由達(dá)信�、Microsoft發(fā)布了《網(wǎng)絡(luò)復(fù)原力現(xiàn)狀》這篇報(bào)告��。以下是對(duì)該報(bào)告的部分摘錄,完整內(nèi)容請(qǐng)獲取原文查看��。由于近三年所經(jīng)歷的職場(chǎng)受到重創(chuàng)�、數(shù)字化轉(zhuǎn)型和勒索軟件攻擊等挑戰(zhàn)��,使得大多數(shù)領(lǐng)導(dǎo)者對(duì)自身管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力相比兩年前明顯信心不再����。
(資料圖)
1.了解網(wǎng)絡(luò)風(fēng)險(xiǎn):當(dāng)今需要了解的關(guān)鍵趨勢(shì)
重要的是,整個(gè)組織中的領(lǐng)導(dǎo)者必須對(duì)整體網(wǎng)絡(luò)風(fēng)險(xiǎn) 趨勢(shì)以及這些趨勢(shì)如何影響他們的業(yè)務(wù)達(dá)成共識(shí)�。 對(duì)公司面臨的風(fēng)險(xiǎn)問(wèn)題達(dá)成共識(shí)有助于協(xié)調(diào)決策者 和推動(dòng)戰(zhàn)略����,并且也有助于向其他內(nèi)部和外部利益 相關(guān)者傳達(dá)統(tǒng)一的信息�。 與任何風(fēng)險(xiǎn)一樣,網(wǎng)絡(luò)趨勢(shì)也會(huì)隨著時(shí)間的推移 而變化��。以下是當(dāng)今網(wǎng)絡(luò)環(huán)境中的 8 個(gè)關(guān)鍵領(lǐng)域�。
重要趨勢(shì) 1:網(wǎng)絡(luò)特定的企業(yè)級(jí)目標(biāo)應(yīng)與構(gòu)建網(wǎng)絡(luò)復(fù)原力保持一致�,因?yàn)槊總€(gè)組織都 可能遭受網(wǎng)絡(luò)攻擊。 圍繞網(wǎng)絡(luò)風(fēng)險(xiǎn)�,形成了一個(gè)值得重復(fù)提及的常理:如果您知道您的網(wǎng)絡(luò)今天會(huì)被攻破��,您現(xiàn)在會(huì)采取什 么不同的做法?在我們的調(diào)查受訪者當(dāng)中����,近四分之三的受訪者表示��,他們的組織在過(guò)去一年經(jīng)歷過(guò)一 次或多次網(wǎng)絡(luò)攻擊,其中最常見(jiàn)的類型是網(wǎng)絡(luò)釣魚/社會(huì)工程學(xué)攻擊和勒索軟件。
收入名列前茅的公司往往會(huì)面臨著更多的攻擊 - 無(wú)論是在數(shù)量上,還是在種類上��,85% 的公司表示 他們至少遭受過(guò)一次攻擊��,相比之下��,只有 68% 的小型公司表示受到過(guò)攻擊。 從地區(qū)來(lái)看����,拉丁美洲的企業(yè)最不可能報(bào)告受到過(guò)任何類型的網(wǎng)絡(luò)攻擊����,尤其是隱私泄露�。太平洋區(qū) 域的企業(yè)比其他區(qū)域更有可能遭遇隱私泄露。
重要趨勢(shì) 2:勒索軟件被認(rèn)為是公司面臨的首要網(wǎng)絡(luò)威脅�,但不是唯一的威脅�。 今天����,許多關(guān)于網(wǎng)絡(luò)風(fēng)險(xiǎn)的對(duì)話都會(huì)首先談及無(wú)處不在的勒索軟件。調(diào)查受訪者將勒索軟件列為其組織 面臨的首要網(wǎng)絡(luò)風(fēng)險(xiǎn)�,其中三分之一以上的受訪者表示勒索軟件是頭號(hào)威脅����,并且近四分之三的受訪者 將其排在前三位����。 許多組織認(rèn)為�,無(wú)限數(shù)量的漏洞導(dǎo)致勒索軟件幾乎無(wú)法抵御。這使人們深刻認(rèn)識(shí)到發(fā)展具備網(wǎng)絡(luò)復(fù) 原力的組織的重要性����。風(fēng)險(xiǎn)管理和保險(xiǎn)領(lǐng)域的專業(yè)人士更有可能將勒索軟件視為攻擊的關(guān)鍵驅(qū)動(dòng)因素��;而董事會(huì)和首席執(zhí) 行官級(jí)別的領(lǐng)導(dǎo)者不太可能持有這種觀點(diǎn)。
超過(guò)半數(shù)的北美公司表示��,向攻擊者支付贖金的公司加劇了攻擊事件的發(fā)生����。 在全球范圍內(nèi),勒索軟件位居網(wǎng)絡(luò)威脅之首,隱私泄露����、供應(yīng)商中斷和網(wǎng)絡(luò)釣魚/社會(huì)工程學(xué)攻擊緊隨其 后�。撇開勒索軟件不談�,各地區(qū)最關(guān)心的問(wèn)題有所不同。例如,位于歐洲的組織可能更在意供應(yīng)商/合作 伙伴中斷�,位于亞洲的組織會(huì)對(duì)侵犯隱私問(wèn)題表現(xiàn)出更大的擔(dān)憂����,而位于拉丁美洲的組織則更經(jīng)常提到 專有商業(yè)信息的丟失��。
重要趨勢(shì) 3:保險(xiǎn)是網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略的重要組成部分��,并會(huì)影響最佳實(shí)踐和控 制措施的采用��。 自 20 世紀(jì) 90 年代末推出以來(lái),網(wǎng)絡(luò)保險(xiǎn)已證明了其出色的網(wǎng)絡(luò)攻擊抵御成效。它已發(fā)展成為 一種解決眾多數(shù)字衍生風(fēng)險(xiǎn)的產(chǎn)品����,能夠按預(yù)期有效地支付索賠��,這有助于公司在對(duì)其業(yè)務(wù)進(jìn)行 創(chuàng)新和數(shù)字化時(shí)更負(fù)責(zé)任、更全面地管理風(fēng)險(xiǎn)。此外�,隨著保險(xiǎn)公司從理賠中汲取經(jīng)驗(yàn)教訓(xùn)��,并將 承保要求的重點(diǎn)轉(zhuǎn)移到可以減輕索賠的控制措施上��,這也創(chuàng)造了非常有價(jià)值的反饋循環(huán)��。
在調(diào)查受訪者中, 61% 的受訪者表示他們的組織購(gòu)買了某種類型的網(wǎng)絡(luò)保險(xiǎn)��,比 2019 年的 上次調(diào)查增加了近 30%�。作為抵御網(wǎng)絡(luò)攻擊所造成的潛在成本的一項(xiàng)保障,保險(xiǎn)經(jīng)常被視為 整個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)策略的重要組成部分����。
現(xiàn)在����,由于各組織的潛在可保性已岌岌可危�,因此采用某些控制措施已成為大多數(shù)保險(xiǎn)公司 的最低要求。據(jù)說(shuō)��,這對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)產(chǎn)生了積極影響��,41% 的受訪者表示����,保險(xiǎn)公司的要求 影響了其組織強(qiáng)化現(xiàn)有控制措施或采用新控制措施的決策����。 雖然這些控制措施已被確立為最佳做法好幾年了,但一些組織仍在努力采用����,最常見(jiàn)的原因 是他們無(wú)法證明成本的合理性��,或者他們不理解或明白是否需要這些措施。
2.建立企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)團(tuán)隊(duì)
了解不同角色�、責(zé)任和看法將增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)復(fù)原力�。 企業(yè)中的專業(yè)人士如何看待他們?cè)诰W(wǎng)絡(luò)保險(xiǎn)����、網(wǎng)絡(luò)事件管理以及網(wǎng)絡(luò)安全工具和 服務(wù)中的角色�?他們是否認(rèn)為自己起到?jīng)Q策者的作用?是否作為整個(gè)團(tuán)隊(duì)的一員, 并為決策提供意見(jiàn)�?或者他們是否根本就沒(méi)有參與��? 根據(jù)我們對(duì)受訪者的調(diào)查結(jié)果,IT/網(wǎng)絡(luò)安全專業(yè)人士是參與人數(shù)最多的一項(xiàng)����。 在超過(guò) 90% 的回答中����,他們?cè)谌齻€(gè)領(lǐng)域中要么是決策者要么是團(tuán)隊(duì)成員�,并 且“不參與”的總體人數(shù)最少。他們也最有可能將自己視為網(wǎng)絡(luò)事件管理和網(wǎng) 絡(luò)安全工具和服務(wù)的決策者��。
董事會(huì)/首席執(zhí)行官/總裁受訪者最有可能將自己視為網(wǎng)絡(luò)保險(xiǎn)的最終決策 者����,其次是風(fēng)險(xiǎn)管理和財(cái)務(wù)的最終決策者。有趣的是��,90% 的風(fēng)險(xiǎn)經(jīng)理受訪者稱制定了網(wǎng)絡(luò)事件響應(yīng)計(jì)劃����,而只有 60% 的執(zhí)行層領(lǐng)導(dǎo)表示如此。導(dǎo)致如此低比例的執(zhí)行層領(lǐng)導(dǎo)回答����,與其說(shuō)是缺乏實(shí) 際計(jì)劃�,倒不如說(shuō)是缺乏與網(wǎng)絡(luò)風(fēng)險(xiǎn)管理負(fù)責(zé)人的接觸�。 網(wǎng)絡(luò)保險(xiǎn)決策顯示,最高級(jí)別的受訪者表示他們是團(tuán)隊(duì)的一員。 與其他領(lǐng)域相比����,在網(wǎng)絡(luò)安全工具和服務(wù)領(lǐng)域中��,企業(yè)內(nèi)部專業(yè)人士的協(xié)作水 平最低�。
對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略的信心相對(duì)較低�。 對(duì)一個(gè)組織評(píng)估����、衡量、緩解和響應(yīng)網(wǎng)絡(luò)威脅的能力的信心仍然較低�,相比在 2019 年達(dá)信和微軟網(wǎng)絡(luò)調(diào)查中收集的調(diào)查回復(fù)����,沒(méi)有看到任何實(shí)質(zhì)性的變化����,2019 年和 2022 年都是只有 19% 的受訪者表示他們 對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理非常有信心?�?傮w而言��,與部門領(lǐng)導(dǎo)相比�,執(zhí)行層領(lǐng)導(dǎo)對(duì)這些領(lǐng)域的信心最低����。例如,對(duì)于組織管理和響應(yīng)網(wǎng)絡(luò)攻擊的能力,只有 9% 的執(zhí)行層領(lǐng)導(dǎo)表示他們非常有信心��,而有 19% 部門領(lǐng)導(dǎo)這樣 認(rèn)為����。這些不同的看法很可能會(huì)影響作為網(wǎng)絡(luò)風(fēng)險(xiǎn)戰(zhàn)略一部分的資源最終部署位置。
執(zhí)行層領(lǐng)導(dǎo)和部門領(lǐng)導(dǎo)都對(duì)組織了解和評(píng)估網(wǎng)絡(luò)威脅的能力表現(xiàn)出最高的信心。這反映了對(duì)有關(guān)社會(huì)大部分領(lǐng)域經(jīng)歷的網(wǎng)絡(luò)風(fēng)險(xiǎn)的信息的掌握日益增多��。 最大的觀點(diǎn)差距也與管理和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力有關(guān)��,近三分之一的執(zhí)行層領(lǐng)導(dǎo)表示他們沒(méi)有信心�,而有 18% 的部門領(lǐng)導(dǎo)這樣認(rèn)為����。更有效的跨企業(yè)溝通有可能彌補(bǔ)這種差距。隨著信息在各職能部門之間共 享����,可能會(huì)更有效地協(xié)調(diào)組織的能力以及在哪里進(jìn)行投資。
隨著網(wǎng)絡(luò)投資的增加,需要采取跨企業(yè)戰(zhàn)略。 與 2019 年相比,各組織角色對(duì)于增加網(wǎng)絡(luò)風(fēng)險(xiǎn)管理資源和能力投資的 必要性達(dá)成了廣泛共識(shí)����。極少數(shù)受訪者預(yù)計(jì)投資將會(huì)減少����,超過(guò)半數(shù)的 受訪者表示大部分領(lǐng)域可能會(huì)出現(xiàn)一定程度的增長(zhǎng)����。與大多數(shù)預(yù)算決策 一樣,決定在哪里投資可能是一項(xiàng)復(fù)雜��、耗時(shí)的事情����。在企業(yè)內(nèi)共享網(wǎng)絡(luò) 風(fēng)險(xiǎn)專業(yè)知識(shí)的組織可能會(huì)發(fā)現(xiàn)任務(wù)更有效和高效。 預(yù)計(jì)擔(dān)任不同職位����、處于不同部門的網(wǎng)絡(luò)風(fēng)險(xiǎn)領(lǐng)導(dǎo)者可能會(huì)為未來(lái) 投資制定各種計(jì)劃和優(yōu)先事項(xiàng)��。IT 和網(wǎng)絡(luò)安全受訪者更有可能計(jì)劃 在網(wǎng)絡(luò)安全技術(shù)方面增加支出;而持同等看法的財(cái)務(wù)和采購(gòu)職位的受 訪者更少�。
風(fēng)險(xiǎn)管理和保險(xiǎn)領(lǐng)導(dǎo)者更有可能預(yù)計(jì)在網(wǎng)絡(luò)保險(xiǎn)和招聘更多網(wǎng)絡(luò)安 全專業(yè)人士方面增加支出����;而持同等看法的董事會(huì)和首席執(zhí)行官級(jí)別 的受訪者明顯更少��。例如��,35% 的風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者預(yù)計(jì)保險(xiǎn)支出將增 加 25% 或更多;而只有 9% 的執(zhí)行層領(lǐng)導(dǎo)預(yù)計(jì)這一增加水平。 缺乏相關(guān)員工/人才被視為阻礙公司實(shí)施更正式和更嚴(yán)格的風(fēng)險(xiǎn)評(píng)估 方法的主要障礙之一����。與此同時(shí)�,執(zhí)行層領(lǐng)導(dǎo)最不可能預(yù)見(jiàn)網(wǎng)絡(luò)安全 人才招聘的增加�;只有 29% 的執(zhí)行層領(lǐng)導(dǎo)預(yù)計(jì)這一領(lǐng)域會(huì)有任何增 長(zhǎng),而有 57% 的風(fēng)險(xiǎn)經(jīng)理和 46% 的網(wǎng)絡(luò)安全和 IT 領(lǐng)導(dǎo)者對(duì)此抱有 期望����。這是否代表各職能部門和領(lǐng)導(dǎo)者之間的溝通有誤�?如果是這樣����, 這又是一個(gè)將從企業(yè)級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法中受益的領(lǐng)域。
3.共擔(dān)責(zé)任可樹立對(duì)網(wǎng)絡(luò)復(fù)原力的信心
對(duì)于當(dāng)今企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)��,沒(méi)有一刀切的解決方案��。網(wǎng)絡(luò)安全 措施����、保險(xiǎn)����、數(shù)據(jù)和分析以及事件響應(yīng)計(jì)劃全都發(fā)揮著重要作用。 但是����,讓這些和其他部分共同發(fā)揮作用的一個(gè)關(guān)鍵因素是在企業(yè) 內(nèi)部建立網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的一致性��,從而培養(yǎng)共同責(zé)任。所有利益相 關(guān)者�,包括風(fēng)險(xiǎn)經(jīng)理��、財(cái)務(wù)部門、網(wǎng)絡(luò)安全/IT 部門��、執(zhí)行層領(lǐng)導(dǎo)�,都 有可能通過(guò)更好地與更廣泛的企業(yè)建立聯(lián)系,來(lái)獲得對(duì)組織網(wǎng)絡(luò) 安全狀況的信心��。
(本文僅供參考��,不代表我們的任何投資建議。如需使用相關(guān)信息����,請(qǐng)參閱報(bào)告原文�。)
