CMA研究：企业内部网络安全

文章来源：CMA官方订阅号

发布时间：2021-09-29 11:15

阅读：1296次

很多组织一直以来都在投入资源应对外部网络威胁，但来自内部的网络风险正在上升。

人们通常认为，外部黑客导致了大部分网络安全问题——在人们印象中，黑客是那种坐在地下室里试图闯入公司系统的阴暗角色——但内部网络安全威胁正日益危及组织电脑系统和数据。据MSN报道，2020年最大的内部网络安全威胁事件之一是丹麦税务门户系统。为访问该系统，所有用户都被分配了一个个人识别码。但一个内部软件编码错误导致只要有人登录，其识别码便会被添加到网站的登录地址。登录地址可以被谷歌等分析服务工具获取，而这些服务工具可能被黑客访问和利用。这一漏洞在系统开发5年后的一次审计中发现，并最终得到修复。那么，管理会计师可以采取哪些措施保护所在企业的数据和信息，使之免受内部网络安全风险的影响？

2020年的新冠疫情令内部网络安全问题雪上加霜，因为许多组织在尚未能充分规划制定内部控制措施和政策的情况下，不得不仓促地让员工居家办公（WFH）。据总部位于美国的研究机构Forrester（研究技术趋势对组织的影响）的调查，疫情显著加剧了企业的内部网络安全风险，原因包括：员工及其他人员快速转向远程办公，企业的常规安全控制措施反应不及；疫情使员工产生工作不安全感；将数据转移到企业正常渠道之外的新方法造成数据安全缺陷。【点击免费下载>>>更多CMA学习相关资料】

Forrester预测，在2021年发生的全部网络安全事件中，33%将是内部网络安全事件，较上一年度的25%有所上升。采取居家办公模式的组织应即刻对其政策进行审查，确保其可应对远程办公带来的网络安全威胁。至少应要求用户通过虚拟专用网络（VPN）访问其网络和数据，VPN通过虚拟通道来隐藏数据和计算机IP地址，防止黑客和其他人访问企业数据。组织还应考虑向员工提供公司配置的、带有安全软件和监控工具的电脑，这可检测安全漏洞；限制或禁止员工使用个人平板电脑和手机等设备访问公司数据，因为这些设备可能会带来安全风险。

零信任网络访问（ZTNA）是一种可提升VPN安全性的强大虚拟网络防御工具。传统VPN默认允许全权访问网络、数据和信息，而ZTNA的运行原则是VPN用户在仅限于需要知道的范围内访问网络和信息。配置和实施ZTNA时会在企业网络中嵌入安全控制措施，这可限制对企业数据和信息的访问，从而显著减少网络安全风险和内部网络威胁。

培训、培训、再培训

防御内部网络攻击的一项关键举措是员工培训。尽管许多内部网络攻击都是恶意或蓄意的，但无意的行为也可导致安全漏洞。通过培训员工，逐步提高其在网络安全风险与攻击方面的知识与意识，企业可借助员工的力量来应对网络入侵。

培训内容必须包括帮助员工了解黑客用以获取密码和系统访问权限的手段。网络安全专家、Defense Digital Campaigns总裁Michael Kaiser指出，员工培训应包括能够识别并防御网络钓鱼和垃圾邮件攻击、遵循严格的密码管理流程、完成设备与远程办公相关培训以及了解安装系统更新的重要性。

虽然我们建议企业聘请第三方机构提供网络安全培训，但预算有限的小企业可从美国联邦贸易委员会网站（bit.ly/3tRy1oo）获得全面的免费培训资源。这些培训资料包括网络安全基础知识、用户指南、视频和测验，可支持制定网络安全政策，保护组织远离网络风险。

内部控制、工具和政策

组织的内控措施必须要应对网络安全问题。不要把责任分派给IT部门，这需要各个部门紧密配合，并融入到日常工作中。强有力的控制措施可以阻止访问和保护数据。确保你所在组织有书面的、获得认可的使用政策（AUP），其中要说明用户可使用组织计算机系统所做的事，包括访问互联网、使用计算资源，并概述授权网站访问和下载限制的授权在线操作。

AUP条款还包括禁止计算机系统用户违反国家相关法律法规、不得披露公司机密信息、遵守密码保护政策、禁止共享密码以及遵循网络安全要求。AUP应分发给所有员工和用户，且需员工和用户签字确认，以确保每位使用公司系统人员都要承担相应的责任。对于违反AUP的处罚和惩罚也应予以明确说明。当用户登录时，许多系统都会显示一个AUP海报，提醒他们有责任遵守这一政策，就像十字路口的交通摄像头警告超速者一样。

投资网络安全检测工具也是一项关键防御措施。据媒体报道，2020年10月，迈凯伦车队CEO Zak Brown收到了一封来自供应商的电子邮件，要求他授权使用Docu Sign付款。他太忙而没有时间打开电子邮件，因为当时正值赛季高潮阶段。几天后，该公司的首席信息官向他报告称，这是一封网络钓鱼诈骗邮件。如果Brown试图打开这封邮件，可能会打不开，因为该公司的安全系统发现了这封看似真实的欺骗性邮件，并在上面设置了数字锁，冻结了访问权限。该工具防止了一次意外的内部网络入侵。

管理会计师必须在保护所在组织免受内部网络攻击方面发挥积极作用。数据和信息是必须加以保护的宝贵资产，你的组织准备好了吗？

本文仅代表作者观点，不代表美国空军学院、美国空军或其他任何联邦政府机构的观点。

Kristine Brands，CMA，美国空军学院管理学助理教授，ICMA董事会、IMA技术解决方案和实践委员会成员

相关阅读：【CMA研究：数据即战略性资产】

2022年CMA最新资料包领取

请大家认真填写以下信息，获取2025年CMA学习资料包，会以网盘链接的形式给到大家，点击免费领取后请尽快保存。