网络安全会计师：是中道崩殂还是成为CISO的福音？

安全供应商StrikeReady的首席产品官Anurag Gurtu对此表示：“网络安全会计师（合并名，下同）会带来一个全新的视角，一个能将金融敏锐性与网络知识相结合的视角。他们或许能发现预示着网络安全威胁的金融交易，又或许能觉察出各种交易中存在的安全违规行为，特别是在当下数字化转型的时代里。这种混合专业知识，能使网络安全会计师在标准网络安全协议中，检测出容易被忽视的异常，比如财务报告的不一致或财务趋势的不明偏差，这些都可能是网络事件的早期指标，而纯粹的安全人员可能会错过这些迹象。”

马里兰大学会计学教授Sharon Levin赞同了Gurtu的观点：“网络安全会计师可能会从会计的角度注意到一些迹象，而这些信号可能会逃过资深网络安全分析师的注意。通常来说，会计师是企业中第一个意识到系统漏洞和数据泄露的人员。因此，如果网络犯罪分子要追查的是公司资产，那么会计师就有责任通过内部控制来保护这些资产。”

Levin表示，会计部门可谓是企业财务管理的核心，如果这样的核心能够掌握安全知识，就一定能够更好地保护企业的财务信息，避免信息泄露或被恶意攻击，从而保障企业的经济利益。同时，从政策驱动的角度来看，网络安全会计师能够更好地了解和遵守国家安全相关的法律法规和政策，从而确保企业的合规经营，避免因违规行为带来的经济损失和声誉损失。

ROI问题很重要，因为从历史来看，企业CISO常做的事，就是努力说服业务高管和首席财务官，让他们相信网络安全对其业务的价值。理论上，若会计师能够了解网络安全的内涵和目标，那么从他们的角度去主张改善网络安全时，就会变得更有效，也更具说服力。

Gurtu说：“精通网络安全的会计师可以更好地阐明网络威胁的财务影响，他们能帮助CISO向领导层、董事会提出更令人信服的ROI论点。网络安全会计师具备将网络风险转化为财务术语的能力，可以增强不同业务部门对网络安全投资的理解和支持。”

显然，只有关系到每个人自身的钱包时，论点才会变得格外有理。Gurtu指出，由于角色上的不同，CISO的对话内容常会围绕“成本”，而会计师的对话内容常会围绕“收益”或“每个人的薪酬”。因此，当从会计师嘴里说出“网络安全有可能增加每个人的薪酬和收益”时，没人会不屑一顾，所有人都会积极配合。这就是角色不同，话语的有效性就不同。

这个全新的认证计划有个备受争议的地方，就是“它能否帮助CISO填补安全人员的空缺问题”，尤其是入门级安全职位。AmerisourceBergen、Comcast和IBM的CISO Umesh Yerram认为，即使未来的注册会计师需要学习一定的安全知识，但相关的项目培训还是太少了，无法对企业CISO产生过多的影响。

尽管2024年下半年可能会有很多网络安全会计师在市场上面试，但目前还不清楚有多少人能为企业的安全运营工作。Kruze咨询公司副总裁Healy Jones表示：“这一变化或许需要数年时间才能培养出足够优秀的网络安全会计师，这里的优秀是指‘能负责自身的会计业务，也能对安全团队产生影响’。而如果企业的安全团队希望能拥有自己的会计师，那CISO最好对这些会计师进行额外的培训，而不是满足于一纸证书。”

Jones补充道，传统的会计师事务所很可能会将其中的大部分人才据为己用。“现实是，注册会计师行业本身就面临着严重的人才短缺，而接下来注册会计师的供应会越来越短缺。所以我个人认为，这无法解决安全团队的人员配备问题。”

合规和司法会计师事务所Rechtman Consulting的管理合伙人Yigal Rechtman表示：“网络安全会计师对CISO来说最大的价值在于可以帮助安全部门更有效地推广、落地安全实践。众所周知，首席财务官最常强调的就是投资回报率，这也是企业高管最关心的问题。长久以来，每当关于投资回报率的争论指向安全部门时，他们基本难以回应，而且几乎所有部门都会站在他们的对立面，使得安全部门总有种舌战群儒，最后又不得不低头的感觉。因此，若财务部门具备了对网络安全的理解，那就等于安全部门终于等来了盟友，而且是最关键的盟友。”

Gem security网络防御安全副总裁Phil Neray对此表示认同，他指出，即使新的网络安全会计师没有在投资回报率上提出更好的论点，他们的财务方法和截然不同的心态也能给企业的安全态势带来更多的价值。“在当下这个时代，对抗网络威胁需要有不同的方法、观点和世界观。因此，只要企业其他部门对安全团队具备更好、更积极的看法，这就能使我们更加强大。网络安全会计师确实是一个很好的起点，以后说不定还会出现网络安全HR、网络安全审计师、网络安全税务师、网络安全资产评估师，等等。”

然而，并非所有人都认为网络安全会计师会对网络安全职能产生积极影响。Douglas Brush是美国联邦法院的特别顾问，他多年来一直和会计团体打交道。他表示自己一度怀疑注会机构会否真的会帮助安全管理人员，从某种意义来说，注会机构更像是在破坏安全机制。

而其中真正让Brush担心是，网络安全会计师的发展会带来一批低薪人员，这些低薪人员会像SOC 2和PCI一样，做着另一套复选框合规。“其中很大的问题在于，他们懂得如何有效地衡量风险吗？这又不是这些会计师的本职工作，所以他们只是合规控制，只是风控决策，他们不懂如何与业务保持一致。”

对于注册会计师和网络安全相结合有什么解读和看法，国内安全专家如此建议。

知乎相关专家“IT达人”表示，注册会计师需要了解数据安全。数据安全是网络安全的一个重要组成部分，它涉及保护数据不被未经授权地访问、篡改或泄露。对于注册会计师来说，保护客户和企业的敏感数据是非常重要的，因此他们需要了解数据安全的最佳实践和措施。

具体来说，注册会计师需要了解以下数据安全知识：

1、数据安全的定义和重要性。注册会计师需要了解数据安全的定义和重要性，以及如何保护客户和企业的敏感数据不被未经授权地访问、篡改或泄露；

2、数据保护措施和策略。注册会计师需要了解数据保护措施和策略，包括加密技术、访问控制、备份和恢复等方面的知识，以及如何制定和实施数据保护政策和程序；

3、数据安全法律法规和合规要求。注册会计师需要了解数据安全法律法规和合规要求，包括个人信息保护、数据保护、网络安全等方面的法律法规，以及如何遵守这些法律法规和合规要求；

4、数据安全意识和培训。注册会计师需要具备数据安全意识，并定期接受相关的培训和教育，以确保他们了解最新的数据安全威胁和风险，以及如何采取最佳实践来保护客户和企业的敏感数据。

而某券商安全总监李维春对此表示，这是一个很有趣的做法和尝试，但他个人感觉或许5年之后就会慢慢消失。原因很简单，首先是任何所谓的“新概念”都是被部分群体抄上来的；其次，过于综合的个人发展不利于工作者本身，因为全面发展本就是伪命题。个人的职业规划总是有针对性的，像网络安全这样的学科，不是读两本书、上两节培训课就能入门的，很多时候看了相关书籍也只是分摊了会计师的精力，对实际收益并不大。

当然，李维春也认为，一个“精通”网络安全的会计师当然好，他们可以更好地阐明网络威胁的财务影响，他们能帮助CISO向领导层、董事会提出更令人信服的ROI论点。网络安全会计师将网络风险转化为财务术语的能力，可以增强不同业务部门对网络安全投资的理解和支持。

相反，一个不懂网络安全的会计师（这可能是个常态）则可以更好地促使CISO学会将网络安全专业术语转化为ROI、投资收益比、风险控制的回报等语言，倒逼CISO更好地学习业务、理解业务、阐释业务。

而某金融租赁公司安全负责人姜山指出，一直以来网络安全的投入产出比都很难衡量，导致网络安全资源投入与企业实际安全需求严重不符。注册会计师与网络安全相结合可以从财务视角评估网络安全的价值，从而让高管更容易理解网络安全风险与控制，有利于为网络安全争取更多预算。同时，安全从业人员也可以有机会接触更多财务相关信息，有利于拓展自身业务视角。可以更多地从业务视角推动网络安全工作，也为网络安全从业人员提供了一个新的职业发展方向。

某科技企业安全负责人赵军利认为，注会考试加入网络安全内容，从安全工作者角度来说是一件非常好的事情，说明业务相关部门及管理机构已经深刻意识到网络安全的重要性。传统上来说，注会主要负责财务报表的审核和审计工作，而网络安全专业人员主要负责保护网络系统和数据的安全。但随着信息化、数字化的快速发展，企业的财务管理已经实现了无纸化、信息化、数字化的几个阶段演进，这也使企业财务管理面临更多的网络威胁和安全挑战。将注册会计师和网络安全相结合可以弥补传统审计方法在网络安全方面的不足，更好地保护金融机构的利益和客户的资产安全。