內部控制的弱點

已發表: 2019-07-30

控制弱點源於組織無法有效實施內部控制。惡意人員甚至可以利用這種情況繞過最看似無懈可擊的安全措施。

內部控制的日益實施、新技術的出現以及惡意軟件發展的驚人速度使得需要更密切的數據安全控制監控。這樣做，組織將更容易評估他們已實施的內部控制的有效性。同樣，它將有助於暴露這些控制中的弱點。

內部控制弱點：它們是什麼？

在您開始考慮內部控制弱點是什麼之前，您首先需要問自己什麼是數據安全控制。基本上，數據安全控制需要通過採取措施防止未經授權的訪問來保持敏感數據的安全。這些措施通過幫助抵消、檢測、最小化或避免計算機系統、數據、軟件和網絡面臨的典型安全風險來指導風險管理計劃。

這些措施可能包括技術控制、架構控制、管理控制和操作控制。此外，控制可以簡化為檢測性、糾正性、補償性或預防性。數據安全控制流程通過提供可靠的財務報告來保護組織，這些報告由各種監管機構和與資本、投資和信用風險相關的行業標準規定。

例如，2002 年薩班斯-奧克斯利法案 (SOX) 第 404 條要求每年證明公司如實報告其財務報表和程序，以確保有效減少欺詐。同樣，公司必須證明他們已經解決了與股票等財務方面相關的任何不確定性。

技術安全控制側重於硬件和軟件。組織的技術控制框架中的弱點通常源於技術變更或配置和維護故障。 2014 年的“Heartbleed”漏洞報告強調了 SSL 中常見的技術控制弱點，這些弱點會將數據暴露給惡意行為者。

運營安全 (OPSEC) 需要監控運營以實施風險管理計劃。通常，操作控制的弱點是由人為錯誤造成的。當被授權進行運營的個人未能遵守既定政策和標準時，組織的運營控制就會被削弱。

事件響應是一種時間敏感的操作控制。只有確保快速乾預，您才能實現其最高效力。當事件與必要發明之間的間隔增加時，事件響應的效力同樣降低。

也稱為程序控制，行政安全控制涉及始終未能將日常操作簡化為既定法規。計劃備份例程是與災難恢復相關的重要程序控制。無法確定備份的可行性和完整性會使組織面臨媒體退化的風險。在這種情況下，組織將很難從人為錯誤的災難性後果中完全恢復。

通常，安全架構需要創建一個集成框架，以突出和解決在組織的集成 IT 環境中出現的風險。文檔或設計中的弱點對組織的安全結構基礎是有害的。

在更容易出現架構控制弱點的組織中，不可預見的硬件更換更為普遍。這是由於規避了常規變更管理流程所致。這些替換通常是緊急的，這為錯過補丁、配置不規則和其他形式的實施疏忽創造了一個窗口。

GRC 的內在價值側重於澄清風險，以便組織能夠遵守標準和法規，同時持續監控以確保所有流程都能正常工作。有效的企業風險管理需要創建一個支持保護組織資源和資產的程序的結構。

與許多人的想法相反，風險管理不是一次性的工作。實施的控制需要隨著威脅形勢的發展而發展。惡意行為者經常修改他們的策略。這突出了保持最高效率的重要性，因為它使重新評估整個組織的信息系統生命週期中的風險變得更加容易。

持續監控內部控制可為組織提供有關其面臨的漏洞和威脅的實時洞察。儘管惡意行為者不斷演變惡意軟件和勒索軟件以避免奉獻，但一致的監控有助於管理團隊充分應對可能對組織的業務和風險評估流程產生負面影響的威脅。

對內部控制的持續監控要求您利用內部審計和正在進行的活動。這將確保您的組織將其所有程序嵌入其操作設置中。例如，這些檢測措施可以幫助內部分析師評估運營效率。

自動化可以大大減輕持續監控的負擔。隨著組織規模的擴大，需要監控的內部控制數量也在增加。技術的使用無疑會增加不同控制類型之間的重疊。例如，雲遷移使未經授權的訪問成為 IT 和運營風險。

對此有什麼想法嗎？ 在下面的評論中讓我們知道，或者將討論帶到我們的 Twitter 或 Facebook。