如何提高網絡安全審計的有效性?
在歐洲內部審計協會 (ECIIA) 發布的2022 Risk in Focus 報告和國際內部審計師協會 (IIA) 發布的OnRisk 2022 報告中,網絡安全第五次蟬聯組織的關鍵風險之首。此外,IIA的OnRisk 2022報告指出,內部審計師在網絡安全風險鑒證方面的能力差距是最大的。因此,對組織來說,了解如何最好地評估自己的審計有效性以及如何改進至關重要。
我們對網絡安全領域審計師的有效性進行了一項國際調查,并開發了一種衡量它的工具。該工具可以幫助組織了解其網絡安全審計實踐的有效性,包括規劃、執行參與和報告。然后可以根據評分與國際樣本進行比較。
一旦確定了分數,審計人員就可以使用該分數來指導組織的下一步應當采取的措施,以改進其網絡安全審計流程,從而提高其分數。內部審計師可以遵循幾種最佳實踐來提高其網絡安全審計的有效性,包括:
◆ 提升技能——有助于顯著提高審計效力的一個因素是鼓勵從業者獲取一系列的認證來提高內部審計師的能力,例如ISACA頒發的國際注冊信息系統審計師認證(CISA)和網絡安全審計證書。網絡安全審計需要專業知識和技能,只有提高技能才能更好的提供網絡安全審計。
◆ 共源或外包,但保持控制—如果內部審計職能的網絡能力不能完全令人滿意,合作和外包都會有所幫助。在共源的情況下,各種外部審計的結果可以合并形成一個整體意見。掌握報告也很重要,因為只有內部團隊才能評估網絡安全風險管理與企業風險管理的整合程度。
◆ 參與所有三個審計階段——審計的所有三個階段之間有很強的相關性。缺乏良好的規劃會對參與和報告階段產生嚴重影響。顯然,對大量控制的審計將分別在多年內展開。盡管如此,仍應識別最相關的風險因素并對其進行優先排序,以全面了解報告年度內網絡安全風險管理的有效性。
◆ 與一道防線和二道防線的合作——盡管獨立的內部審計很重要,但正如新的IIA三線模型所建議的那樣,不應將其與其他兩道防線隔離開來。三線合作對網絡安全風險審計的有效性產生了積極的影響。對每道防線職責的映射有助于更有效地利用有限的內部審計和 IT 部門資源。
