网络复原力现状

2023-08-29 12:19:30 来源:达信、Microsoft

由达信、Microsoft发布了《网络复原力现状》这篇报告。以下是对该报告的部分摘录,完整内容请获取原文查看。由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战,使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再。


(资料图)

1.了解网络风险:当今需要了解的关键趋势

重要的是,整个组织中的领导者必须对整体网络风险 趋势以及这些趋势如何影响他们的业务达成共识。 对公司面临的风险问题达成共识有助于协调决策者 和推动战略,并且也有助于向其他内部和外部利益 相关者传达统一的信息。 与任何风险一样,网络趋势也会随着时间的推移 而变化。以下是当今网络环境中的 8 个关键领域。

重要趋势 1:网络特定的企业级目标应与构建网络复原力保持一致,因为每个组织都 可能遭受网络攻击。 围绕网络风险,形成了一个值得重复提及的常理:如果您知道您的网络今天会被攻破,您现在会采取什 么不同的做法?在我们的调查受访者当中,近四分之三的受访者表示,他们的组织在过去一年经历过一 次或多次网络攻击,其中最常见的类型是网络钓鱼/社会工程学攻击和勒索软件。

收入名列前茅的公司往往会面临着更多的攻击 - 无论是在数量上,还是在种类上,85% 的公司表示 他们至少遭受过一次攻击,相比之下,只有 68% 的小型公司表示受到过攻击。 从地区来看,拉丁美洲的企业最不可能报告受到过任何类型的网络攻击,尤其是隐私泄露。太平洋区 域的企业比其他区域更有可能遭遇隐私泄露。

重要趋势 2:勒索软件被认为是公司面临的首要网络威胁,但不是唯一的威胁。 今天,许多关于网络风险的对话都会首先谈及无处不在的勒索软件。调查受访者将勒索软件列为其组织 面临的首要网络风险,其中三分之一以上的受访者表示勒索软件是头号威胁,并且近四分之三的受访者 将其排在前三位。 许多组织认为,无限数量的漏洞导致勒索软件几乎无法抵御。这使人们深刻认识到发展具备网络复 原力的组织的重要性。风险管理和保险领域的专业人士更有可能将勒索软件视为攻击的关键驱动因素;而董事会和首席执 行官级别的领导者不太可能持有这种观点。

超过半数的北美公司表示,向攻击者支付赎金的公司加剧了攻击事件的发生。 在全球范围内,勒索软件位居网络威胁之首,隐私泄露、供应商中断和网络钓鱼/社会工程学攻击紧随其 后。撇开勒索软件不谈,各地区最关心的问题有所不同。例如,位于欧洲的组织可能更在意供应商/合作 伙伴中断,位于亚洲的组织会对侵犯隐私问题表现出更大的担忧,而位于拉丁美洲的组织则更经常提到 专有商业信息的丢失。

重要趋势 3:保险是网络风险管理战略的重要组成部分,并会影响最佳实践和控 制措施的采用。 自 20 世纪 90 年代末推出以来,网络保险已证明了其出色的网络攻击抵御成效。它已发展成为 一种解决众多数字衍生风险的产品,能够按预期有效地支付索赔,这有助于公司在对其业务进行 创新和数字化时更负责任、更全面地管理风险。此外,随着保险公司从理赔中汲取经验教训,并将 承保要求的重点转移到可以减轻索赔的控制措施上,这也创造了非常有价值的反馈循环。

在调查受访者中, 61% 的受访者表示他们的组织购买了某种类型的网络保险,比 2019 年的 上次调查增加了近 30%。作为抵御网络攻击所造成的潜在成本的一项保障,保险经常被视为 整个网络风险策略的重要组成部分。

现在,由于各组织的潜在可保性已岌岌可危,因此采用某些控制措施已成为大多数保险公司 的最低要求。据说,这对网络安全态势产生了积极影响,41% 的受访者表示,保险公司的要求 影响了其组织强化现有控制措施或采用新控制措施的决策。 虽然这些控制措施已被确立为最佳做法好几年了,但一些组织仍在努力采用,最常见的原因 是他们无法证明成本的合理性,或者他们不理解或明白是否需要这些措施。

2.建立企业的网络风险团队

了解不同角色、责任和看法将增强网络风险复原力。 企业中的专业人士如何看待他们在网络保险、网络事件管理以及网络安全工具和 服务中的角色?他们是否认为自己起到决策者的作用?是否作为整个团队的一员, 并为决策提供意见?或者他们是否根本就没有参与? 根据我们对受访者的调查结果,IT/网络安全专业人士是参与人数最多的一项。 在超过 90% 的回答中,他们在三个领域中要么是决策者要么是团队成员,并 且“不参与”的总体人数最少。他们也最有可能将自己视为网络事件管理和网 络安全工具和服务的决策者。

董事会/首席执行官/总裁受访者最有可能将自己视为网络保险的最终决策 者,其次是风险管理和财务的最终决策者。有趣的是,90% 的风险经理受访者称制定了网络事件响应计划,而只有 60% 的执行层领导表示如此。导致如此低比例的执行层领导回答,与其说是缺乏实 际计划,倒不如说是缺乏与网络风险管理负责人的接触。 网络保险决策显示,最高级别的受访者表示他们是团队的一员。 与其他领域相比,在网络安全工具和服务领域中,企业内部专业人士的协作水 平最低。

对网络风险管理战略的信心相对较低。 对一个组织评估、衡量、缓解和响应网络威胁的能力的信心仍然较低,相比在 2019 年达信和微软网络调查中收集的调查回复,没有看到任何实质性的变化,2019 年和 2022 年都是只有 19% 的受访者表示他们 对网络风险管理非常有信心。总体而言,与部门领导相比,执行层领导对这些领域的信心最低。例如,对于组织管理和响应网络攻击的能力,只有 9% 的执行层领导表示他们非常有信心,而有 19% 部门领导这样 认为。这些不同的看法很可能会影响作为网络风险战略一部分的资源最终部署位置。

执行层领导和部门领导都对组织了解和评估网络威胁的能力表现出最高的信心。这反映了对有关社会大部分领域经历的网络风险的信息的掌握日益增多。 最大的观点差距也与管理和应对网络攻击的能力有关,近三分之一的执行层领导表示他们没有信心,而有 18% 的部门领导这样认为。更有效的跨企业沟通有可能弥补这种差距。随着信息在各职能部门之间共 享,可能会更有效地协调组织的能力以及在哪里进行投资。

随着网络投资的增加,需要采取跨企业战略。 与 2019 年相比,各组织角色对于增加网络风险管理资源和能力投资的 必要性达成了广泛共识。极少数受访者预计投资将会减少,超过半数的 受访者表示大部分领域可能会出现一定程度的增长。与大多数预算决策 一样,决定在哪里投资可能是一项复杂、耗时的事情。在企业内共享网络 风险专业知识的组织可能会发现任务更有效和高效。 预计担任不同职位、处于不同部门的网络风险领导者可能会为未来 投资制定各种计划和优先事项。IT 和网络安全受访者更有可能计划 在网络安全技术方面增加支出;而持同等看法的财务和采购职位的受 访者更少。

风险管理和保险领导者更有可能预计在网络保险和招聘更多网络安 全专业人士方面增加支出;而持同等看法的董事会和首席执行官级别 的受访者明显更少。例如,35% 的风险管理领导者预计保险支出将增 加 25% 或更多;而只有 9% 的执行层领导预计这一增加水平。 缺乏相关员工/人才被视为阻碍公司实施更正式和更严格的风险评估 方法的主要障碍之一。与此同时,执行层领导最不可能预见网络安全 人才招聘的增加;只有 29% 的执行层领导预计这一领域会有任何增 长,而有 57% 的风险经理和 46% 的网络安全和 IT 领导者对此抱有 期望。这是否代表各职能部门和领导者之间的沟通有误?如果是这样, 这又是一个将从企业级网络风险管理方法中受益的领域。

3.共担责任可树立对网络复原力的信心

对于当今企业面临的网络风险,没有一刀切的解决方案。网络安全 措施、保险、数据和分析以及事件响应计划全都发挥着重要作用。 但是,让这些和其他部分共同发挥作用的一个关键因素是在企业 内部建立网络风险管理的一致性,从而培养共同责任。所有利益相 关者,包括风险经理、财务部门、网络安全/IT 部门、执行层领导,都 有可能通过更好地与更广泛的企业建立联系,来获得对组织网络 安全状况的信心。

(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)

关键词:

Copyright @  2015-2022 中南网版权所有 关于我们 备案号: 浙ICP备2022016517号-4   联系邮箱:514 676 113@qq.com