Facebook數(shù)據(jù)泄露為內(nèi)部審計(jì)師提供了重要的經(jīng)驗(yàn)教訓(xùn)

2019-04-10 18:41
0個(gè)贊
摘要:最近,F(xiàn)acebook再遭遇挫折。一家網(wǎng)絡(luò)安全公司的研究人員在亞馬遜網(wǎng)站運(yùn)營(yíng)的云計(jì)算服務(wù)器上發(fā)現(xiàn)了Facebook用戶信息。Facebook因劍橋分析公司的丑聞而受到抨擊,該公司的應(yīng)用程序開(kāi)發(fā)人員與一家政治咨詢公司共享數(shù)百萬(wàn)Facebook用戶的數(shù)據(jù)。盡管Facebook首席執(zhí)行官馬克扎克伯格保證該公司將采取更多措施保護(hù)用戶數(shù)據(jù),但涉及亞馬遜的失誤仍將繼續(xù)曝光。

 

作者: 理查德 錢伯斯(Richard Chambers)IIA 總裁兼首席執(zhí)行官

2019年4月8日

 

內(nèi)部審計(jì)師的博客反映了作者的個(gè)人觀點(diǎn)和意見(jiàn)。 這些觀點(diǎn)可能與內(nèi)部審計(jì)師協(xié)會(huì)及其委員會(huì)的政策和官方聲明以及博主雇主或內(nèi)部審計(jì)員編輯認(rèn)可的意見(jiàn)不同。

??

在用戶和投資者的眼中, Facebook是社交媒體的寵兒毫無(wú)疑問(wèn),最近,F(xiàn)acebook再遭遇挫折。一家網(wǎng)絡(luò)安全公司的研究人員在亞馬遜網(wǎng)站運(yùn)營(yíng)的云計(jì)算服務(wù)器上發(fā)現(xiàn)了Facebook用戶信息。

 

這一消息傳出大約一年后,F(xiàn)acebook因劍橋分析公司的丑聞而受到抨擊,該公司的應(yīng)用程序開(kāi)發(fā)人員與一家政治咨詢公司共享數(shù)百萬(wàn)Facebook用戶的數(shù)據(jù)。盡管Facebook首席執(zhí)行官馬克扎克伯格保證該公司將采取更多措施保護(hù)用戶數(shù)據(jù),但涉及亞馬遜的失誤仍將繼續(xù)曝光。

 

從內(nèi)部審計(jì)的角度來(lái)看,F(xiàn)acebook的困境提供了一個(gè)明確而令人信服的教訓(xùn):數(shù)據(jù)一度被視為一種可以杠桿化的資產(chǎn),現(xiàn)在也必須被視為潛在的責(zé)任或風(fēng)險(xiǎn)。對(duì)數(shù)據(jù)的更大保護(hù)需求正在增長(zhǎng),或者更確切地說(shuō),保護(hù)個(gè)人身份信息,避免使這些信息成為營(yíng)銷人員、零售商、政治活動(dòng)以及其他想要影響公眾思考和行動(dòng)的人的寶庫(kù)。

 

越來(lái)越多的政府正在考慮立法,要求數(shù)據(jù)聚合器保護(hù)數(shù)據(jù)并確保隱私。 IBM商業(yè)價(jià)值協(xié)會(huì)最近的一項(xiàng)調(diào)查清楚地表明公眾也在要求建立問(wèn)責(zé)制。

 

IBM調(diào)查中有四分之三的受訪者表示他們不信任公司的數(shù)據(jù)。 此外,87%的受訪者表示政府應(yīng)該對(duì)管理個(gè)人數(shù)據(jù)的公司進(jìn)行監(jiān)管,40%的受訪者表示C級(jí)高管應(yīng)該因未能做到這一點(diǎn)而被罰款或監(jiān)禁(參見(jiàn)“消費(fèi)者的數(shù)據(jù)焦慮”)。

 

簡(jiǎn)而言之,數(shù)據(jù)已經(jīng)出現(xiàn)在杰奇(Jekyll)博士和海德(Hyde)先生身上。 挖掘和分析數(shù)據(jù)是戰(zhàn)略業(yè)務(wù)決策的基本步驟。 它可以幫助企業(yè)和組織根據(jù)歷史信息構(gòu)建模型,以預(yù)測(cè)未來(lái)的行為。 但是,糟糕的數(shù)據(jù)管理以及無(wú)法理解數(shù)據(jù)告訴我們的是一種風(fēng)險(xiǎn)。 如果未能保護(hù)數(shù)據(jù)會(huì)損害組織的聲譽(yù),那么風(fēng)險(xiǎn)就會(huì)變得更加明顯和復(fù)雜。 實(shí)際上,70%的首席審計(jì)執(zhí)行官回應(yīng)了IIA 2019年內(nèi)部審計(jì)的脈搏調(diào)查,并將數(shù)據(jù)泄露引起的聲譽(yù)損害列為其最大的網(wǎng)絡(luò)安全問(wèn)題。

 

內(nèi)部審計(jì)師必須培養(yǎng)并保持對(duì)其組織如何收集、管理、保護(hù)、使用和共享數(shù)據(jù)的敏銳理解。 他們還必須掌握過(guò)去和現(xiàn)在的數(shù)據(jù)使用和存儲(chǔ)實(shí)踐。 可以肯定的是,內(nèi)部審計(jì)可以提供數(shù)據(jù)保證的領(lǐng)域清單是非常重要的。

 

合規(guī)。 從歐洲的全球數(shù)據(jù)保護(hù)法規(guī)到將于明年生效的新的美國(guó)加州消費(fèi)者隱私法案 ----新的數(shù)據(jù)保護(hù)法規(guī)正在迅速創(chuàng)建一個(gè)與數(shù)據(jù)保護(hù)相關(guān)的復(fù)雜的合規(guī)風(fēng)險(xiǎn)網(wǎng)絡(luò)。 內(nèi)部審計(jì)必須與這些法規(guī)以及任何潛在的新法規(guī)保持同步,并提供有關(guān)組織必須遵守的步驟的洞察力和遠(yuǎn)見(jiàn)。

 

運(yùn)營(yíng)。 解決數(shù)據(jù)收集、管理和保護(hù)方式的政策和流程提供了許多提供保證的機(jī)會(huì)。 與數(shù)據(jù)保護(hù)相關(guān)的一個(gè)關(guān)鍵領(lǐng)域是如何在內(nèi)部和外部共享。 對(duì)于許多組織而言,旨在保護(hù)數(shù)據(jù)的策略和流程僅次于那些旨在通過(guò)其獲利的策略,這會(huì)增加數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

 

戰(zhàn)略。 董事會(huì)和C級(jí)高管根據(jù)許多因素制定戰(zhàn)略的業(yè)務(wù)決策,包括數(shù)據(jù)分析。 內(nèi)部審計(jì)必須保證數(shù)據(jù)的準(zhǔn)確性和分析過(guò)程本身。

 

文化。 這是數(shù)據(jù)風(fēng)險(xiǎn)的挑戰(zhàn)性和最不明顯的方面之一。 內(nèi)部審計(jì)必須了解組織對(duì)數(shù)據(jù)的處理方法和決策如何影響日常運(yùn)營(yíng)。 更重要的是,審計(jì)人員需要掌握組織適應(yīng)不斷變化的數(shù)據(jù)需求的能力。 文化通常被定義為“我們?nèi)绾卧谶@里做事”。 如果“我們?nèi)绾巫鍪?rdquo;無(wú)視保護(hù)數(shù)據(jù)的需要,那么我們也有文化問(wèn)題。

 

2018年Gartner的調(diào)查發(fā)現(xiàn),超過(guò)87%的組織被歸類為商業(yè)智能和分析成熟度較低。 這不僅為希望提高數(shù)據(jù)資產(chǎn)價(jià)值和利用新興分析技術(shù)的組織制造障礙,而且還表明對(duì)數(shù)據(jù)使用的法律和道德影響知之甚少。

 

顯然,內(nèi)部審計(jì)可以提供與數(shù)據(jù)相關(guān)的內(nèi)容。 首席審計(jì)執(zhí)執(zhí)行官(CAE)應(yīng)坦率地向董事會(huì)和執(zhí)行管理層就上述概述的每個(gè)領(lǐng)域的保證價(jià)值發(fā)表意見(jiàn),并準(zhǔn)備好在機(jī)會(huì)出現(xiàn)時(shí)提供這種保證。

             

                              國(guó)際內(nèi)控協(xié)會(huì)ICI中國(guó)總部   雅琴 翻譯

 

這篇文章對(duì)你有沒(méi)有幫助?有 0無(wú) 0
上一篇:唐山市潤(rùn)豐區(qū)紀(jì)委監(jiān)委:完善4項(xiàng)內(nèi)控舉措?破解信訪難題下一篇:內(nèi)部控制體系建設(shè)相關(guān)知識(shí)問(wèn)答