审计社交媒体的请求很少会与愉快的阳光明媚的野餐混淆. 它基本上是对组织营销部门的审计, 营销人员并不总是遵循内部控制的最佳实践,这带来了挑战. A social media audit is also not a true IT audit; it is an audit of a business function that happens to use tools based on the internet.
然而, it seems to be a topic that management pays attention to; I’ve had more calls from executives on social media audit than any other topic. 最大限度地发挥审计的影响, 审查中应该包括一些主要的行动.
每个使用社交媒体的人必须明白的第一个概念是,他们已经注册了一个云系统. 经常, 营销人员, 沟通和人力资源(HR)部门没有建立这种联系. 但事实是,所有的社交媒体平台都具有软件即服务(SaaS)的特点。, 然而,, 对于那些参与社交媒体的人, 安全似乎不是优先考虑的问题. 许多团队为澳门赌场官方下载注册了Twitter, LinkedIn或Facebook不太可能检查服务是否安全,是否有任何形式的内部控制.
社交媒体网站不强制执行任何类型的密码复杂度规则. 例如, Facebook建议用户,密码越长通常越安全, 但是它不强制执行任何密码标准. 这是最常被利用的向量, 因此,令人惊讶的是,社交媒体网站没有解决这个问题. 如果它们允许多因素身份验证(MFA), 确保团队意识到并使用它可能对团队有益.
在一般情况下, 安装资讯科技系统时, 组织不会持续不断地向供应商发送其所有技术信息, 但这就是注册社交媒体平台时发生的事情. +, 他们通常不会审查隐私政策或合同中关于第三方服务提供商和数据共享的部分.
在进行社交媒体评论时, 让营销团队在社交媒体网站设置的限制范围内配置最佳安全和隐私参数至关重要. 组织应该只提供最大化服务所需的数据级别, 在组织的社会媒体政策和战略范围内, 在不损害安全的前提下.
最大的被低估的控制弱点可能是用户的匿名性. 没有人知道社交媒体上的人到底是谁. 尽管社交媒体受到了各种各样的审查, 假新闻, 欺诈和黑客行为, 社交媒体平台似乎不喜欢有一个“了解客户”的过程.
那么,澳门赌场官方下载如何确定与谁进行交互呢? 一些澳门赌场官方下载使用一个步骤指南从与用户的初次接触中获取信息, 然后在相互作用的某些点上, 可能会要求提供额外的数据, 并提供适当的证明. 这应该在审计过程中进行审查.
假网站到处都是. 如果有任何涉及网站冒充的诈骗发生, 合法的组织必须处理后果. 因此, 团队中应该有人负责检查社交媒体上的假冒网站, 包括新兴, 世界上任何地方的特殊兴趣或不太知名的社交媒体网站. 在澳门赌场官方下载没有经营的国家,假冒更有可能成为一个问题. 还应定期监测所有员额和现有程序,以便迅速处理任何虚假或危险的员额.
最愚蠢的做法是将社交媒体管理外包出去,而不进行仔细的控制. 这样做,组织有效地将其控制外包给内部控制. 如果一个组织想要外包这个功能, 应审查与第三方签订的合同,以确保其中规定了网站更新的频率, 什么样的更新将被执行,张贴的质量将是什么.
你的组织需要一个深思熟虑的方法来使用社交媒体,并且需要知道为什么要使用它, 并相应地调整控制. 鉴于社交媒体审查的挑战性任务,这些控制措施应该成为任何审计师关注的焦点. 许多组织,如 国家网络安全联盟(CISA), 国家网络安全中心(NCSC) 和 SANS研究所 在社交媒体审计方面,为领先的最佳实践提供资源. 审计在这方面有巨大的潜力作出重大贡献.
编者按: 想要进一步了解这个话题,请阅读罗伯特·芬德利最近在《澳门赌场官方软件》上发表的文章, “组织如何控制他们对社交媒体的使用??”, ISACA杂志,第4卷,2021年.
别忘了,澳门赌场官方软件可以 免费获得CPE 来自ISACA期刊的测验!
