最近的网络入侵事件提高了人们对涉及云服务、内部威胁和第三方风险漏洞的认识，反映出网络安全风险可能是多么复杂和相互交织。所有组织都有必要深入了解整个企业的网络风险，包括了解它们的网络文化。

在2018年的这篇博文中，我回顾了内部审计与IT领导者的关系以及理解网络文化价值的重要性。

在过去十几年的时间里，网络安全已经从一个留给首席安全官(CSOs)和首席信息安全官(CISOs)的神秘IT概念，逐渐演变成了董事会和高级管理层的头等大事。然而，对于一个公认的正在以惊人速度发展的问题来说，处理该问题的进展却缓慢得令人痛苦。

与网络攻击相关的、备受瞩目的报道如今已是家常便饭，任何行业或部门都无法幸免。事实上，自2005年以来，隐私权交易中心已经记录了8600多起数据泄露事件，其中包括2017年的831起。这家位于圣地亚哥大学法学院公共利益法律中心的组织承认，它并没有捕捉到所有成功的网络攻击。不过，该公司估计，自开始跟踪记录以来，已经有超过110亿份记录遭到破坏。

即便如此，我必须承认，每当我了解到那些网络攻击本可以避免时，我都会感到不安。很多时候，成功的黑客攻击意味着人性的失败，而不是技术的失败。考虑到网络安全在所有管理层和董事会的风险调查中都排在榜首或接近榜首，这一点尤其令人不安。

我开始怀疑，无处不在的网络攻击是否滋生了某些组织内部的不作为风气。我进而怀疑，公司是否仅仅只是向网络攻击认输并认为他们是“不可避免”的事情。尽管知道数据泄露会造成难以置信的财务和名誉损失，但企业并没有采取各种合理的措施来保护自己。更糟糕的是，针对被黑客攻击的可能性，存在着一种失败主义或宿命论的观点，这可能导致脆弱或无效的控制。

最近的两项调查为我们在网络安全方面的努力提供了额外的例子。斯宾塞•斯图尔特(Spencer Stuart)对标普500指数成分股公司进行的一项调查发现，尽管去年董事会聘请了自2004年以来最多的新董事(397人)，但其中只有19%的人拥有技术或网络通信背景。这表明，尽管越来越多的人意识到拥有IT和网络安全知识的董事的重要性，但这种意识并没有转化为更大的行动。

信息安全服务公司IOActive发布的一份新报告发现，在其调查的40个主要在线股票交易平台中，几乎所有平台都存在网络安全漏洞。这些漏洞的严重性各不相同，从存储未加密的密码到推广易受恶意软件攻击的功能。

这持续反映了网络安全没有融入到组织的所有领域的挑战。我敢肯定，这些股票交易平台中没有一家试图使自己成为攻击目标，但往往是为了方便或有利于客户的互动而支付了更高级别网络安全隐患的对价。

如果管理层在网络安全风险面前投降，内部审计人员就承担不起加入到该组织中去将承担的代价。我们不仅必须确保我们的员工中有合适的人才来审计IT流程和控制，我们还必须意识到网络安全在整个组织中是如何被看待的。简而言之，内部审计的职责必须包括：评估组织的网络安全文化，并帮助组织建立一个健康的网络安全文化环境。

我在2017年早些时候的一篇博客文章中提到，人才是改变内部审计的四个关键要素之一。总之，内部审计必须重新定义人才，尤其是在IT审计方面的人才。

在那篇博文中，我写道：

在人才方面的前进道路可能是最具挑战性的。例如很多CAE都说，在招募具有网络安全、隐私/数据挖掘和分析技能的人员方面存在重大挑战。尽管如此，我们仍然可以采取明确的步骤，以确保我们有合适的人员来满足利益相关者的期望、满足内部审计创新革新和积极主动的要求。

《北美内部审计脉冲调查》(NorthAmerican Pulse of Internal Audit)定义了获取恰当人选的6个关键因素，包括制定人才战略，寻找不同背景的候选人，面向未来的培训和后续发展。但最重要的是要确保内部审计的工作范围能够挖掘员工的能力。通常情况下，内部审计的作用是由员工所拥有的技能所决定的。任何反对创新革新和积极主动的做法都是危险的。

内部审计在构建网络安全文化方面的作用，与拥有合适的人才同时存在。正如内部审计部门可以在他们执行的每一项审计业务中开展文化检查一样，内部审计部门也可以评估文化对网络安全成败的影响。

内部审计应与首席安全官(CSOs)和首席信息安全官(CISOs)合作，找出该组织网络安全控制和实践中的弱点。尤其重要的是，内部审计与IT领导之间的关系要健康、合作。毕竟，他们正在为有效网络安全的目标而共同努力。

在任何情况下，内部审计都必须对网络安全在组织内部如何执行、以及组织文化是否支持网络安全进行直接和客观的评估，并向董事会提供一份评估报告。同样重要的是，我们必须为本组织在网络攻击发生时的应对准备提供保证。

我想知道，你们是如何评估你们组织的网络安全文化的。一如既往，期待你们的评论。 （源自 2019 年 8 月 5 日 IIA 官网）