由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战,使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再。这是2022年达信和Microsoft网络风险调查(双方公司在过去四年中开
展的第三次合作)的结果之一。
令人不再抱有信心的一件事情是,大多数公司没有采用企业级的网络风险控制方法;这种方法的核心内容之一是在公司对自身网络复原力的真实情况作出关键决策的过程中,促进利益相关者之间的协作和统一。例如,所有涉及网络风险的部门都应参与网络事件管理,并在整个企业范围内分享网络见解,以恰当地解决公司网络安全的薄弱环节。
今年,我们的报告探讨了公司各职能部门和领导者(尤其是网络安全和IT、风险管理和保险、财务以及高管领导层)对网络风险的看法。
虽然所有这些职能部门在网络风险方面有着共同的利益,但我们发现他们往往独立行事,忽视了企业级的方法所能带来的潜在好处。我们的调查中反映了他们不同的网络风险管理观点和
方法,并且发现只有41%的组织在制定网络风险计划时得到了法律、企业规划、财务、运营或供应链管理部门的参与。
在接下来的几页中,您将了解到公司网络领导者在导求网络风险方面的共识时可以讨论的8个关键趋势。该报告还介绍了企业网络团队的角色和职责,以帮助他们了解彼此的需求、责任和观点。最后,我们分享了一些最佳实践,希望可以帮助企业调整自身行为以更有效地管理网络风险。
在此。我们特别感谢来自世界各地多个组织的650多名网络风险倾导者,感谢他们百忙之中抽出宝贵时间分享自己对这一重要话题的想法。希望本报告能将您的整个组织凝聚在一起,并在您构建企业级的网络复原力方法时促进对话。
由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战,使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再。这是2022年达信和Microsoft网络风险调查(双方公司在过去四年中开
展的第三次合作)的结果之一。
令人不再抱有信心的一件事情是,大多数公司没有采用企业级的网络风险控制方法;这种方法的核心内容之一是在公司对自身网络复原力的真实情况作出关键决策的过程中,促进利益相关者之间的协作和统一。例如,所有涉及网络风险的部门都应参与网络事件管理,并在整个企业范围内分享网络见解,以恰当地解决公司网络安全的薄弱环节。
今年,我们的报告探讨了公司各职能部门和领导者(尤其是网络安全和IT、风险管理和保险、财务以及高管领导层)对网络风险的看法。
虽然所有这些职能部门在网络风险方面有着共同的利益,但我们发现他们往往独立行事,忽视了企业级的方法所能带来的潜在好处。我们的调查中反映了他们不同的网络风险管理观点和
方法,并且发现只有41%的组织在制定网络风险计划时得到了法律、企业规划、财务、运营或供应链管理部门的参与。
在接下来的几页中,您将了解到公司网络领导者在导求网络风险方面的共识时可以讨论的8个关键趋势。该报告还介绍了企业网络团队的角色和职责,以帮助他们了解彼此的需求、责任和观点。最后,我们分享了一些最佳实践,希望可以帮助企业调整自身行为以更有效地管理网络风险。
在此。我们特别感谢来自世界各地多个组织的650多名网络风险倾导者,感谢他们百忙之中抽出宝贵时间分享自己对这一重要话题的想法。希望本报告能将您的整个组织凝聚在一起,并在您构建企业级的网络复原力方法时促进对话。
网络风险普遍存在于大多数组织当中。员工或供应商从家中启动笔记本电脑会带来风险。将新产品连接到物联网的用户会引入风险。因担心网络威胁而决定不推出新产品是一种风险。诸如此类。应对此类风险需要在整个企业范围内采取统一的措施。
关键网络风险趋势
5.细织在从财务角度衡量网络风险方面较为沸后,这损害了其在企业内部有效传达网络威胁的能力。只有26%的受访者表示他们的组织采用财务手段来应对网络风险。
我们发现,在网络风险管理各领域的参与程度方面,存在角色和职责混乱不清问题。例如,风险管理和保险专业人土往往是网络事件管理团队的成员,但通常在讨论网络安全工具和服务时不在场。在网络保险决策方面,没有明确的领导者。此外,超过四分之一的风险经理和财务专业人土表示他们没有参与网络事件管理。
在分析2022年达信和Micrasoft网络风险调查的回应时,我们发现了8个趋势:
6.尽管企业各项开支的优先级有所不同,但在降低网络风险方面的投资仍在继绩增加。64%的受访者表示,网络风险投资不断增加的啊敢因素是遭受了攻击。
1.网络特定的企业级目标一包括网络安全措施、保险、数据和分析以及事件响应计划)一应与构建网络复原力而不是简单地预防事件)保持一致,因为每个组织都可能遭受网络攻击。73%的公司表示他们经历过网络攻击。
虽然这些回应反映出人们普遍希望增加网络风险方面的开支,但投资的具体领域因职能而异。厘清角色和明确决策权限是为了帮助组织最大限度地提高这些投资的效率。
7.新技术需要不断地进行评估和监控,而不仅仅是在采用前的探素和测试期间。54%的公司表示,他们不会在实施阶段以外对新技术进行风险评估。
2.勒素软件被认为是公司面临的首要网络威胁,但不是唯一的威胁。其他常见的威胁包括网络约鱼/社会工程学攻击,隐私潜露以及由于外部供应商受到收击而造成的业务中断。
最佳实践
8.公司采取了许多网络安全措施,但普遍忽视了他们的供应商/数字供应链。只有43%的受访者对其供应商/供应链进行了风险评估。
网络风险管里的最信实践方法涵盖了组织的各个角色。这包括投入和参与广泛、均衡且持续更新的一系列资源和活动,以缓解网络风险并增强网络复原力,但是,如果整个企业内部没有有效的沟通,即使是最佳的工具和活动也不可能充分发挥其潜力。
3.保险是网络风险管理战略的重要组成部分,井会影响最佳实践和控制措施的采用。61%的受访者表示他们的公司购买了某种类型的网络保险。
建立一支富有弹性的团队
4.采用更多的网络安全控措施可提高网络卫生评级。只有3%的受访者将其公司的网络卫生级别评为优秀。
了解企业中的专业人士如何看待自身在网络保险,网络事件管理、网络安全工具和服务等方面的角色非常重要。他们是否认为自己起到决策者的作用?是否作为整个团队的一员,井为决策提供意见?或者他们是否根本没有参与?这些答案择在很大程度上决定公司为了发展企业级网络复原力而需要采取的后续措施。
重要的是,整个组织中的领导者必须对整体网络风险趋势以及这些趋势如何影响他们的业务达成共识。对公司面临的风险问题达成共识有助于协调决策者和推动战略,并且也有助于向其他内部和外部利益相关者传达统一的信息。
与任何风险一样,网络趋势也会随着时间的推移而变化。以下是当今网络环境中的8个关键领域。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入查阅下载3万+精选资料,年享1万+精选更新
(星球内含更多未发布精选报告.其它事宜可联系zzxz_88@163.com)
