由達信��、Microsoft發布了《網絡復原力現狀》這篇報告���。以下是對該報告的部分摘錄���,完整內容請獲取原文查看���。由于近三年所經歷的職場受到重創、數字化轉型和勒索軟件攻擊等挑戰���,使得大多數領導者對自身管理網絡風險的能力相比兩年前明顯信心不再。
(資料圖)
1.了解網絡風險:當今需要了解的關鍵趨勢
重要的是���,整個組織中的領導者必須對整體網絡風險 趨勢以及這些趨勢如何影響他們的業務達成共識��。 對公司面臨的風險問題達成共識有助于協調決策者 和推動戰略�����,并且也有助于向其他內部和外部利益 相關者傳達統一的信息��。 與任何風險一樣��,網絡趨勢也會隨著時間的推移 而變化�����。以下是當今網絡環境中的 8 個關鍵領域��。
重要趨勢 1:網絡特定的企業級目標應與構建網絡復原力保持一致�����,因為每個組織都 可能遭受網絡攻擊��。 圍繞網絡風險���,形成了一個值得重復提及的常理:如果您知道您的網絡今天會被攻破��,您現在會采取什 么不同的做法��?在我們的調查受訪者當中���,近四分之三的受訪者表示,他們的組織在過去一年經歷過一 次或多次網絡攻擊�����,其中最常見的類型是網絡釣魚/社會工程學攻擊和勒索軟件��。
收入名列前茅的公司往往會面臨著更多的攻擊 - 無論是在數量上���,還是在種類上���,85% 的公司表示 他們至少遭受過一次攻擊�����,相比之下��,只有 68% 的小型公司表示受到過攻擊���。 從地區來看,拉丁美洲的企業最不可能報告受到過任何類型的網絡攻擊�����,尤其是隱私泄露��。太平洋區 域的企業比其他區域更有可能遭遇隱私泄露��。
重要趨勢 2:勒索軟件被認為是公司面臨的首要網絡威脅���,但不是唯一的威脅。 今天�����,許多關于網絡風險的對話都會首先談及無處不在的勒索軟件。調查受訪者將勒索軟件列為其組織 面臨的首要網絡風險��,其中三分之一以上的受訪者表示勒索軟件是頭號威脅�����,并且近四分之三的受訪者 將其排在前三位���。 許多組織認為��,無限數量的漏洞導致勒索軟件幾乎無法抵御��。這使人們深刻認識到發展具備網絡復 原力的組織的重要性��。風險管理和保險領域的專業人士更有可能將勒索軟件視為攻擊的關鍵驅動因素��;而董事會和首席執 行官級別的領導者不太可能持有這種觀點��。
超過半數的北美公司表示���,向攻擊者支付贖金的公司加劇了攻擊事件的發生。 在全球范圍內��,勒索軟件位居網絡威脅之首��,隱私泄露、供應商中斷和網絡釣魚/社會工程學攻擊緊隨其 后��。撇開勒索軟件不談���,各地區最關心的問題有所不同�����。例如��,位于歐洲的組織可能更在意供應商/合作 伙伴中斷���,位于亞洲的組織會對侵犯隱私問題表現出更大的擔憂,而位于拉丁美洲的組織則更經常提到 專有商業信息的丟失�����。
重要趨勢 3:保險是網絡風險管理戰略的重要組成部分�����,并會影響最佳實踐和控 制措施的采用���。 自 20 世紀 90 年代末推出以來��,網絡保險已證明了其出色的網絡攻擊抵御成效���。它已發展成為 一種解決眾多數字衍生風險的產品,能夠按預期有效地支付索賠��,這有助于公司在對其業務進行 創新和數字化時更負責任��、更全面地管理風險��。此外���,隨著保險公司從理賠中汲取經驗教訓�����,并將 承保要求的重點轉移到可以減輕索賠的控制措施上�����,這也創造了非常有價值的反饋循環�����。
在調查受訪者中���, 61% 的受訪者表示他們的組織購買了某種類型的網絡保險���,比 2019 年的 上次調查增加了近 30%。作為抵御網絡攻擊所造成的潛在成本的一項保障���,保險經常被視為 整個網絡風險策略的重要組成部分�����。
現在�����,由于各組織的潛在可保性已岌岌可危�����,因此采用某些控制措施已成為大多數保險公司 的最低要求��。據說,這對網絡安全態勢產生了積極影響��,41% 的受訪者表示,保險公司的要求 影響了其組織強化現有控制措施或采用新控制措施的決策��。 雖然這些控制措施已被確立為最佳做法好幾年了�����,但一些組織仍在努力采用���,最常見的原因 是他們無法證明成本的合理性�����,或者他們不理解或明白是否需要這些措施�����。
2.建立企業的網絡風險團隊
了解不同角色���、責任和看法將增強網絡風險復原力。 企業中的專業人士如何看待他們在網絡保險���、網絡事件管理以及網絡安全工具和 服務中的角色��?他們是否認為自己起到決策者的作用�����?是否作為整個團隊的一員�����, 并為決策提供意見�����?或者他們是否根本就沒有參與��? 根據我們對受訪者的調查結果�����,IT/網絡安全專業人士是參與人數最多的一項�����。 在超過 90% 的回答中�����,他們在三個領域中要么是決策者要么是團隊成員�����,并 且“不參與”的總體人數最少��。他們也最有可能將自己視為網絡事件管理和網 絡安全工具和服務的決策者�����。
董事會/首席執行官/總裁受訪者最有可能將自己視為網絡保險的最終決策 者�����,其次是風險管理和財務的最終決策者��。有趣的是��,90% 的風險經理受訪者稱制定了網絡事件響應計劃��,而只有 60% 的執行層領導表示如此�����。導致如此低比例的執行層領導回答��,與其說是缺乏實 際計劃�����,倒不如說是缺乏與網絡風險管理負責人的接觸。 網絡保險決策顯示���,最高級別的受訪者表示他們是團隊的一員�����。 與其他領域相比��,在網絡安全工具和服務領域中���,企業內部專業人士的協作水 平最低。
對網絡風險管理戰略的信心相對較低���。 對一個組織評估�����、衡量���、緩解和響應網絡威脅的能力的信心仍然較低,相比在 2019 年達信和微軟網絡調查中收集的調查回復�����,沒有看到任何實質性的變化,2019 年和 2022 年都是只有 19% 的受訪者表示他們 對網絡風險管理非常有信心�����?����?傮w而言���,與部門領導相比,執行層領導對這些領域的信心最低�����。例如�����,對于組織管理和響應網絡攻擊的能力��,只有 9% 的執行層領導表示他們非常有信心��,而有 19% 部門領導這樣 認為。這些不同的看法很可能會影響作為網絡風險戰略一部分的資源最終部署位置��。
執行層領導和部門領導都對組織了解和評估網絡威脅的能力表現出最高的信心��。這反映了對有關社會大部分領域經歷的網絡風險的信息的掌握日益增多���。 最大的觀點差距也與管理和應對網絡攻擊的能力有關��,近三分之一的執行層領導表示他們沒有信心���,而有 18% 的部門領導這樣認為。更有效的跨企業溝通有可能彌補這種差距�����。隨著信息在各職能部門之間共 享���,可能會更有效地協調組織的能力以及在哪里進行投資�����。
隨著網絡投資的增加�����,需要采取跨企業戰略���。 與 2019 年相比��,各組織角色對于增加網絡風險管理資源和能力投資的 必要性達成了廣泛共識�����。極少數受訪者預計投資將會減少,超過半數的 受訪者表示大部分領域可能會出現一定程度的增長���。與大多數預算決策 一樣���,決定在哪里投資可能是一項復雜、耗時的事情���。在企業內共享網絡 風險專業知識的組織可能會發現任務更有效和高效���。 預計擔任不同職位、處于不同部門的網絡風險領導者可能會為未來 投資制定各種計劃和優先事項���。IT 和網絡安全受訪者更有可能計劃 在網絡安全技術方面增加支出��;而持同等看法的財務和采購職位的受 訪者更少��。
風險管理和保險領導者更有可能預計在網絡保險和招聘更多網絡安 全專業人士方面增加支出��;而持同等看法的董事會和首席執行官級別 的受訪者明顯更少��。例如�����,35% 的風險管理領導者預計保險支出將增 加 25% 或更多���;而只有 9% 的執行層領導預計這一增加水平���。 缺乏相關員工/人才被視為阻礙公司實施更正式和更嚴格的風險評估 方法的主要障礙之一。與此同時��,執行層領導最不可能預見網絡安全 人才招聘的增加���;只有 29% 的執行層領導預計這一領域會有任何增 長��,而有 57% 的風險經理和 46% 的網絡安全和 IT 領導者對此抱有 期望��。這是否代表各職能部門和領導者之間的溝通有誤���?如果是這樣��, 這又是一個將從企業級網絡風險管理方法中受益的領域���。
3.共擔責任可樹立對網絡復原力的信心
對于當今企業面臨的網絡風險,沒有一刀切的解決方案���。網絡安全 措施��、保險�����、數據和分析以及事件響應計劃全都發揮著重要作用。 但是��,讓這些和其他部分共同發揮作用的一個關鍵因素是在企業 內部建立網絡風險管理的一致性�����,從而培養共同責任���。所有利益相 關者��,包括風險經理���、財務部門���、網絡安全/IT 部門、執行層領導���,都 有可能通過更好地與更廣泛的企業建立聯系���,來獲得對組織網絡 安全狀況的信心。
(本文僅供參考��,不代表我們的任何投資建議���。如需使用相關信息���,請參閱報告原文。)
