【达信&微软】互联网行业：网络复原力现状

由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再这是2022年达信和Microsoft网络风险调查(双方公司在过去四年中开展的第三次合作)的结果之一。

令人不再抱有信心的一件事情足,大多数公司没有采用企业级的网络风险控制方法;这种方法的核心内容之一是在公司对白身网络复原力的真实情况作出关键决策的过程中，侵进利益相关者之间的协作和统一。例如,所有涉及网络风险的部门都皮参与网络事件管理,并在整个企业范由内分享网络见解，以怡当地解决公司网络安全的薄弱环节。

今年,我们的报告探讨了公司各职能部门和领导者(尤其是网络安全和IT、风险管理和保险、财务以及高管领导层)对网络风险的看法。

虽然所有这些职能部门在网络风险方面有着共回的利益，但我们发现他们往往独立行事，忽视了企业级的方法所能带来的君在好处。我们的调查中反映了他们不同的网络风险管理观点和方法，并且发现只有41%的组织在制定网络风险计划时得到了法律、企业规划、财务、运营或供应链管理部门的参与。

在接下来的几页中,您将了解到公司网络领导者在寻求网络风险方百的共说时可以讨论的8个美键如劳。该报告还介绍了企业网络团队的角色和职责，以帮助他们了解彼此的需求、责任和观点。最后,我们分享了一些最佳实钱,希望可以帮助企业调整自身行为以更有效地管理网络风险。

在此,我们特别感谢来白世界各地多个组织的650多名网络凤险领导者,感谢他们百忙之中抽出宝责时间分享自己对这一重要话题的想法。希望本报告能将您的整个组织疑聚在一起并在您构建企业圾的网塔复原力方法时促进对话。

网络风险普遍存在于大多数组织当中。员工或供应商从家中启动笔记本电脑会带来风险。将新产品连接到物联网的用户会引入风险。因担心网络威胁而决定不推出新产品是一种风险。诸如此类。应对此类风险需要在整个企业范围内采取统一的措施。

关键网络风险趋势

在分析2022年达信和Microsoft网络风险调查的回应时，我们发现了8个趋势：

1.网络特定的企业级目标—包括网络安全措施、保险、数据和分析以及事件响应计划）—应与构建网络复原力（而不是简单地预防事件）保持一致，因为每个组织都可能遭受网络攻击。73%的公司表示他们经历过网络攻击。

2.勒索软件被认为是公司面临的首要网络威胁，但不是唯一的威胁。其他常见的威胁包括网络钓鱼/社会工程学攻击、隐私泄露以及由于外部供应商受到攻击而造成的业务中断。

3.保险是网络风险管理战略的重要组成部分，并会影响最佳实践和控制措施的采用。61%的受访者表示他们的公司购买了某种类型的网络保险。

4.采用更多的网络安全控制措施可提高网络卫生评级。只有3%的受访者将其公司的网络卫生级别评为优秀。

5.组织在从财务角度衡量网络风险方面较为滞后，这损害了其在企业内部有效传达网络威胁的能力。只有26%的受访者表示他们的组织采用财务手段来应对网络风险。

6.尽管企业各项开支的优先级有所不同，但在降低网络风险方面的投资仍在继续增加。64%的受访者表示，网络风险投资不断增加的刺激因素是遭受了攻击。

7.新技术需要不断地进行评估和监控，而不仅仅是在采用前的探索和测试期间。54%的公司表示，他们不会在实施阶段以外对新技术进行风险评估。

8.公司采取了许多网络安全措施，但普遍忽视了他们的供应商/数字供应链。只有43%的受访者对其供应商/供应链进行了风险评估。

建立一支富有弹性的团队

了解企业中的专业人士如何看待自身在网络保险、网络事件管理、网络安全工具和服务等方面的角色非常重要。他们是否认为自己起到决策者的作用？是否作为整个团队的一员，并为决策提供意见？或者他们是否根本没有参与？这些答案将在很大程度上决定公司为了发展企业级网络复原力而需要采取的后续措施。

我们发现，在网络风险管理各领域的参与程度方面，存在角色和职责混乱不清问题。例如，风险管理和保险专业人士往往是网络事件管理团队的成员，但通常在讨论网络安全工具和服务时不在场。在网络保险决策方面，没有明确的领导者。此外，超过四分之一的风险经理和财务专业人士表示他们没有参与网络事件管理。

虽然这些回应反映出人们普遍希望增加网络风险方面的开支，但投资的具体领域因职能而异。厘清角色和明确决策权限是为了帮助组织最大限度地提高这些投资的效率。

最佳实践

网络风险管理的最佳实践方法涵盖了组织的各个角色。这包括投入和参与广泛、均衡且持续更新的一系列资源和活动，以缓解网络风险并增强网络复原力。但是，如果整个企业内部没有有效的沟通，即使是最佳的工具和活动也不可能充分发挥其潜力。