网络战士与计算器会计和财务专业人士在公司网络安全中的作用ByJonathan Hill 博士 带计算器的网络 Warriers ：会计和金融专业人员在公司网络安全中的作用Letter from佩斯大学校长技术一直存在于我们的生活中。不幸的是 ， 黑客和那些会伤害我们的人迫在眉睫的威胁也是如此。与网络攻击相关的成本惊人。人们和公司的损失在 375 美元至每年为这些行为支付 5750 亿美元。我们集体内心平静的损失无法量化。为了使我们的国家在迅速变化的世界中继续繁荣，我们必须努力保护我们的公共和私人技术基础设施，并保持国际社会的信任。美国政府和私营企业在这一领域投入了大量资源，佩斯大学很自豪能够与公共和私营部门代表合作，研究和创新战略，以检测，预防和应对网络攻击。佩斯在美国金融区中心的位置使我们对潜在的网络威胁特别敏感，这些威胁可能会削弱我们国家的经济复苏并伤害数百万美国人。我们与特许公认会计师公会 （ ACCA ） 的研究帮助我们站在新兴的网络安全问题面前，而我们的年度峰会汇集了一些最聪明的头脑和最有影响力的思想领袖。网络安全领域对我们的教师和学生都很重要。事实上，在过去三年中，塞登伯格计算机科学与信息系统学院纽约市校区的本科生和毕业生人数有所增加，这得益于 Pace 获得的近 300 万美元的奖学金和研究支持网络安全研究和研究。赞助商正在要求硬件网络安全和医疗保健安全等领域的新计划和课程。Jonathan Hill 博士的研究与 ACCA 合作 ， 为公司政策、个人实践和内部沟通如何在预防和应对网络威胁方面发挥重要作用提供了国家和国际视角。我们为他的努力感到非常自豪 ， 并相信他的工作将有助于一个更安全、更安全和繁荣的美国。斯蒂芬 · J · 弗里德曼总裁 ， 佩斯大学2 具有计算器的网络管理员 ： 会计和财务专业人员在公司网络安全中的作用Letter fromACCA 美国近年来 ， 我们国家和世界范围内的网络犯罪增长已上升到前所未有的水平。随着技术的进步 ， 无声攻击的威胁也是如此 ， 这些攻击是我们技术基础设施的核心。今年 ， 似乎没有人可以免受网络恐怖分子的虚拟祸害 ， 因为大公司和我们的政府都受到了伤害。在最近的一次罢工中 ， 外国黑客获得了至少 400 万美国政府雇员的数据。三年前 ， 特许公认会计师协会 （ ACCA ） 试图通过与著名的佩斯大学及其塞登堡计算机科学与信息系统学院合作 ， 强调迫切需要更强大的网络安全机制。事实上 ， 我们决定与位于纽约市金融区的一所大学合作 ： 2012 年 ACCA 调查发现 ， 在全球范围内 ， 对网络犯罪的关注不成比例地集中在金融部门 ， 特别是大型金融公司。此后 ， 我们与 Pace 的合作已经举办了三次有见地的网络安全峰会 ， 以及一份全面的报告 ， 审查了 “撇渣器骗局 ” 的全球增长 ， 这些骗局从自动取款机、加油站和收银机中提取个人数据。ACCA USA 认识到快速发展的技术竞赛经常使犯罪分子赶在企业努力保护其数据之前 ， 因此努力更好地了解我们成员公司的意识和努力的规模。我们在今年早些时候进行了以下调查 ， 其发现应该是一个警钟。实施更强有力的控制的第一步是首先了解此类网络威胁的严重性 ， 我们基础设施中的现有弱点以及不仅仅是权宜之计的补救措施。我们赞扬佩斯大学 ， 校长斯蒂芬 · 弗里德曼和塞登伯格计算机科学与信息系统学院的乔纳森 · 希尔博士 ， 他们为揭示这一虚拟景观所做的努力 - 尽管令人不安。华纳约翰斯顿ACCA 负责人美国3 ACCA 成员调查对 ACCA 成员的调查获得了广泛的从业者 ， 经理和高级管理人员的回应 ， 他们的头衔包括公司级别的董事总经理 ， 首席财务官和高级副总裁 ， 以及各种执业会计师 ， 包括执业经理 ， 高级会计师和来自大型通才和小型专业公众的合伙人这些回应表明 ， 世界各地的金融专业人士正在适应职业生涯的清醒现实 ， 他们的贸易原材料 — — 包括公司和个人的敏感财务数据 — — 是黑客和网络犯罪分子最突出和最可取的目标。调查显示 ， 该行业正在迅速适应复杂的全球分散的网络犯罪分子群体的持续高威胁水平。但是 ， 直线经理和高级经理之间关于攻击和未遂攻击的沟通需要改善。此外 ， 基本风险管理网络安全实践的应用需要在一些公司中更一致地应用。带计算器的网络 Warriers ：会计和金融专业人员在公司网络安全中的作用Introduction计算机、服务器和互联网是金融专业人士不可或缺的工具 — — 他们正受到无情的攻击。对于会计师来说 ， 必须采取措施确保他们处理的敏感的个人和公司财务信息是安全的: 会计师需要站在网络安全的最前沿。今天尤其如此 ， 因为客户和消费者比以往任何时候都更加意识到所有企业的网络脆弱性。错误不会逍遥法外: 政府领导人和法律当局专注于追究个人对网络安全漏洞的责任。ACCA 的第二次年度网络安全最佳实践调查由佩斯大学塞登伯格计算机科学与信息系统学院进行 ， 表明 ACCA 成员正在采取一系列策略来应对维护安全环境的挑战。4 具有计算器的网络管理员 ： 会计和财务专业人员在公司网络安全中的作用5Introduction会计师作为目标和被告正如联邦调查局局长詹姆斯 · 科米所说，“美国有两种大公司。有些人被黑了 ... ... 还有那些不知道自己被黑了的人。“会计专业人员仍然是威胁的中心，因为他们使用数据，个人身份信息 （ PII ） 是网络犯罪分子的目标。会计师与内部网络安全专业人员和外部顾问紧密合作，以设计数据安全保护，以应对黑客不断变化的威胁。ACCA 维持了关于网络犯罪的强大研究计划，并就会计中的网络安全进行了持续的对话。and finance professionals. They also engage with related organizations like Information Systems Audit and Control Association (ISACA) to craft best practices guidelines like Control Objectives for Information and Related Technologies (COBIT 5) that address财务控制、风险管理和计算技术的职责组合所带来的独特风险 ， 包括在线漏洞和设备管理。立法和政府日益增长的参与在美国S.至少，政府将在未来几个月内发布新的监管指导。州和联邦立法者和监管机构在不断曝光涉及网络犯罪分子入侵主要面向消费者的公司的 IT 系统之后宣称自己，这些公司包括银行，主要商家，电信公司和零售商。甚至政府机构也发现自己是目标。of reconlentless attacks. Companies are simultanely being confronted by external threats from network thieves while being questioned by consumers uncomfortable with having theirPII 从企业转移到政府机构。在每天都在识别网络漏洞的世界中 ， 对隐私的渴望和对安全数据 （ 和个人安全 ） 的需求越来越冲突。为了响应公众对保护免受网络犯罪分子侵害的要求 ， 以及企业要求保护免受网络盗窃责任的要求 ， 州一级的当局已着手制定合理努力的标准 ， 公司及其管理层将对此负责。可能会对不遵循最佳网络安全实践的公司和个人采取法律行动。相比之下 ， 美国众议院在 2015 年 4 月通过了两项法案 ， 这些法案合并为一项法案 ， 将提交参议院通过 ：H. R. 1731 ， 《 2015 年国家网络安全保护促进法案》 ， H. R. 1560 ， 《保护网络法案》。现在 ，北美的受访者比一年前更关注网络犯罪西欧的受访者比一年前更关注网络犯罪 带计算器的网络 Warriers ：会计和金融专业人员在公司网络安全中的作用6报告说 ， 攻击经常报告给高级管理人员小于说违规行为已报告给执法部门法案将为遭受消费者数据泄露的公司提供保护 ， 只要这些公司与联邦调查人员。在相关的情况下 ， 客户的 PII 将在共享之前被剥离。类似的法案已经通过了参议院选择情报委员会 - 《 S.754 网络安全信息共享法》。此前 ， 网络安全立法一直难以通过美国国会出于对隐私和与另一个政府会面的潜在成本的担忧然而 ， 目前的危机和脆弱感已经让每个人 — — 企业、政府和消费者 — — 都要求采取行动。拯救消费者系统黑客 ， 数据盗窃和网络犯罪的冲击是前所未有的 ， 对消费者来说都是压倒性的和金融专业人士。研究人员估计 ， 五分之二的美国人的个人身份信息被盗或未经授权使用信用卡。每周的新闻周期似乎包含有关一家大型企业被黑客入侵和数百万个人财务数据被盗的新启示。广泛报道的事件详细说明了威胁 ： 犯罪分子试图窃取金钱 ； 民族国家赞助的黑客试图破坏政府 ， 金融和基础设施系统的稳定 ；和非国家行为者寻求造成任何可能的损害。这几乎使每个企业的客户群或选民都感到不安。消费者热衷于与公司和机构开展业务 ， 这些公司和机构可以为他们提供更有力的保证 ， 即他们的数据将受到保护 ， 并且他们的日常商业存在不会因网络犯罪或系统关闭而中断。但是 ， 许多客户不愿超越最低限度来保护自己的 PII ， 宁愿将繁重的工作和责任留给企业和组织。由于用户行为往往与网络安全礼仪相抵触 ， 因此承担责任存在固有的不公平因为在保护自己的计算机和移动设备方面 ， 客户的行为本质上可能是他们自己最大的敌人。粗心的密码管理 ， 点击任何在线链接以及连接到每个公共 Wi - Fi 接入点所固有的漏洞是许多网络安全漏洞的根本原因。然而 ， 一旦公司拥有用户的个人数据 ， 它就成为负责保护这些信息的可信代理。测量要点和关键指标佩斯大学塞登伯格计算机科学与信息学院纽约的系统设计了一个在线 具有计算器的网络管理员 ： 会计和财务专业人员在公司网络安全中的作用7几乎表示在违规事件发生后可能会聘请顾问几乎表示他们对公司的网络风险管理政策和程序有很高或非常高的认识调查由 ACCA 成员的横截面回答 ， 包括高级管理人员、顾问和唯一从业人员 ， 包括审计师、会计师、董事、合伙人和该调查询问了有关网络安全方面的公司政策和个人实践的问题。重要的是 ， 它还询问了公司内部如何传达网络攻击的证据。报告攻击The survey indicates a very real difference between internal and external reporting. Internal reporting often only goes as high as the next manager up in the reporting chain. Only 17% stated that attackswere regularly reported to the senior experants. As for reporting external to law enforcement, less than 50% of respondents indicated that reporting is很可能在攻击成功的情况下发生。这可能表明不愿 “公开 ” 数据泄露的消息 ， 这可能会对公司的声誉甚至股价产生不利影响。使用外部顾问近 50 ％ 的受访者表示 ， 在公司遭受网络攻击后 ， 聘请顾问的可能性很大。网络安全功能的报告区域公司的高级网络安全官员向其中的 “C 级 ” 官员报告。 42 ％ 向 CIO 报告 ， 25 ％ 向首席执行官报告 ， 17 ％ 向首席财务官报告。内部 IT 风险管理政策合规性虽然近 70% 的受访者表示 ， 他们对公司的网络风险管理有很高或非常高的认识57% 的人声称他们的 IT 系统能够很好地抵御网络威胁 ， 近三分之一 (32%) 的人不了