有机密性、隐私性和安全性。审计将确定公司需要修复的关键漏洞。
CFO应该关注的问题
Mark L. Frigo:对于网络安全风险及相关管理能力,CFO应该关注哪些问题?
Darrn S. Guccione:CFO应该关注涉及网络安全计划五个核心要素的一些问题,具体如下:
1.网络安全计划是否已成为公司实践或生产的每个流程、产品和服务的一部分?
2.网络安全计划是否是公司常规的主动防御机制以及优先预算项目?
3.公司是否让所有在公司系统、服务或产品上进行交易或工作的员工及承包商参加网络安全培训(如防范网络钓鱼意识、防范社会工程攻击、养成良好的密码习惯等)?
4.公司是否对所有部门的网络安全人员、计划、培训和技术进行定期主动投资?
给出肯定回答是最基本的要求。如今,公司面临的问题是网络犯罪份子的资金很充裕,技术也比以往任何时候都更先进。如果不树立正确的风险管理意识,公司迟早会发生重大网络安全事故。
Mark L. Frigo,博士、CMA、CPA,德保罗大学凯尔斯塔特商学院战略、执行与评估中心以及战略风险管理实验室联合创始人,德保罗大学德里豪斯商学院战略与领导力中心荣誉主席,其在战略风险管理方面的研究为全球高管团队和董事会广泛使用。联系方式:mfrigo@depaul.edu。
Darren S. Guccione,CPA,美国网络安全平台提供商Keeper Security公司CEO兼联合创始人。
余静 译,郭强 校
(以上信息来自CM官微)
