内部控制的弱点

已发表: 2019-07-30

控制弱点源于组织无法有效实施内部控制。恶意人员甚至可以利用这种情况绕过最看似无懈可击的安全措施。

内部控制的日益实施、新技术的出现以及恶意软件发展的惊人速度使得需要更密切的数据安全控制监控。这样做，组织将更容易评估他们已实施的内部控制的有效性。同样，它将有助于暴露这些控制中的弱点。

内部控制弱点：它们是什么？

在您开始考虑内部控制弱点是什么之前，您首先需要问自己什么是数据安全控制。基本上，数据安全控制需要通过采取措施防止未经授权的访问来保持敏感数据的安全。此类措施通过帮助抵消、检测、最小化或避免计算机系统、数据、软件和网络面临的典型安全风险来指导风险管理计划。

这些措施可能包括技术控制、架构控制、管理控制和操作控制。此外，控制可以简化为检测性、纠正性、补偿性或预防性。数据安全控制流程通过提供可靠的财务报告来保护组织，这些报告由各种监管机构和与资本、投资和信用风险相关的行业标准规定。

例如，2002 年萨班斯-奥克斯利法案 (SOX) 第 404 条要求每年证明公司如实报告其财务报表和程序，以确保有效减少欺诈。同样，公司必须证明他们已经解决了与股票等财务方面相关的任何不确定性。

技术安全控制侧重于硬件和软件。组织的技术控制框架中的弱点通常源于技术变更或配置和维护故障。 2014 年的“Heartbleed”漏洞报告强调了 SSL 中常见的技术控制弱点，这些弱点会将数据暴露给恶意行为者。

运营安全 (OPSEC) 需要监控运营以实施风险管理计划。通常，操作控制的弱点是由人为错误造成的。当被授权进行运营的个人未能遵守既定政策和标准时，组织的运营控制就会被削弱。

事件响应是一种时间敏感的操作控制。只有确保快速干预，您才能实现其最高效力。当事件与必要发明之间的间隔增加时，事件响应的效力同样降低。

也称为程序控制，行政安全控制涉及始终未能将日常操作简化为既定法规。计划备份例程是与灾难恢复相关的重要程序控制。无法确定备份的可行性和完整性会使组织面临媒体退化的风险。在这种情况下，组织将很难从人为错误的灾难性后果中完全恢复。

通常，安全架构需要创建一个集成框架，以突出和解决在组织的集成 IT 环境中出现的风险。文档或设计中的弱点对组织的安全结构基础是有害的。

在更容易出现架构控制弱点的组织中，不可预见的硬件更换更为普遍。这是由于规避了常规变更管理流程所致。这些替换通常是紧急的，这为错过补丁、配置异常和其他形式的实施疏忽创造了一个窗口。

GRC 的内在价值侧重于澄清风险，以便组织能够遵守标准和法规，同时持续监控以确保所有流程都能正常工作。有效的企业风险管理需要创建一个支持保护组织资源和资产的程序的结构。

与许多人的想法相反，风险管理不是一次性的工作。实施的控制需要随着威胁形势的发展而发展。恶意行为者经常修改他们的策略。这突出了保持最高效率的重要性，因为它使重新评估整个组织的信息系统生命周期中的风险变得更加容易。

持续监控内部控制可为组织提供有关其面临的漏洞和威胁的实时洞察。尽管恶意行为者不断演变恶意软件和勒索软件以避免奉献，但一致的监控有助于管理团队充分应对可能对组织的业务和风险评估流程产生负面影响的威胁。

对内部控制的持续监控要求您利用内部审计和正在进行的活动。这将确保您的组织将其所有程序嵌入其操作设置中。例如，这些检测措施可以帮助内部分析师评估运营效率。

自动化可以大大减轻持续监控的负担。随着组织规模的扩大，需要监控的内部控制数量也在增加。技术的使用无疑会增加不同控制类型之间的重叠。例如，云迁移使未经授权的访问成为 IT 和运营风险。

对此有什么想法吗？ 在下面的评论中让我们知道，或者将讨论带到我们的 Twitter 或 Facebook。