近日，國際注冊會計師協會（AICPA）頒布了新的認證規定，要求未來的注冊會計師掌握網絡安全知識。根據AICPA首席執行官蘇珊·科菲的說法，新規定要求未來的注冊會計師（CPA）從三個新科目中選修一門來“展示更深入的技能和知識”，其中之一是網絡安全領域的“ISC1：信息系統與控制”，該考試將于2024年1月1日啟動。

網絡安全培訓納入注冊會計師認證對企業網絡安全意義重大。會計和安全專家指出，懂網絡安全的會計師可給企業安全團隊和CISO帶來兩大直接好處：為企業安全團隊帶來“財務視角”，發現容易被忽視的漏洞和威脅；同時幫助CISO更好地向CFO解釋網絡安全的投資回報率（ROI）和價值，并為新安全項目爭取（更多）預算。

網絡安全亟需打開“財務天眼”

“網絡安全會計師帶來了一個不同的視角，這是財務技能與網絡知識的結合。他們擅長發現網絡攻擊導致的財務交易或模式異常，例如不尋常的財務流動可能表明有數據泄露或欺詐，”安全供應商StrikeReady的首席產品官Anurag Gurtu指出：“這種混合專業知識使他們能夠檢測到常規網絡安全協議會忽略的微妙異常。例如，財務報告中的不一致或財務趨勢中無法解釋的偏差可能是網絡事件的早期指標，這是網絡安全專業人員可能會錯過的。”

馬里蘭大學會計學教授Sharon Levin贊同Gurtu的論點，即網絡會計師可能會注意到一些經驗豐富的SOC培訓的網絡安全分析師可能忽視的事情：“通常，會計師是首先意識到系統漏洞和數據泄露的人。如果網絡犯罪分子盯上的是公司資產，那么會計師就有責任通過內部控制保護這些資產。”

打通網絡安全價值溝通瓶頸

網絡安全的投資回報率問題很重要。多年以來，企業CISO與業務主管和CFO就網絡安全業務價值的溝通始終困難重重。掌握必要網絡安全知識的會計師也許能用“財務語言”更有效地幫助CISO打通價值溝通瓶頸。

此外，網絡安全會計師還可以幫助CISO爭取更多預算。總部位于新澤西州的合規和法證會計師事務所Rechtman Consulting的執行合伙人Yigal Rechtman認為，CISO試圖向CFO提出令人信服的網絡安全投資回報率論點，但CFO很難被說服。CISO的理由通常是：“投入一倍的安全投資，可以防止潛在的十倍攻擊損失。”但CFO更關注季度凈利潤，以及如何增加收入而不是節省（潛在）成本。因為投資安全項目后，如果攻擊未能造成損失（包括被安全措施阻止），董事會不會將其視為成本節省。

Rechtman的觀點是，接受過網絡安全培訓的會計師能更有效地說服CFO及其他高管加大對安全的投資。因為會計師的核心技能和“語言”是財務而不是技術。