日渐显现的五大IT技术风险,本文主要内容关键词为:五大论文,风险论文,技术论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
面对世界的发展进步以及日益加快的变化,内部审计师要持续不断地评价组织所面对的风险以及内部审计在减少风险过程中所发挥的作用,并向利益相关者揭示所识别的风险。
内部审计进行风险评估时,要将日益显现的IT风险识别内容包含在以风险为导向的审计计划中,就像罗恩·卡斯卡特和格拉夫·卡普尔在《内部审计的提升》中所说:审计计划应该与风险的识别及等级划分相结合,与新业务和战略存在的风险因素量化分析相结合。内部审计师应该采取一些先进的方法识别日益显现的IT风险,并有充分的方法实施审计计划。在《IT审计》的特约作者斯蒂文·玛的帮助下,《内部审计师》对日益显现的五大技术风险进行了概括。
一、社交网络
mal Audito社交网络的应用正在逐渐扩大,包括个人办的社交网络和专业社交网络,这使组织意识到,应检查与员工使用社交网站传递信息的相关风险。为此,一些组织已经建立了有关社交网络的管理政策或正在制定管理政策,明确且详尽地向员工提出使用有关社交网络的要求。在这种情况下,内部审计师可以发挥其作用(有关社交网络的管理政策的模板和指南,可参见网站SocialMediaGovernance.com)。安永会计师事务所2010年全球信息安全调查报告——《无边界的安全》显示,仅有10%的回复者表示,检查现存的和正在显现的IT发展趋势发挥信息安全职责的一个非常重要的工作。这证明很少有组织评价社会网络的影响。
二、移动计算
因工作需要使用智能手机、iPads,台式电脑和PAD以及其他轻便性设备已经是司空见惯的事情,但与轻便性设备使用相关联的许多风险也应运而生。如何减少与移动设备相关的风险,内部审计师应该充分考虑以下问题:(1)是否有相关政策管理移动设备的风险。(2)移动设备的生产力是如何衡量或确定的。(3)以前开展的风险评价是否为包含特定的移动设备。(4)现行的控制措施是否有效。
内部审计师应该十分熟悉组织中与移动设备相关的管理政策。ISACA建议:(1)确定可使用的移动设备类型(仅仅指企业提供的设备而不是个人的设备)。(2)确定通过该移动设备获得服务的性质。(3)了解员工使用这些移动设备的方式,并考虑企业文化以及人力因素。(4)将所有企业提供的移动设备纳入资产管理流程。(5)描述移动设备必须具备的认证和加密类型。(6)阐明数据应该如何进行安全存储和传送。(7)决定如何迁移敏感信息,特别是当移动设备丢失或被偷盗时。
三、云计算
组织通过“云”中能节省很多钱。简单地说,云计算对于IT来说就是一种不用投资新的基础设施,不用进行人员培训或购买新的软件,就能增加容量或添加功能。云计算是一种典型的使用付费服务,通过在互联网上以设施、平台或软件的形式提供云计算。重要的是云安全问题,应该关注服务提供商是否有充足的安全措施满足或超越客户的需求,这些措施是否符合与其相关的法律法规。由于云计算在业务流程中的延伸,增加了复杂性的层级,特别是在数据的保密性和隐私性、数据隔离、数据完整性、服务有效性以及法律法规遵循性等方面。
内部审计在识别控制需求、提供选择供应商的支持、核查供应商管理、评价数据迁移、评估项目管理以及复核、评价、测试控制等方面都能充分发挥作用。
四、IT战略与业务发展战略的不一致
当IT战略和经营战略相一致时,IT就能有效地用于经营目标的达成。如果在IT审计中发现公司的技术资源不能有效地支持经营目标的实现,那么这些资源就应该被认为是存在的风险。
内部审计师必须对业务经营情况有全面的了解,以确定IT战略与经营战略的一致性。内部审计师必须了解组织的风险状况,认识组织架构是如何支持经营活动的;了解IT技术对经营活动的支持作用,就像2009年《技术月刊》上的“IT战略审计计划”一文所述,IT审计计划的编制过程包括了对经营活动的了解、确定IT领域、进行风险评价,最后形成审计计划。
五、有组织地犯罪对IT架构的攻击
根据美国联邦调查局所述:国际有组织地犯罪是使用电脑攻击个人和美国的基础设施,利用各种手段从客户乃至国家的经济活动中窃取数亿财富。这些手段也包括危害个人信息安全,经营活动和政府基础设施的稳定性、金融投资市场的安全性和偿付性。
内部审计师通过对现行安全措施在设计完整性和运行有效性的测试和确认,在防范组织网络攻击中发挥着重要的作用。内部审计师应关注易受网络攻击的三个方面:一是利用移动设备窃入网络;二是无线接入;三是USB设备。《IT审计》中“卷土重来”一文,讨论了有组织地攻击是如何超越企业中现行的安全措施。