Cyber Security & The CFO: Monetizing Risk

网络安全漏洞成为突发新闻的时代一去不复返了. 我们已经对网络场合习以为常,甚至麻木了, while extensive losses in our capital markets hold. 在可预见的未来,不仅网络安全攻击和入侵会继续存在, but the frequency in which they arise, 以及事件的复杂程度, continue to grow at an accelerated tempo. Handling those risks is daunting, 所有旨在帮助规范数据安全和网络安全漏洞管理和报告方式的新立法和法规都是如此. That’s the bad news. the better news? 应对网络安全危险比以往任何时候都更加重要, 随着高层和董事会越来越多地参与进来. 考虑网络安全是一个或广泛的问题,影响组织的许多领域, 它必须由具有正确视线的个人或团队“拥有”, authority and access to the board. 那么,首席财务官在网络安全问题上究竟扮演着怎样的角色呢?

越来越多的高管和董事会成员发现自己越来越多的网络安全监督职能, and as such, 是否增加了他们对管理改进的参与, implementation, and monitoring of comprehensive, organization-wide cyber security risk programs. Clearly, 首席财务官要为组织的财政方面负责, 包括评估为确保信息以可靠的方式产生而实施的过程和控制. 网络安全经常被首席财务官考虑, 但通常仅限于财务报表和相关披露中的金额. Though, in addition to monetary approaches and disclosures, 首席财务官——一个越来越多地参与组织整体数字化转型的职能,必须与亚冠买球app下载的网络安全风险管理计划保持一致, 一个应该包含组织的整体IT环境的程序, including systems, networks, 以及相关数据——不仅满足财务报告需求,还满足运营和合规需求——所有这些都容易受到网络事件的影响. 考虑到网络安全是整个组织的努力, 而在运营过程中发生的违约将会导致一个组织的财务损失——可能是重大的损失, 首席财务官必须找到更好的方法,更准确地将企业中的网络风险货币化.

Enter SOC for Cyber Security. In April 2017, AICPA推出了一种全新的网络安全风险管理考试——网络安全SOC——旨在帮助组织应对与相关方沟通的日益增长的挑战, both internally and externally, 网络安全风险控制程序的设计和有效性. In a SOC for Cyber Security examination, 一个组织的网络安全风险管理程序被定义为一组策略, processes, 以及旨在保护信息和系统不受可能危及组织网络安全目标实现的安全事件影响的控制, and to detect, respond to, mitigate, 并及时从未被阻止的安全事件中恢复.

网络安全SOC考试评估管理层对其网络风险管理程序的描述,针对后续领域:

  • Nature of Operations
  • Nature of Information Risk
  • Cyber Security Risk Management Program Objectives
  • Inherent Risk Related to the use of Technology
  • Cyber Security Risk Governance Structure
  • Cyber Security Risk Management Process
  • 网络安全、通信与网络信息质量
  • 监控网络安全风险管理计划
  • Cyber Security Control Activities

网络安全SOC报告有助于更好地理解组织如何识别其信息资产, 组织管理网络安全风险的方式, 以及实施和运行的关键安全策略和流程,以保护组织的信息资产免受这些风险.

Once completed, the SOC for Cyber Security report provides clear, concise, 以及向相关利益相关者提供相关网络安全信息,并以透明的方式提供所需信息, 同时维护系统的必要安全和机密性. For instance, senior management, as well as others within the organization, 接收有关组织网络安全风险管理程序有效性的信息, including the controls designed, implemented, 并减轻对组织敏感信息和系统的威胁. 董事会收到关于组织面临的网络安全风险的信息, 以及由管理层实施的网络安全风险管理计划,旨在帮助履行监督职责. SOC报告还包括来自独立第三方评估人员的信息,这些信息有助于评估管理部门在降低网络安全风险方面的有效性——所有这些都有助于利益相关者做出明智的决策. As for the CFO and the rest of the C-Suite? 他们现在有了一种工具,可以帮助衡量网络安全风险并将其货币化.

More in Technology & Cybersecurity

Related Case Studies