全球网络安全审计现状调研报告
2019-09-10曾繁荣
曾繁荣
[摘要]网络安全风险已成为几乎所有组织面临的风险管理挑战之一,开展网络安全审计的必要性和重要性日益突出。为此,国际内部审计师协会(IIA)审计执行中心、IIA研究基金会、Crowe Horwath联合对全球内审和网络安全专业人员开展调查,以把握网络安全趋势和网络安全审计现状,应对未来网络安全风险。
[关键词] 网络安全 内部审计 调研报告
引言
十年前,内审职能发生演变是为了适应信息技术(IT)在商业运作各方面日益重要的作用。如今,内审职能再次面临调整,则是为了应对与网络安全相关的关键风险。虽然网络安全起初只是公司内部一个孤立、神秘的技术领域,但在短短几年时间内,迅速发展成为几乎所有组织面临的最重要的风险管理挑战之一。内审能否与这一迅速变化的风险领域同步?为回答这一问题,国际内部审计师协会(IIA)审计执行中心与IIA研究基金会、Crowe Horwath合作,联合对内审和网络安全专业人员开展调查,调查对象包括不同行业、不同规模组织、不同职位的相关人员,主要是首席审计执行官、审计主任、高级经理、经理和内审人员,了解当前网络安全政策和实践进展,以及内审如何适应网络安全环境,从而帮助内审部门通过建立关系、识别和调整角色、开发或获取所需的专业知识来应对网络风险挑战。
该调查报告分为三大部分(见表1),即网络安全中的关系管理、网络安全审计计划的目标、内审在网络安全中的角色。
一、网络安全中的关系管理
内审必须了解组织内部的关系范畴,以便更好地保护组织。与组织内的其他部门保持有效关系,始终是发挥内审职能的关键。同时,内审还必须与外部组织(如监管机构、行业标准制定机构、专业组织及相关执法机构)建立并保持良好关系。与被审计单位的积极关系可以加快审计进程,提高审计质量。但内审必须小心,不能让这种关系损害自身的独立性。不过,虽然独立性必不可少,但对抗性关系也会妨碍内审的效力。因而,要保持各种关系的适当平衡,而决定和实现这种平衡的方式将因组织的不同而有所不同。在网络安全方面,由于需要专业技术知识,因而实现适当平衡可能会更加复杂化。
为评估內审人员与网络安全领域人员之间沟通的有效性,要求受访者对内审与4个特定部门,即IT、信息安全、风险管理和其他合规部门的合作经验并按合作程度进行评分。其中,0代表目前未对该领域进行审计,或彼此之间无任何关系;1代表很少沟通或事先商量评估的责任;2代表与审计部门有正式的沟通,但仅限于评估要求;3代表沟通频繁,超越了审计请求和评估的关系;4代表部门之间的沟通是优先、频繁的,包括分享想法和资源;5代表审计与其他部门之间有高度的信任,包括持续的优先咨询(尽管是独立的合作伙伴)。调查显示,一方面,内审部门更可能与IT和信息安全部门进行正式的审计和沟通,与风险管理、其他合规部门的正式审计和沟通则较少(见图1)。同时,受访者更多报告内审与合规和风险管理部门有密切关系。另一方面,内审与IT和信息安全部门保持资源共享及高度信任关系的占比最低,这说明内审部门与IT和信息安全部门之间的关系仍然存在实质性障碍。
(一)信息技术
审计与信息技术部门之间的良好关系对于保障网络安全很重要。这种关系可以为解决网络风险提供良好基础,而这需要各部门之间更多的协作。通过协作,内审和IT团队可以通过联合评估以更清楚地了解组织风险和业务目标。但审计和IT团队之间的关系在许多组织中并不是完全协作的,这既可能源于IT团队成员对其构建的工具、系统和流程具有天生的优越感,也可能是IT审计师对网络安全特征不甚了解,从而使IT部门对内审部门缺乏信任感。调查显示,93%的内审部门与IT建立了工作关系,但仅28%的内审部门与IT部门有协作关系。
(二)信息安全
除了IT功能外,信息安全部门通常还要承担评估整个组织风险的重大责任。虽然信息安全部门和IT部门有时合署办公,有时单独运行,但事实上,越来越多的监管机构开始要求将这两项职能分开。
网络安全通常被视为更广泛信息安全功能的一个子集,它涉及许多靠技术以外因素驱动的领域。在一个拥有无限资源的理想世界中,应将信息安全职能和网络安全职能区分开来。但现实中,两者经常存在较大重叠,信息安全部门通常关注涉及履行网络安全职责的事项。此外,许多组织将部分网络安全计划外包给第三方供应商,包括托管安全服务提供商(MSSPs)和渗透测试提供商。内审审查这些第三方提供的服务至关重要,这意味着审计必须首先了解这些服务的目标、范围和结果,以确定这些服务是否满足预期、是否防控了相关风险并为组织提供了价值。
调查显示,87%的内审部门与信息安全部门建立了工作关系,但仅26%的内审部门与信息安全部门有合作关系。该结果与IT部门的调查结果相似,而且是预料之中的,因为IT部门和信息安全部门的职责通常是重叠的。
信息安全部门与内审部门的关系相较于其他部门通常更强、更积极,因为信息安全部门更关注风险的监测,而更少关注运行的基础设施或维护访问的能力。因此,信息安全团队能更直观地理解内审的功能和价值。当审计团队试图构建其功能时,信息安全团队可以帮助审计团队获得对IT基础结构所面临风险的更广阔视角。
内审、信息安全和网络安全等团队应采取积极措施来加强彼此之间的关系,如共同赞助联合研究项目或共同主办与网络安全有关的培训课程。此类活动除了能提高亟需的技术专业知识以及对网络安全问题的全面认识,还有助于最直接参与网络安全风险管理的个人之间建立更密切的私人和专业关系。而影响这种关系的一个复杂因素是内审人员必须保持必要的独立性。例如,IT审计人员通常必须使用外部安全框架(如银行法规)作为审计的基线。当发现重要问题时,审计人员必须将此问题报告给首席信息安全官(CISO)和信息安全部门。此时,无论IT审计师和CISO多么希望维持积极关系,都难以一直维持协作的和谐关系。
(三)信息风险管理
信息安全的核心是理解、管理和减轻风险的过程。对这种风险的关注可以帮助组织内部的风险管理团队与信息安全和内审团队建立关键性关系。此外,风险管理部门应追踪人员、流程和技术控制的演变,以帮助缓解和控制网络安全风险,这一点至关重要。与组织的所有其他领域一样,审计必须识别程序并审查风险管理,确保将网络安全纳入组织的企业风险管理框架之中。
内审团队应积极参与操作风险和业务风险等风险管理过程,与首席风险官等各类参与者密切合作。调查显示,72%的内审部门与风险管理部门建立了工作关系,而这是所有被调查部门中比例最低的,1/4以上的内审部门未与网络安全风险管理部门合作。内审有责任开展有意识的宣传普及工作,使组织认识到网络安全风险管理事关企业治理及风险控制。
(四)合规和其他团队
网络安全计划要想有效发挥作用,还必须得到合规和其他团队的支持。在有些组织中,灾难恢复、业务连续性规划、事件响应、法律和合规团队都是网络安全工作中的关键角色。
内审团队已认识到众多相关参与者的重要性,因而必须与这些团队合作,评估其对风险的理解及在网络安全方面扮演的角色。调查显示,受访者认为合规性是一种协作关系的比例最高(42%),这表明企业将网络安全合规视为一个目标,这是全面风险管理敞口的短视做法。
由于内审旨在吸引、保留和培养具有网络安全技能和专业知识的个人,因此必须与其他团队密切合作,以制定和理解适当的流程和标准。在与其他团队合作时,内审还必须在学习和发展与保持独立性的需求之间保持平衡。最重要的是,所有团队都要朝着同一个目标努力,即组织的最终成功。
二、网络安全审计计划的目标
随着备受瞩目的黑客攻击事件的持续,要求内审将重点放在网络安全上。内审部门面临着提高评估组织数据和信息安全程序、个人技术控制能力的挑战。在应对挑战时,有必要认识与关注三道防线模型的持续发展,明确界定网络安全审计计划的广义目标以及围绕目标必须开展的审计活动。
(一)三道防线
IT、信息安全和内审团队都在保护组织免受网络风险的攻击。尽管传统的三道防线风险管理模型为每一种功能确定了角色,但许多组织这些部门之间(以及许多其他部门之间)的功能界限正变得日益模糊,因而有必要重新评估如何更有效地应用该模型。
其中,第一道防线由业务流程所有者和管理层组成。对于网络安全而言,它包括组织内部的业务条线、雇员以及IT(IT负责风险所在地的数据基础设施、系统和流程)。第二道防线(即风险管理过程的实际执行)是信息安全部门的职责。信息安全团队要么安装监视控件来检测恶意活动,要么雇佣第三方供应商来执行此功能。当检测到攻击时,信息安全团队还要有效响应。但在许多组织中(尤其是未专门设立信息安全部门的组织),是由IT部门来负责信息安全监控和响应的。作为第三道防线,内审负责验证网络安全工作是否基于风险、正确识别风险并确定其优先级,是否收集正确的信息并规定适当的响应程度。但现实是,内审在评估现有规划时往往缺乏资源和背景,从而使许多内审部门寻求网络安全专业人士和外部供应商来评估其网络安全计划,这些评估包括道德黑客、专业评估、风险评估和信息安全治理。当然,这些评估也可由第二道防线来完成。
虽然三道防线的模糊性区分不一定准确,但在许多情况下,内审部门有责任更明智地制定网络审计计划,以尽量减少冗余和重复,并尽可能减少漏洞或疏忽。所有相关部门之间的关系至关重要,各道防线之间更好的协作(尤其是第二和第三道防线)能在减少重叠的同时,更清楚地描述谁负责哪项关键职责。
(二)超越合规性
经常令组织感到困惑的一个问题是如何将组织的网络安全审计计划整合进全面风险管理框架之中。例如,美国联邦金融机构审查委员会(FFIEC)在2014年发布网络安全评估工具(CAT)时,许多银行最初难以理解文件中列出的400多项个人控件。实际上,该工具概述了五个领域内识别组织固有风险的全面流程,并提供了评估管理层认为可接受的当前与期望的网络安全成熟度水平的方法,而那些将FFIEC评估作为合规性功能的组织往往难以在五个领域达到他们期望的成熟度水平。事实上,虽然这类工具用于检查控件清单是否符合相关框架,但其目標并不只在于合规性。相反,他们寻求在各种风险组件中建立适当级别的网络安全水平,因此,需要采取更加细致入微的方法,使董事会和高级管理团队在每个特定关注领域确定组织可接受的风险水平。
(三)预防、检测和响应的三阶段战略
多年网络安全实践证明,尽管许多网络攻击可以被挫败,但不可能阻止所有攻击,因而专业人士认为“这不是网络是否受到攻击的问题,而是何时受到攻击的问题”。这种认识使得由预防、检测和响应组成的三阶段防御战略得到逐步发展与广泛接受。IT和信息安全部门在尽最大努力防止绝大多数攻击的同时,也应该检测到那些难以阻止的攻击。但组织并非能预防或立即发现每一次攻击,因此应制定事故反应计划,以减轻关键数据丢失或损坏造成的损害,并加速恢复正常业务。
虽然内审在以上三个阶段战略中的作用以往主要集中在预防领域,但业内表现最好的公司将努力扩大审计范围,以审查、检测和响应相关的网络安全能力。在这三个阶段中,审计必须做好评估现有控制有效性工作。
调查显示,预防性控制不仅是最常见的,而且将其用于测试的比率也最高。随着网络安全的发展,检测和响应的能力将与防止相关攻击的控制同样重要。此外,多数组织至少对其网络安全进行了基础性审计,并仍有较大的发展空间(见图2)。
(四)专业的网络评估
尽管网络安全审计的方法与内审开展的其他评估类似,但网络评估需要深入了解相关的应用、系统和技术。这些专业性评估均注重支持性技术(如网络路由器和防火墙、服务器和工作站以及应用开发环境)和应用本身。
开展此类评估的责任与能力因组织而异,因而信息安全部门和内审部门要在组织认可的风险承受力水平基础上,就评估人员和评估频率进行协作。
内审应针对网络安全问题开展广泛的专业评估,而两类评估经常被误解:第一是脆弱性评估。通常使用自动化工具来扫描所有系统以及正在运行的相关应用和服务,以识别诸如丢失补丁、默认密码和已知漏洞等问题。第二是渗透测试。通过识别漏洞并将其组合(或链接),以获得未经授权的信息访问权或管理控制,来模拟真实的攻击者试图访问系统和数据。与脆弱性评估不同,渗透测试考虑了人为因素。
每个组织最终都是基于风险评估和IT基础架构来确定哪种评估或评估组合最适合其信息安全战略。对于完备的脆弱性管理计划,有必要结合使用以上两类评估。虽然信息安全或IT团队通常会推动此计划的实施,内审部门仍有必要审核该计划的范围、评估和结果。
每个组织应自行决定审计是否具有成本效益,有无必要在组织内部培养开展这些评估的技术能力。虽然评估资源和必要的能力可能很昂贵,但对于大型组织而言,由于需要不断测试网络安全,内部培养评估能力也是可取的。对于许多其他中小组织而言,外部供应商可以更经济有效地执行这些评估。为此,CAE需要在这一领域做出明智的决定,以确定在何种情况下以及何时开发内部能力是有意义的。若将此功能外包出去,内审的相关评估仍然很重要,包括审查供应商的选择和资格认证。
三、内审在网络安全中的角色
毫无疑问,在当今数据驱动型经济中,IT扮演着更重要的角色,这是近几十年来最重要的商业趋势之一。与所有其他行业一样,内审面临的挑战是既要跟上形势,又要提升其在保护组织关键业务信息安全和网络可用性方面的作用。
调查显示,内审功能转型既反映了这种不断提高的适应性,也表明内审在IT和信息安全总体战略(尤其是网络安全)方面仍然有很大空间,能够发挥更积极的作用。例如,仅20%的受访者表示,组织在设计和策划大型IT项目时曾咨询过审计团队的意见,并且内审在项目推进过程中仍然持续地积极参与。多数受访者表示,内审在IT项目中仅起咨询作用或作用更低,50%的组织表示内审没有参与到项目中或很少参与、参与有限(见图3)。
同样,52%的受访者认为,内审部门是其组织项目或IT治理委员会的成员。这表明内审必须继续展示其可以提供增值服务、可以帮助组织更有效地管理与IT计划相关的风险。就网络安全问题而言,董事会层面的关注度高于其他层面,但仅39%的受访者认为,他们的内审部门在向董事会或审计委员会报告网络安全风险和趋势时,超越了标准的审计报告要求。随着对网络安全问题关注的持续增长,内部审计应该发挥更积极主动的作用,对这一快速增长的风险领域开展评估和管理。
(一)网络安全框架
内审部门在制定网络安全审计计划时,首先要采取的步骤之一是完全了解组织所使用的网络安全框架。选择该框架是一项管理决策,通常由IT和信息安全高管来决定,它规定了内审的审计标准。因此,网络安全框架是推动审计计划发展的一个关键因素。
所有这些框架旨在为组织提供一种管理网络安全系统的方法,并帮助所有相关方建立共同的语言和术语。出于这些原因,所选的审计标准还为审计团队提供了一种实用的方法。许多特定的框架专门针对某些行业和控制环境而定制。在确定使用哪个框架时,审计团队除了要考虑每个框架的优缺点之外,还必须考虑特定行业标准、监管机构指导和法律要求。一些组织广泛使用的网络安全框架见表2。同时,调查显示,近1/4的组织没有利用网络安全框架来定义其网络安全策略。而在使用网络安全框架的组织中,NIST是最常用的框架,有37%的受访者使用;其次是COBIT 5和ISO/IEC 27001,使用者分别占13%和11%(见图4)。
(二)内部审计即将发生的变化
虽然许多内审部门将多数日常IT审计外包出去,但是内部迁移这些功能的趋势也很明显。随着内审部门开始开发网络安全方面的能力,其今后所面临的许多挑战将与当初新增IT审计职能时所面临的挑战类似。
与任何IT审计功能一样,开始转向网络安全审计时,可能首先选择不需要大量技术培训的领域,如政策和程序、系统备份、指定框架的合规性等方面。工作站的变更、补丁管理和审计同样与网络安全相关,且短期内所需的培训可能最少,从而便于组织将它们纳入内审计划。
除了这些广泛的趋势之外,许多组织出现了一些其他的直接机会,如内审部门开始更深入地了解应用控件。在许多情况下,应用控件的审计主要是由某種合规性需求驱动。而对于更深入的应用控制检查,审计人员的注意力将特别集中在输入控制、数据处理功能、输出控制和访问管理等领域。随着网络安全日益成为关注焦点,拥有自主开发、定制或其他非标准应用等更先进技术技能的审计人员将在识别风险方面发挥重要作用。
另一个预期变化领域是业务连续性计划,特别是灾难恢复计划。虽然IT审计师在这些领域的大部分活动是由标准化的工作计划和行业公认的框架所驱动,但可能会逐渐演变为协作性、风险性驱动的工作。多数灾难恢复计划都是从运营角度编写,重点是恢复生产或其他关键业务流程。在未来更注重网络安全的审计中,内审将涵盖安全问题,并突出在新环境中识别以往未被识别到的安全问题以恢复运营能力。
目前,许多内审部门在集中精力提高其团队审查政策和程序、确认业务连续性和灾难恢复文档以及执行合规性任务方面的技能,而中期目标是通过留住和培训现有专业技术人员来提高其专业能力,以解决今后的网络安全问题。
(三)未来的技能需求
为进一步开展网络安全评估,内审尤其需要在以下三个领域开发或获得专业知识:一是系统管理。内审应该拥有包括对服务器、应用、数据库平台和其他易受网络安全威胁的技术理解方面专长的人,若不了解这些系统的配置,审计这些系统将日益困难。二是网络设计与配置。内审应拥有具备各种网络设计(包括数据和声音)专业知识的人。许多关键的保护和检测组件已成为网络的一部分,包括防火墙和访问控制列表(ACLs)、入侵检测系统(IDSs)和网络访问控制(NAC)解决方案。三是软件开发。虽然内审部门不需要很多会编写代码的人,但得到熟悉软件开发平台和语言开发者的协作也很重要。
调查对CAEs或审计主任进行了采访,要求对组织内审团队以上三个领域的总体技术水平进行评分。其中,具体的技术需求分别是:Microsoft Windows和Microsoft Active Director软件、UNIX和Linux、网络设计与实现(如思科、帕洛阿尔托网络)、数据库管理(如Microsoft SQL Server、Oracle、MySQL数据库)、安全信息和事件管理(SIEM)、电话和语音互联网协议(VoIP)、软件开发、IT治理和風险、渗透测试。技能水平的判断标准如下:新手——了解基本的网络、系统和网络安全概念;中级——较深入地了解网络、系统管理、网络监控和渗透测试方面的知识,理解这些系统的工作原理以及如何管理工作进程。高级——深入了解IT和InfoSec系统知识,具备网络安全或IT方面的实际经验。
调查显示,受访者对其审计团队在解决方案(如Microsoft Windows和Active Directory软件、SIEM产品、IT治理和风险)方面的能力更有信心,对其他领域则缺乏信心,尤其是网络设计和UNIX/Linux技能方面最为明显,因为74%的受访者认为他们的审计团队在这方面只有新手级别的技能。技能差距在另外两个关键领域也很明显,分别有57%和65%的受访者在渗透测试和电话/VoIP方面只有新手级别的技能。此外,尽管拥有不同技能的比例有差异,但很少有企业认为内审团队应在所有领域都拥有高级技能。这一调查突出了那些试图制定关键技术工作计划和控制的组织所存在的关键差距。
当审计高管被问及他们未来的招聘计划时,52%希望在未来三年内雇佣具有IT治理和风险专业知识的人员,但也有意回避那些技术性很强的领域(如UNIX / Linux,VoIP,软件开发和网络),因为他们更希望依赖第三方解决这些问题。现有技术水平与未来招聘计划之间的明显差异表明,尽管业界预计网络安全审计职责将扩张,但许多内审高管尚未评估自身能力。此外,必要的技术技能在不断增长和变化,未来的需求很可能包括人工智能、区块链技术、量子计算机,甚至那些尚未被识别、命名或定义的专业学科。
(四)寻找和留住人才
鉴于如此渴望新技能,合乎逻辑的问题是:内审如何才能找到或培养所需要的熟练技术人才?同样重要的是,一旦有了技术人才,如何留住他们?在更高层次上,审计部门还必须探索如何使审计专业人员进一步参与到技术性工作中,在不损害其独立性的情况下提供技术设计的洞察力。
有两个潜在的因素使这些问题的答案复杂化:一是对有关专业技能的持续高需求;二是驱动许多网络专业人士进入内审领域的职业动机并不相同,如他们希望从事具有挑战性、涉及新技术和新概念的多样化项目。
更重要的是,网络安全就业市场的高度竞争性,让最有才华的求职者在选择下一个机会时变得相当挑剔。最受欢迎的人才不仅受到薪酬和福利的驱动,还受保持专业领先地位的机会驱动,并面临一系列快速变化的技术和专业挑战。这样的员工可能觉得内审职责会限制其才能的发挥,或许更容易被研究、安全、IT或创业组织的工作环境所吸引。尽管近年来对网络安全专业人士的需求略有下降,但仍处于较高水平。这种需求使得很难在内审部门预算约束下提供有竞争力的薪金和福利,特别是小型组织。而在大型需要专门组建信息安全团队的组织中,表现最好的人才自然会被其功能所吸引。但他们可能会发现,内审很难与这些职位所承诺的智力挑战相竞争。
事实证明,在培养有效的网络安全审计能力所需的人才方面,还有两种策略是有用的。第一,审查内审团队已有人才,特别是那些以往或当前从事IT审计工作的人。大量实例表明,高绩效的IT审计人员渴望向网络安全专业转型。这些候选人不仅了解公司,还有一个额外优势,即他们已经对风险和审计能力有所了解,这些能力可以很容易地应用于网络安全审计。在许多情况下,从系统技术迁移到网络安全技术所需的技术培训并不难获得。此外,随着规模较小的审计团队开始使用内部IT审计功能(通过培训或招聘),可以将网络安全基础纳入变更管理、访问控制、IT操作和灾难恢复等领域,从而减少对外包资源的依赖。第二,注重关系管理。虽然要保持内审的独立性和客观性,但与IT和信息安全部门建立相互合作的工作关系,可以使审计人员间接地获得技术能力。
结论
内审在验证网络安全风险管理有效性方面的责任日益增长。本调查报告提供了一个有价值的当前职业状态的快照以及潜在的未来路线图。调查显示,在提高利益相关者(包括IT、信息安全和广泛的风险管理部门)之间的协作和支持水平方面仍有许多改进空间。同时,内审在解决网络安全问题方面不断增强的责任意味着审计专业人员必须清楚地了解数据安全原则和适用其组织的网络框架。鉴于对网络安全相关的技术专业知识和经验的需求不断增长,审计主管不仅需要持续开发创造性的方法,以必要的技能吸引和留住人才,同时还要加强与组织其他部门的联系,以获得有价值的指导和支持。
本调查报告洞见了内审处理网络安全问题的未来作用:一是持续发展关系。出于对网络安全的担忧,一些组织正在重新划分三道防线之间的界线,而静态关系将无法应对新的风险。这意味着内审与其他关键参与者(如IT部门、信息安全专业人员和风险管理团队)的关系必须持续发展。二是持续发挥内审作用。为保持效率和信誉,内审专业人员必须清楚地了解所涉及的更大问题和相互依存关系。这种理解包括如何重视网络安全计划的预防、检测和响应以及控制和测试的充分性。内审必须独立评估迅速演变和升级的风险环境。由于在第一或第二道防线上失败的代价如此之高,以至于内审必须格外警惕。三是持续获取网络安全专业知识。随着内审作用的演变,需要利用目前需求量很大的具有专业技术知识的人力资源。然而,吸引和留住这些资源可能是困难和昂贵的。内审需要重新审视与IT和信息安全专业人士的关系,以弥补技能短缺。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)