近日,国际注册会计师协会(AICPA)颁布了新的认证规定,要求未来的注册会计师掌握网络安全知识。根据AICPA首席执行官苏珊·科菲的说法,新规定要求未来的注册会计师(CPA)从三个新科目中选修一门来“展示更深入的技能和知识”,其中之一是网络安全领域的“ISC1:信息系统与控制”,该考试将于2024年1月1日启动。
网络安全培训纳入注册会计师认证对企业网络安全意义重大。会计和安全专家指出,懂网络安全的会计师可给企业安全团队和CISO带来两大直接好处:为企业安全团队带来“财务视角”,发现容易被忽视的漏洞和威胁;同时帮助CISO更好地向CFO解释网络安全的投资回报率(ROI)和价值,并为新安全项目争取(更多)预算。
网络安全亟需打开“财务天眼”
“网络安全会计师带来了一个不同的视角,这是财务技能与网络知识的结合。他们擅长发现网络攻击导致的财务交易或模式异常,例如不寻常的财务流动可能表明有数据泄露或欺诈,”安全供应商StrikeReady的首席产品官Anurag Gurtu指出:“这种混合专业知识使他们能够检测到常规网络安全协议会忽略的微妙异常。例如,财务报告中的不一致或财务趋势中无法解释的偏差可能是网络事件的早期指标,这是网络安全专业人员可能会错过的。”
马里兰大学会计学教授Sharon Levin赞同Gurtu的论点,即网络会计师可能会注意到一些经验丰富的SOC培训的网络安全分析师可能忽视的事情:“通常,会计师是首先意识到系统漏洞和数据泄露的人。如果网络犯罪分子盯上的是公司资产,那么会计师就有责任通过内部控制保护这些资产。”
打通网络安全价值沟通瓶颈
网络安全的投资回报率问题很重要。多年以来,企业CISO与业务主管和CFO就网络安全业务价值的沟通始终困难重重。掌握必要网络安全知识的会计师也许能用“财务语言”更有效地帮助CISO打通价值沟通瓶颈。
此外,网络安全会计师还可以帮助CISO争取更多预算。总部位于新泽西州的合规和法证会计师事务所Rechtman Consulting的执行合伙人Yigal Rechtman认为,CISO试图向CFO提出令人信服的网络安全投资回报率论点,但CFO很难被说服。CISO的理由通常是:“投入一倍的安全投资,可以防止潜在的十倍攻击损失。”但CFO更关注季度净利润,以及如何增加收入而不是节省(潜在)成本。因为投资安全项目后,如果攻击未能造成损失(包括被安全措施阻止),董事会不会将其视为成本节省。
Rechtman的观点是,接受过网络安全培训的会计师能更有效地说服CFO及其他高管加大对安全的投资。因为会计师的核心技能和“语言”是财务而不是技术。