全球視角和觀點：網(wǎng)絡(luò)安全 第二部分 提升組織網(wǎng)絡(luò)韌性

在數(shù)字化時代，組織無論投入多少資源進行網(wǎng)絡(luò)防御，都難以完全避免遭受各種形式的網(wǎng)絡(luò)入侵和破壞。因此，組織必須將注意力轉(zhuǎn)向提升應(yīng)對網(wǎng)絡(luò)威脅的響應(yīng)速度和恢復能力，充分發(fā)揮內(nèi)部審計的獨特價值，系統(tǒng)性地增強網(wǎng)絡(luò)韌性。作為網(wǎng)絡(luò)安全主題報告的第二部分，國際內(nèi)部審計師協(xié)會（IIA）內(nèi)部審計基金會邀請了美國聯(lián)合航空公司數(shù)字技術(shù)與網(wǎng)絡(luò)安全審計總監(jiān)DC Chang、美國Max Cybersecurity網(wǎng)絡(luò)安全公司首席執(zhí)行官Michael Echols以及美國Warren Averett會計師事務(wù)所風險咨詢與確認服務(wù)部高級經(jīng)理Justin Headley共同探討組織在應(yīng)對處理網(wǎng)絡(luò)安全事件，提升組織韌性方面的經(jīng)驗與心得，為內(nèi)部審計助力組織提升網(wǎng)絡(luò)韌性，提高決策智慧程度以及創(chuàng)造更大價值等方面提供寶貴的觀點和看法。

網(wǎng)絡(luò)韌性的內(nèi)涵與價值

通常情況下，網(wǎng)絡(luò)韌性被定義為“在系統(tǒng)受到不利條件、壓力、攻擊或破壞時，能夠預見、抵御、恢復并適應(yīng)的能力”。這種能力使組織能夠在充滿競爭的網(wǎng)絡(luò)環(huán)境中持續(xù)完成依賴網(wǎng)絡(luò)資源的任務(wù)和業(yè)務(wù)目標。提升網(wǎng)絡(luò)韌性不是簡單的技術(shù)升級，而是組織整體能力的綜合體現(xiàn)。

構(gòu)建網(wǎng)絡(luò)韌性的系統(tǒng)準備

網(wǎng)絡(luò)韌性建設(shè)要求組織超越被動應(yīng)對風險的傳統(tǒng)思維，形成包含規(guī)劃、流程、分析、培訓、關(guān)鍵服務(wù)和管理等要素的完整體系。這些要素必須在攻擊發(fā)生前就部署到位，并持續(xù)優(yōu)化完善，以確保組織遭受攻擊后能夠快速恢復運營。

對依賴網(wǎng)絡(luò)資源的組織而言，建立持續(xù)監(jiān)督系統(tǒng)和異常預警機制尤為關(guān)鍵。通過識別業(yè)務(wù)運行中的關(guān)鍵指標并設(shè)置預警閾值，組織能夠及時發(fā)現(xiàn)潛在威脅并快速做出響應(yīng)。不同組織需要關(guān)注的問題各不相同，有時甚至需要同時應(yīng)對多個風險點，這就要求組織將網(wǎng)絡(luò)安全問題置于現(xiàn)實業(yè)務(wù)環(huán)境中進行全面審視，與時俱進地提升防御能力。

治理與文化的基礎(chǔ)作用

組織治理在網(wǎng)絡(luò)韌性建設(shè)中起著決定性作用。如果領(lǐng)導層對網(wǎng)絡(luò)安全缺乏足夠重視，就更難期望員工履行相關(guān)的責任。網(wǎng)絡(luò)安全既是技術(shù)問題，更是文化問題，即使組織中絕大多數(shù)人具備安全意識，少數(shù)人的疏忽仍可能導致嚴重后果。

培養(yǎng)網(wǎng)絡(luò)安全文化需要超越常規(guī)方法。為此，組織可以采取定期安全意識培訓、模擬釣魚攻擊測試等有效措施。領(lǐng)導層應(yīng)當親自參與網(wǎng)絡(luò)安全演練，從而在組織中樹立重視網(wǎng)絡(luò)安全的意識和氛圍。同時，組織需要制定清晰、可操作的應(yīng)急響應(yīng)流程，并在測試中不斷完善。

監(jiān)管要求對組織產(chǎn)生的影響

監(jiān)管要求的不斷完善也在促使組織更加重視網(wǎng)絡(luò)安全風險管理。相關(guān)法律規(guī)定強調(diào)組織需要全面理解數(shù)據(jù)處理流程，系統(tǒng)性地解決網(wǎng)絡(luò)安全問題。特別是在發(fā)生重大安全事件時，提升透明度和規(guī)范化響應(yīng)流程成為基本要求。

技術(shù)應(yīng)用的雙刃劍效應(yīng)

人工智能等新技術(shù)為網(wǎng)絡(luò)安全帶來新的可能性。新一代防護系統(tǒng)能夠更有效地分析數(shù)據(jù)流量并識別異常行為。然而，這些技術(shù)也可能被攻擊者利用來發(fā)現(xiàn)系統(tǒng)漏洞。組織需要平衡提升效率與安全保護之間的關(guān)系，確保技術(shù)應(yīng)用符合組織整體的風險偏好。

值得注意的是，傳統(tǒng)的攻擊方式依然對組織的網(wǎng)絡(luò)安全構(gòu)成重大威脅。許多網(wǎng)絡(luò)安全事件源于基礎(chǔ)性失誤，如配置錯誤或補丁管理不善。因此，在采用新技術(shù)的同時，組織不應(yīng)忽視基礎(chǔ)安全措施的落實情況。

內(nèi)部審計在提升網(wǎng)絡(luò)韌性方面做出的貢獻

內(nèi)部審計在提升網(wǎng)絡(luò)韌性方面具有獨特優(yōu)勢，通過專業(yè)審計，能夠幫助組織識別潛在漏洞，理解安全松懈的嚴重后果。在當前復雜多變的環(huán)境中，內(nèi)部審計需要將審計結(jié)果與提升組織韌性相結(jié)合，幫助客戶識別潛在漏洞，提高對網(wǎng)絡(luò)安全松懈可能帶來嚴重后果的重視程度。盡管客戶可能認為最壞的情況不會發(fā)生在自己身上，但內(nèi)部審計必須打破這種思維定式，預判“難以想象”的風險場景。

合規(guī)性審計僅僅是構(gòu)建網(wǎng)絡(luò)韌性的第一步，合規(guī)不等于安全，審計工作也不應(yīng)局限于合規(guī)性檢查，而是應(yīng)該進一步將發(fā)現(xiàn)的問題轉(zhuǎn)化為具備實用價值的應(yīng)對措施，并提出客戶尚未意識到的問題。例如，某些未被解答的關(guān)鍵問題本身可能就是漏洞的來源。審計人員需要引導客戶認識到，忽視這些問題的后果可能遠超預期。

保持持續(xù)的溝通，維護與各個利益相關(guān)方的溝通渠道對審計工作至關(guān)重要。通過定期交流了解業(yè)務(wù)團隊面臨的挑戰(zhàn)，內(nèi)部審計可以更好地定位自身角色，成為組織值得信賴的顧問。透明的工作方法和追求協(xié)作的工作態(tài)度能夠增強審計效果，幫助彌合技術(shù)部門與業(yè)務(wù)領(lǐng)導之間的認知差距，避免出現(xiàn)誤解。

內(nèi)部審計人員可以發(fā)揮橋梁作用，將專業(yè)的技術(shù)風險轉(zhuǎn)化為業(yè)務(wù)語言，促進組織對網(wǎng)絡(luò)威脅的統(tǒng)一認識。內(nèi)部審計人員需要通過整合分散的信息和數(shù)據(jù)，構(gòu)建完整的風險地圖，支持組織做出更加明智的決策。

舉例說明，管理層與信息技術(shù)團隊之間往往會因語言和看待問題角度的差異而存在理解性偏差，進而出現(xiàn)誤解和溝通障礙。首先，內(nèi)部審計可以利用自身既熟悉業(yè)務(wù)風險，又了解技術(shù)風險的優(yōu)勢，幫助二者搭建有效溝通的橋梁。其次，隨著組織逐漸摒棄傳統(tǒng)的業(yè)務(wù)連續(xù)性計劃或災(zāi)難恢復模式，內(nèi)部審計可以推動組織落地實施更綜合、更細致的新方法。內(nèi)部審計人員還可以扮演“故事講述者”的角色，將零散的信息和數(shù)據(jù)整合為更有邏輯性和說服力的信息，幫助決策者更清晰地了解網(wǎng)絡(luò)風險，并采取針對性措施。通過這種方式，內(nèi)部審計不僅能夠發(fā)現(xiàn)問題，更能成為組織韌性建設(shè)的推動者。

結(jié)語

組織必須意識到，在網(wǎng)絡(luò)安全防御方面，組織面臨的挑戰(zhàn)遠大于攻擊者。遭受攻擊不可避免，因此組織必須為此做好相應(yīng)的準備。在這種認知基礎(chǔ)上，構(gòu)建分層次的防御和快速響應(yīng)機制顯得尤為重要。

調(diào)查數(shù)據(jù)顯示，多數(shù)組織在網(wǎng)絡(luò)事件響應(yīng)能力上存在明顯不足。數(shù)據(jù)恢復和業(yè)務(wù)重啟效率低下、贖金支付與政策背離、數(shù)據(jù)管理能力欠缺等問題普遍存在。這些現(xiàn)狀凸顯了系統(tǒng)性提升網(wǎng)絡(luò)韌性的緊迫性。

網(wǎng)絡(luò)韌性建設(shè)是一項系統(tǒng)工程，需要技術(shù)、管理、文化多維度協(xié)同推進。組織應(yīng)當建立全面的防御、檢測、響應(yīng)和恢復機制，培養(yǎng)全員安全意識，充分利用內(nèi)部審計的專業(yè)價值。在數(shù)字化風險日益復雜的背景下，持續(xù)提升網(wǎng)絡(luò)韌性已成為組織可持續(xù)發(fā)展的必要條件。通過系統(tǒng)規(guī)劃和扎實執(zhí)行，組織能夠在充滿威脅的網(wǎng)絡(luò)環(huán)境中保持業(yè)務(wù)連續(xù)性和競爭優(yōu)勢。

（翻譯：徐天然，單位：中國內(nèi)部審計協(xié)會）