近日，國際注冊會計師協(xié)會（AICPA）頒布了新的認(rèn)證規(guī)定，要求未來的注冊會計師掌握網(wǎng)絡(luò)安全知識。根據(jù)AICPA首席執(zhí)行官蘇珊·科菲的說法，新規(guī)定要求未來的注冊會計師（CPA）從三個新科目中選修一門來“展示更深入的技能和知識”，其中之一是網(wǎng)絡(luò)安全領(lǐng)域的“ISC1：信息系統(tǒng)與控制”，該考試將于2024年1月1日啟動。

網(wǎng)絡(luò)安全培訓(xùn)納入注冊會計師認(rèn)證對企業(yè)網(wǎng)絡(luò)安全意義重大。會計和安全專家指出，懂網(wǎng)絡(luò)安全的會計師可給企業(yè)安全團(tuán)隊和CISO帶來兩大直接好處：為企業(yè)安全團(tuán)隊帶來“財務(wù)視角”，發(fā)現(xiàn)容易被忽視的漏洞和威脅；同時幫助CISO更好地向CFO解釋網(wǎng)絡(luò)安全的投資回報率（ROI）和價值，并為新安全項目爭取（更多）預(yù)算。

網(wǎng)絡(luò)安全亟需打開“財務(wù)天眼”

“網(wǎng)絡(luò)安全會計師帶來了一個不同的視角，這是財務(wù)技能與網(wǎng)絡(luò)知識的結(jié)合。他們擅長發(fā)現(xiàn)網(wǎng)絡(luò)攻擊導(dǎo)致的財務(wù)交易或模式異常，例如不尋常的財務(wù)流動可能表明有數(shù)據(jù)泄露或欺詐，”安全供應(yīng)商StrikeReady的首席產(chǎn)品官Anurag Gurtu指出：“這種混合專業(yè)知識使他們能夠檢測到常規(guī)網(wǎng)絡(luò)安全協(xié)議會忽略的微妙異常。例如，財務(wù)報告中的不一致或財務(wù)趨勢中無法解釋的偏差可能是網(wǎng)絡(luò)事件的早期指標(biāo)，這是網(wǎng)絡(luò)安全專業(yè)人員可能會錯過的。”

馬里蘭大學(xué)會計學(xué)教授Sharon Levin贊同Gurtu的論點，即網(wǎng)絡(luò)會計師可能會注意到一些經(jīng)驗豐富的SOC培訓(xùn)的網(wǎng)絡(luò)安全分析師可能忽視的事情：“通常，會計師是首先意識到系統(tǒng)漏洞和數(shù)據(jù)泄露的人。如果網(wǎng)絡(luò)犯罪分子盯上的是公司資產(chǎn)，那么會計師就有責(zé)任通過內(nèi)部控制保護(hù)這些資產(chǎn)。”

打通網(wǎng)絡(luò)安全價值溝通瓶頸

網(wǎng)絡(luò)安全的投資回報率問題很重要。多年以來，企業(yè)CISO與業(yè)務(wù)主管和CFO就網(wǎng)絡(luò)安全業(yè)務(wù)價值的溝通始終困難重重。掌握必要網(wǎng)絡(luò)安全知識的會計師也許能用“財務(wù)語言”更有效地幫助CISO打通價值溝通瓶頸。

此外，網(wǎng)絡(luò)安全會計師還可以幫助CISO爭取更多預(yù)算。總部位于新澤西州的合規(guī)和法證會計師事務(wù)所Rechtman Consulting的執(zhí)行合伙人Yigal Rechtman認(rèn)為，CISO試圖向CFO提出令人信服的網(wǎng)絡(luò)安全投資回報率論點，但CFO很難被說服。CISO的理由通常是：“投入一倍的安全投資，可以防止?jié)撛诘氖豆魮p失。”但CFO更關(guān)注季度凈利潤，以及如何增加收入而不是節(jié)省（潛在）成本。因為投資安全項目后，如果攻擊未能造成損失（包括被安全措施阻止），董事會不會將其視為成本節(jié)省。

Rechtman的觀點是，接受過網(wǎng)絡(luò)安全培訓(xùn)的會計師能更有效地說服CFO及其他高管加大對安全的投資。因為會計師的核心技能和“語言”是財務(wù)而不是技術(shù)。