“为互联网犯罪战斗武装公司财务主管”

建立正确的政策和流程以打破现代不断变化的互联网安全威胁的三个步骤。

在今后三年中，网络安全在国库主要关心的行业排名第二。 这是由marsh mclennan赞助的约400名财务专家协会( afp ) 2019风险调查所调查的约400名财务专家说的。

这并不奇怪。 根据juniper research的网络犯罪和网络威胁，网络攻击越来越普遍，预计犯罪者将在2023年从1208年的120亿条记录中窃取约330亿条记录。 此外，非法行为者采用了网络钓鱼、电汇欺诈、供应商支付欺诈等各种恶意策略，未妥善更新的软件、存在安全风险的互联网、未加密数据等企业的脆弱性 如果这些漏洞利用成功，可能会严重损害组织的声誉，失去顾客和顾客的信任。

但是，尽管众所周知的墙上写着这么多副本，但根据isaca international的全球互联网安全状态报告，声称能够应对许多复杂的网络攻击的原因是 这一部分可能是因为，根据ponemon institute的研究，77%的it专业人员认为组织没有正式的互联网安全保护计划。 公司对网络安全失败面临的风险和适应现实能力的看法明显脱节。

这个课题越来越成为公司财务负责人及其团队的前沿和中心。 企业财务部门连接了所有的骨干业务和高管，使它们成为备受瞩目的网络攻击目标。 因此，大量企业资金流向财务部门的事实也是如此。 随着企业规模的扩大和业务范围的扩大，其风险状况越来越多。 因此，财务部门必须采取各种检查和措施，积极管理人员和技术的互联网安全风险。

公司财务人员为了保护自己，提出三种应对现代互联网威胁的方法

1 .建立更好的流程来判断和降低仓库内的风险。

根据帮助理财企业、对冲基金、企业财务部门改善网络卫生的经验，发现互联网安全规划的比较有效性与应用管理的严格程度密切相关。

定期举行风险判断会议。 良好治理的一个核心方面是整个组织的主要利益相关者和高管定期举行风险判断和共识会议 这些会议的目的是监测不同的企业部门是否正确应用互联网安全政策，并衡量企业是否需要更顺利的测试过程。 意味着通过移动，组织可以瞬间重新调整各种互联网风险的重要性的测试。

提高风险分数的多少和复杂性。 以前将风险分数设置为高、中、低(通常使用红、黄、绿图标标记)的静态和三维方法存在缺陷。 这是因为，随着威胁的提供，公司无法确定如何升级和更好地访问公司内部互联网。 例如，假设供应商x是直接连接到y公司互联网的第三方供应商。 如果供应商x遇到数据泄露，y公司必须立即升级其认为供应商x会对互联网造成威胁的威胁级别。 供应商的员工访问可能需要限制，也可能需要监视一段时间的活动。 风险大、复杂的另一个例子是，供应商x依赖外包公司z等第四位来完成其业务范围。 即使供应商x维持着互联网的安全。

戴尔鼓励企业财务部门使用基于多种因素定义风险的评估系统。 这些因素可能包括企业对特定类型风险的脆弱性、威胁行为者利用风险的可能性、风险数据的价值、企业控制措施的效果以及所需的结果。 风险评估系统还必须考虑漏洞的年龄。 漏洞年龄可以定义为组织相对于开发的开放长度，也可以定义为发现漏洞后经过的时间。

为了设定对网络安全事件的检测、隔离和处理的长期期望，公司财务总监可以遵循verizon最新的数据违规调查报告和ponemon institute等独立研究企业的研究等领域标准。 例如，ponemon的年度数据违规研究价格估计，组织平均需要191天才能识别数据泄露，而控制数据泄露需要66天。 认为威胁检测和响应的可接受长度有很大不同，但本研究可以提供基于实际例子的基准点。

测试财务人员。 治理计划的另一个重要组成部分是对企业财务部门中的个别员工进行严格和专业的测试 这些测试很重要。 因为资金管理团队可以接近企业资本，轻松访问企业资本。 例如，灰色黑客攻击，即财政部门指定agio等第三方专家违反答辩规则，将资金从一家企业银行账户转移到同一金融机构拥有的另一家银行。 成功的渗透练习和互联网安全专家随后将通过对该流程的分析向基金组提供新闻，他们可以使用这些新闻更好地保护系统定制功能。

制定全面的数据地图和数据保留策略。 另外，公司财务部门必须测绘组织的相关数据存储。 这可能包括与客户帐户、供应商合同或公司业务流程相关的新闻。 贷款支付时间表和批准的支付、投资、资本要求和其他交易的专家名单当然应该被映射出来。 带有这些消息的罪犯可以通过将自己插入预期的支付流来协调攻击。

虽然企业通常对存储的数据类型有模糊的认识，但要实现更有效的互联网安全，数据映射必须比大多数数据映射更强。 地图详细证明了每个数据集当前所在的位置和方法以及最佳长度。 企业保存各类型的新闻时间。 例如，考虑投资者关系( ir )数据。 获得投资者联系新闻和帐户以通过电汇支付股息的ir专业人士可以从客户关系管理( crm )数据库导出这些详细新闻，以支持市场营销的解体。 如果他们把这些数据留在新设备上，或者更糟的是，将其发送给外部营销企业，他们需要引入企业的数据安全团队观察风险。 数据图需要更新

很少有财务人员知道所有数据的最终目标地。 他们可以通过应付账款( a / p )系统开始支付，通过其资金业务点向银行提交支付文件，并在公司资源计划( erp )系统的总帐中输入相应的条目。 但是，您可能无法完全了解支付数据在所有系统中存在多久，谁在删除新闻之前访问新闻，备份将保存多久等等。

虽然必须销毁对企业毫无价值的数据，但多个组织缺乏解决最敏感数据的例行程序和制度化过程。 这种情况为罪犯提供了有吸引力的相对有效载荷，他们可以在组织外找到与支付和现金流量相关的数据。

企业有必要不用从以前就传承下来，考虑风险。 很多人摆脱旧的安全措施的速度很慢。 在这些公司中，基金经理可能需要积极帮助组织面对充满不断演变的恶意战略(如社会工程)的现代威胁。

2、为选择技术供应商建立正确的安全标准。

根据soha systems最近的研究，63%的数据泄露始于供应商的互联网漏洞。 普华永道的这个发现让这个可怕的统计数据更多了，只有52%的企业为第三方提供商制定了正式的安全标准。

随着公司资金管理专家继续采用新技术，让供应商对提供的处理方案负责是非常重要的。 基金管理小组有可能与数十家不同的供应商合作。 所有这些提供商在互联网卫生实践中都有不同程度的复杂性，并且会根据所访问的企业数据而呈现不同程度的风险。

从第三方购买的软件，可能必须配备自动异常检测手段，检测出奇怪行为时可以向关联公司发送警报。 例如，如果两个不同的ip地址在一段时间内登录到一个单独的帐户，则会触发警报，并且可能存在疑问。 同样，如果软件在一天内检测到异常大量的下载或登录失败，或者在创建使用软件的帐户时检测到不规则模式，则基金管理团队可能会收到通知。 我们把这些指标称为不良行为者企图破坏系统妥协的征兆和ioc。 这些通常是许多复杂的多步骤网络攻击的第一步。

公司的资金管理部门还应更加重视供应商是否积极识别顾客，免受威胁。 与金融服务行业的顾客合作，我看到供应商试图向顾客推卸责任的次数超过了我的人数。 供应商可能不对系统中存储的数据承担法律责任，但必须向企业财务部门提供实时更新，并定期报告相关产品和服务面临的威胁。

考虑到存在明显的风险，财务团队必须根据风险状况对供应商进行准确的分类，并对各运营商进行适当的审查。

3 .向管理层和其他业务行业传达财务部门的指控。

随着公司风险的迅速发展，公司资金管理部门需要整个组织的支持。 财务人员还必须能够有效地向公司董事会通报互联网情况，并提供足够详细的新闻，以便工作前沿的管理者了解。 这可能包括互联网安全诉求预算的合理性、对公司当前遵守数据管制和领域框架的情况的解释、数据隐私泄露的发展、定期审计结果、变更更新等。 结果。

定期更新、评论和与高级管理层的会议很重要。 高级管理层将批准互联网安全投资。 接受安全升级取决于管理员遇到的相关问题以及可能需要额外保护的原因。 这些会议需要在会议后的行动和修复计划等正式议题上组织，以便参加者能够看到正在进行的进展情况并感受到。

与执行小组的季度会议必须为新闻安全人员留出时间。

向上级领导介绍持续的风险判断和数据绘制练习

提供需要严格监督的新的明确风险行业的全面概要的。 。 。

审查整个行业的威胁信息，了解竞争对手面临的互联网威胁。

高级管理层在明确财务职能的网络安全政策中起着重要的作用。 每当移动资金请求到来时，执行请求的财务或财务专家必须通过电子邮件以外的方法验证其真实性。 用于切换金融数据和其他敏感新闻的强大过程需要将虚拟交互和现实世界的交互混合起来，以确认单个请求的真实性。 管理层必须建立这一流程，以了解基金管理部门要求的认证的理由，以及对认证请求的延迟响应如何影响电汇支付和其他资金转移。

在网络安全受到威胁的情况下，高级管理层也必须参加财务部门应对计划的制定，在这种危机的情况下，需要概述比较有效的信息表达步骤。 该方案必须详细证明事件响应小组的人员、他们的责任是什么、如何明确违规的范围、如何最好地通知顾客和投资者、企业响应时应满足的法律和合规要求以及如何管理内部和外部的通信

必须与it、运营、法律、人才、投资者关系和合规性以及业务部门等主要利益相关公司举行月度会议，更新这些行业的管理者，了解持续风险判断的结果、数据绘制的练习和应对计划。 维护企业整体领导和信息表达渠道，有助于财务部门在信息、劳动力和其他资源方面分担互联网安全负担，最终减少互联网判断的价格负担。 这样的会议也适合围绕预算诉求进行讨论，以支付管理和互联网安全组织的企业范围培训课程为中心。

保卫公司的道路又多又杂。 在优先进行软件补丁的审核、对供应商进行全面审查、维持适合人类和技术的顺利测试流程之前，企业资金管理专家必须完善互联网风险的理解和应对这些问题的最佳实践。