Facebook數(shù)據(jù)泄露為內部審計師提供了重要的經驗教訓

2019-04-10 18:41
0個贊
摘要:最近,F(xiàn)acebook再遭遇挫折。一家網絡安全公司的研究人員在亞馬遜網站運營的云計算服務器上發(fā)現(xiàn)了Facebook用戶信息。Facebook因劍橋分析公司的丑聞而受到抨擊,該公司的應用程序開發(fā)人員與一家政治咨詢公司共享數(shù)百萬Facebook用戶的數(shù)據(jù)。盡管Facebook首席執(zhí)行官馬克扎克伯格保證該公司將采取更多措施保護用戶數(shù)據(jù),但涉及亞馬遜的失誤仍將繼續(xù)曝光。

 

作者: 理查德 錢伯斯(Richard Chambers)IIA 總裁兼首席執(zhí)行官

2019年4月8日

 

內部審計師的博客反映了作者的個人觀點和意見。 這些觀點可能與內部審計師協(xié)會及其委員會的政策和官方聲明以及博主雇主或內部審計員編輯認可的意見不同。

??

在用戶和投資者的眼中, Facebook是社交媒體的寵兒毫無疑問,最近,F(xiàn)acebook再遭遇挫折。一家網絡安全公司的研究人員在亞馬遜網站運營的云計算服務器上發(fā)現(xiàn)了Facebook用戶信息。

 

這一消息傳出大約一年后,F(xiàn)acebook因劍橋分析公司的丑聞而受到抨擊,該公司的應用程序開發(fā)人員與一家政治咨詢公司共享數(shù)百萬Facebook用戶的數(shù)據(jù)。盡管Facebook首席執(zhí)行官馬克扎克伯格保證該公司將采取更多措施保護用戶數(shù)據(jù),但涉及亞馬遜的失誤仍將繼續(xù)曝光。

 

從內部審計的角度來看,F(xiàn)acebook的困境提供了一個明確而令人信服的教訓:數(shù)據(jù)一度被視為一種可以杠桿化的資產,現(xiàn)在也必須被視為潛在的責任或風險。對數(shù)據(jù)的更大保護需求正在增長,或者更確切地說,保護個人身份信息,避免使這些信息成為營銷人員、零售商、政治活動以及其他想要影響公眾思考和行動的人的寶庫。

 

越來越多的政府正在考慮立法,要求數(shù)據(jù)聚合器保護數(shù)據(jù)并確保隱私。 IBM商業(yè)價值協(xié)會最近的一項調查清楚地表明公眾也在要求建立問責制。

 

IBM調查中有四分之三的受訪者表示他們不信任公司的數(shù)據(jù)。 此外,87%的受訪者表示政府應該對管理個人數(shù)據(jù)的公司進行監(jiān)管,40%的受訪者表示C級高管應該因未能做到這一點而被罰款或監(jiān)禁(參見“消費者的數(shù)據(jù)焦慮”)。

 

簡而言之,數(shù)據(jù)已經出現(xiàn)在杰奇(Jekyll)博士和海德(Hyde)先生身上。 挖掘和分析數(shù)據(jù)是戰(zhàn)略業(yè)務決策的基本步驟。 它可以幫助企業(yè)和組織根據(jù)歷史信息構建模型,以預測未來的行為。 但是,糟糕的數(shù)據(jù)管理以及無法理解數(shù)據(jù)告訴我們的是一種風險。 如果未能保護數(shù)據(jù)會損害組織的聲譽,那么風險就會變得更加明顯和復雜。 實際上,70%的首席審計執(zhí)行官回應了IIA 2019年內部審計的脈搏調查,并將數(shù)據(jù)泄露引起的聲譽損害列為其最大的網絡安全問題。

 

內部審計師必須培養(yǎng)并保持對其組織如何收集、管理、保護、使用和共享數(shù)據(jù)的敏銳理解。 他們還必須掌握過去和現(xiàn)在的數(shù)據(jù)使用和存儲實踐。 可以肯定的是,內部審計可以提供數(shù)據(jù)保證的領域清單是非常重要的。

 

合規(guī)。 從歐洲的全球數(shù)據(jù)保護法規(guī)到將于明年生效的新的美國加州消費者隱私法案 ----新的數(shù)據(jù)保護法規(guī)正在迅速創(chuàng)建一個與數(shù)據(jù)保護相關的復雜的合規(guī)風險網絡。 內部審計必須與這些法規(guī)以及任何潛在的新法規(guī)保持同步,并提供有關組織必須遵守的步驟的洞察力和遠見。

 

運營。 解決數(shù)據(jù)收集、管理和保護方式的政策和流程提供了許多提供保證的機會。 與數(shù)據(jù)保護相關的一個關鍵領域是如何在內部和外部共享。 對于許多組織而言,旨在保護數(shù)據(jù)的策略和流程僅次于那些旨在通過其獲利的策略,這會增加數(shù)據(jù)泄露的風險。

 

戰(zhàn)略。 董事會和C級高管根據(jù)許多因素制定戰(zhàn)略的業(yè)務決策,包括數(shù)據(jù)分析。 內部審計必須保證數(shù)據(jù)的準確性和分析過程本身。

 

文化。 這是數(shù)據(jù)風險的挑戰(zhàn)性和最不明顯的方面之一。 內部審計必須了解組織對數(shù)據(jù)的處理方法和決策如何影響日常運營。 更重要的是,審計人員需要掌握組織適應不斷變化的數(shù)據(jù)需求的能力。 文化通常被定義為“我們如何在這里做事”。 如果“我們如何做事”無視保護數(shù)據(jù)的需要,那么我們也有文化問題。

 

2018年Gartner的調查發(fā)現(xiàn),超過87%的組織被歸類為商業(yè)智能和分析成熟度較低。 這不僅為希望提高數(shù)據(jù)資產價值和利用新興分析技術的組織制造障礙,而且還表明對數(shù)據(jù)使用的法律和道德影響知之甚少。

 

顯然,內部審計可以提供與數(shù)據(jù)相關的內容。 首席審計執(zhí)執(zhí)行官(CAE)應坦率地向董事會和執(zhí)行管理層就上述概述的每個領域的保證價值發(fā)表意見,并準備好在機會出現(xiàn)時提供這種保證。

             

                              國際內控協(xié)會ICI中國總部   雅琴 翻譯

 

這篇文章對你有沒有幫助?有 0無 0
上一篇:唐山市潤豐區(qū)紀委監(jiān)委:完善4項內控舉措?破解信訪難題下一篇:內部控制體系建設相關知識問答