财务团队：意想不到的安全前线

当大多数人想到网络安全时，通常会联想到IT部门和防火墙。但如今，攻击者越来越多地绕过技术防线，直接针对掌握财务权限的人员。财务与会计（F&A）专业人员处理敏感数据、授权付款并与供应商互动，这些都为试图操纵系统或人员的网络犯罪分子提供了主要机会。事实上，商业电子邮件入侵（BEC）、虚假发票诈骗和内部欺诈计划通常源于财务团队，无论是由于流程漏洞、社会工程还是简单的网络安全意识不足。然而，许多财务团队仍将网络安全视为“别人的工作”。类似问题在许多其他行业也存在，一线角色容易受到攻击。这是一个危险的盲点。全球金融欺诈损失每年超过5000亿美元，财务及其他关键部门的领导者现在必须将网络风险视为核心业务风险——需要主动控制、培训并与安全团队协作。

保护运营：从思维转变到实际步骤

第一步是认识到网络安全不仅是技术问题，更是业务问题。因此，所有团队在保持组织安全和有效运行方面都扮演着关键角色。在BlackLine，我们将F&A专业人员视为安全计划的关键参与者。我们大力投资于量身定制的安全意识培训，包括钓鱼模拟，并确保我们的财务控制设计考虑网络安全。付款的双重批准、系统访问的多因素认证以及用户权限的定期审计是标准做法。网络攻击或欺诈通常由于过时的流程或对单一个人的过度信任而发生。建立分层控制——包括所有财务流程——并定期进行压力测试，可以大幅降低风险。同样重要的是认识到第三方风险。例如，财务和会计团队经常直接与供应商、支付处理机构和银行打交道——任何一方都可能引入漏洞。因此，尽职调查、定期风险评估以及针对可疑问题和威胁的明确升级路径是安全财务运营的重要组成部分。关键的是，其他部门也应采取类似步骤，防止潜在的第三方安全问题。

沟通：CISO的最强工具

多年来我培养的最有价值的技能不是技术性的，而是翻译能力。用业务术语沟通网络安全风险对于吸引不熟悉威胁环境的利益相关者至关重要。在BT期间，我学会了用风险语言构建安全框架：不仅是网络风险，还包括财务、运营和声誉风险。这种视角的转变使我能够在IT和业务功能之间建立更强的一致性，尤其是在金融等高度监管的行业。透明地对待成功和挑战也至关重要。我与团队和董事会设定了明确的期望，关于我们衡量什么、为什么重要以及需要改进的地方。这建立了信任，并有助于培养一种持续改进——而非恐惧——驱动行动的文化。

AI的兴起及其带来的风险

当然，网络安全环境一直在演变。目前，生成式和代理AI工具的集成正在重塑所有部门（包括安全团队）的运作方式。这些技术在自动化任务和检测异常方面提供了巨大潜力，但也引入了新的风险，从数据泄漏到公共大型语言模型（LLM）中的不准确性，可能损害完整性（包括财务方面）。因此，至关重要的是，不要将新的AI解决方案视为灵丹妙药。它们必须谨慎部署，具有明确的使用政策、定期审查和强大的治理，以防止新威胁类型获得立足点。在我们公司，我们投资于补充而非取代人类监督的AI能力。并确保所有员工（不仅仅是技术人员）都接受培训，以了解这些工具的机会和局限性。

无边界世界中的网络弹性

网络威胁不再尊重地理边界。虽然合规要求可能因地区而异，但攻击者不在乎你的总部是在伦敦、洛杉矶还是拉各斯。这就是为什么我主张设定全球性的安全控制“高标”，而不是按国家定制。特别是对于财务专业人员，无论你是全球CFO还是中型公司的会计师，基本原则保持不变：机密性、完整性和可用性——即CIA三要素——必须不惜一切代价维护。在AI时代，这变得更加复杂。

给下一代的建议

对于那些考虑从事网络安全职业的人，我的建议是：你的视角很重要。我的旅程经历了意想不到的转折，从追踪黑客到构建董事会级安全策略。但如果有一件事没有改变，那就是：在网络安全中，人的因素始终是最重要的。