业务和技术领导者使用各种流行语来定义技术前景及其未来的样子. It is common to hear them use words such as “evolving,”“快节奏的,”“颠覆性,”“敏捷,” “generative” and more to describe the state of IT. These are terms that 21st-century IT auditors may also find themselves using. On the other hand, when asking certain IT managers, 首席信息官(cio)或首席信息安全官(ciso)他们如何描述IT审计员, they may use descriptors such as “restrictive,”“过时的,” or “fault-finding,或诸如“他们不明白我们在澳门赌场官方软件”或“他们不明白这项技术是如何工作的”之类的短语.有这种感觉的高管认为,建议的控制措施不会增加价值,或者审计师只是在检查清单. 因此, 第一道防线(管理层)和第三道防线(审核员)之间似乎存在脱节。.
If the IT auditor is not intentional, this perception can continue and the perceived gap between control testing, 建议和技术进步随着组织采用新技术来推动其业务目标进入未来而扩大.
现代IT审计师必须具备3种技能,才能为被审计的技术团队增加价值,并避免被高层领导以负面的眼光看待.
现代IT审核员必须具备3种技能,以增加被审计的技术团队的价值,并避免被高层领导以负面的眼光看待:
- Understand what drives the bottom line. In simple terms, this means knowing how the organization makes money. Gone are the days of an IT auditor only being concerned about IT audit (i.e., change management, 访问管理, segregation of duties [SoD], 备份, traditional IT control tests). 审核员现在必须了解是什么推动了澳门赌场官方下载的底线和, based on risk assessment, 阐明技术风险如何影响底线,并随后设计创新测试来处理此类风险. If not, there will always be a gap between them and the CIO. So, 第一步是了解底线驱动因素,并通过底线影响和可能性测试对每个控制进行测试. 一般, 只要审计发现能够与它们对底线的潜在影响联系起来, the risk is understood and accepted by the auditee.
- Acknowledge the importance of cybersecurity. 来自知名思想领袖的几项调查已将网络风险确定为从现在到未来的首要商业风险.1, 2 预测表明,这种风险的可能性和影响将继续增加. 大多数IT专业人员都同意的一个风险因素是新技术的固有部分.g., artificial intelligence [AI], quantum computing) is security risk. Every technology leader wants their organization’s data assets secured. 未来的IT审计师必须能够清楚地证明他们拥有能够测试和理解网络安全控制的知识和技能. These controls are not only limited to the governance space, which is where most IT auditors end their reviews. 年前, 对于审计人员来说,进行网络钓鱼测试并确定是否安装了防火墙可能已经足够了. 但如今的审计人员必须了解零信任等网络架构原则, threat modeling and microsegmentation, 举几个例子. 对DevOps、云和漏洞管理生命周期的了解也很重要. 网络安全的一个指导原则是,链条的强度取决于最薄弱的环节. 因此, 重要的是,审核员要了解组织环境中链条上的所有环节,并设计审核方案,确保不仅识别最薄弱的环节, 但加强.
- Embrace adaptability and a risk-based approach. For platforms such as Microsoft Power Apps, which was designed to support business agility, faster development, and deployment for small business applications, 审核员可能需要调整传统方法来测试一般IT控制的应用程序. 例如, 这样的平台可能会挑战审计人员的传统思维方式,当涉及到诸如开发人员无法将构建发布到生产环境的控制时.
Adaptability is critical in a situation such as this. 它意味着审计师在确保降低潜在风险的同时能够改变其方法的能力. Some controls are now built into systems. So, 与被审核方的对话应该是风险驱动的,而不仅仅是关于填充控制活动. 这也可以采取审计人员审核组织内的软件即服务(SaaS)解决方案的形式,并询问被审计人员如何确保系统管理员(admin)不能更改源代码或如何执行备份过程.
结论
If anything is certain about the future of technology, it is change. 这些更改不是由审计需求驱动的,而是由不断发展的业务需求驱动的. IT审计人员必须适应新技术,以确保他们能够保持相关性,并不断开发新的方法,通过审计来推动价值和改善控制环境.
尾注
1 PriceWaterhouseCoopers, 2022 Global Risk Survey, United Kingdom, 2022
2 安联。”Allianz Risk Barometer 2023—Rank 1: Cyber Incidents,” 2023
Fene Osakwe
Is an award-winning global cybersecurity and digital assurance professional, international conference speaker, Amazon best-selling author and published thought leader. 他在第一、第二和第三道防线上有超过十年的工作经验. 他曾为数十亿美元的公司工作,并为金融机构提供咨询服务, telecom and fintech companies, state governments, 和大学. Osakwe从头开始为几个组织创建了安全功能. 他曾在非洲和中东地区最大的电信基础设施公司任职, he established security and governance, risk and compliance (GRC) functions. 他被CIOLOOK USA评为2023年全球40岁以下十大网络安全领袖之一,并被评为2022年100位鼓舞人心的全球人物之一 Hoinser杂志. 他于2022年获得了Ibento Global颁发的网络安全卓越奖(中东和非洲),并被阿拉伯联合酋长国(阿联酋)网络委员会任命为2022年迪拜网络青年导师. Osakwe是全球多个董事会的顾问委员会成员,也是畅销书的作者 Climbing the Corporate Ladder With Speed.