互联网行业:网络复原力现状
AI智能总结
达信和Microsoft共同发布了一份新报告,旨在帮助所有部门的领导者协调并确定2022年及以后网络战略的优先事务。 目录 04 01 建立企业级网络风险管理的最佳实践 02 05 共担责任可树立对网络复原力的信心 06 前言 由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战,使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再。这是2022年达信和Microsoft网络风险调查(双方公司在过去四年中开展的第三次合作)的结果之一。 只有41%的组织让法务、企业规划、财务、运营或供应链管理等部门共同参与制定网络风险计划 令人不再抱有信心的一件事情是,大多数公司没有采用企业级的网络风险控制方法;这种方法的核心内容之一是在公司对自身网络复原力的真实情况作出关键决策的过程中,促进利益相关者之间的协作和统一。例如,所有涉及网络风险的部门都应参与网络事件管理,并在整个企业范围内分享网络见解,以恰当地解决公司网络安全的薄弱环节。 方法,并且发现只有41%的组织在制定网络风险计划时得到了法律、企业规划、财务、运营或供应链管理部门的参与。 在接下来的几页中,您将了解到公司网络领导者在寻求网络风险方面的共识时可以讨论的8个关键趋势。该报告还介绍了企业网络团队的角色和职责,以帮助他们了解彼此的需求、责任和观点。最后,我们分享了一些最佳实践,希望可以帮助企业调整自身行为以更有效地管理网络风险。 今年,我们的报告探讨了公司各职能部门和领导者(尤其是网络安全和IT、风险管理和保险、财务以及高管领导层)对网络风险的看法。 在此,我们特别感谢来自世界各地多个组织的650多名网络风险领导者,感谢他们百忙之中抽出宝贵时间分享自己对这一重要话题的想法。希望本报告能将您的整个组织凝聚在一起,并在您构建企业级的网络复原力方法时促进对话。 虽然所有这些职能部门在网络风险方面有着共同的利益,但我们发现他们往往独立行事,忽视了企业级的方法所能带来的潜在好处。我们的调查中反映了他们不同的网络风险管理观点和 执行摘要 网络风险普遍存在于大多数组织当中。员工或供应商从家中启动笔记本电脑会带来风险。将新产品连接到物联网的用户会引入风险。因担心网络威胁而决定不推出新产品是一种风险。诸如此类。应对此类风险需要在整个企业范围内采取统一的措施。 我们发现,在网络风险管理各领域的参与程度方面,存在角色和职责混乱不清问题。例如,风险管理和保险专业人士往往是网络事件管理团队的成员,但通常在讨论网络安全工具和服务时不在场。在网络保险决策方面,没有明确的领导者。此外,超过四分之一的风险经理和财务专业人士表示他们没有参与网络事件管理。 关键网络风险趋势 5.组织在从财务角度衡量网络风险方面较为滞后,这损害了其在企业内部有效传达网络威胁的能力。只有26%的受访者表示他们的组织采用财务手段来应对网络风险。6.尽管企业各项开支的优先级有所不同,但在降低网络风险方面的投资仍在继续增加。64%的受访者表示,网络风险投资不断增加的刺激因素是遭受了攻击。7.新技术需要不断地进行评估和监控,而不仅仅是在采用前的探索和测试期间。54%的公司表示,他们不会在实施阶段以外对新技术进行风险评估。8.公司采取了许多网络安全措施,但普遍忽视了他们的供应商/数字供应链。只有43%的受访者对其供应商/供应链进行了风险评估。 在分析2022年达信和Microsoft网络风险调查的回应时,我们发现了8个趋势: 1.网络特定的企业级目标—包括网络安全措施、保险、数据和分析以及事件响应计划)—应与构建网络复原力(而不是简单地预防事件)保持一致,因为每个组织都可能遭受网络攻击。73%的公司表示他们经历过网络攻击。2.勒索软件被认为是公司面临的首要网络威胁,但不是唯一的威胁。其他常见的威胁包括网络钓鱼/社会工程学攻击、隐私泄露以及由于外部供应商受到攻击而造成的业务中断。3.保险是网络风险管理战略的重要组成部分,并会影响最佳实践和控制措施的采用。61%的受访者表示他们的公司购买了某种类型的网络保险。4.采用更多的网络安全控制措施可提高网络卫生评级。只有3%的受访者将其公司的网络卫生级别评为优秀。 虽然这些回应反映出人们普遍希望增加网络风险方面的开支,但投资的具体领域因职能而异。厘清角色和明确决策权限是为了帮助组织最大限度地提高这些投资的效率。 最佳实践 网络风险管理的最佳实践方法涵盖了组织的各个角色。这包括投入和参与广泛、均衡且持续更新的一系列资源和活动,以缓解网络风险并增强网络复原力。但是,如果整个企业内部没有有效的沟通,即使是最佳的工具和活动也不可能充分发挥其潜力。 建立一支富有弹性的团队 了解企业中的专业人士如何看待自身在网络保险、网络事件管理、网络安全工具和服务等方面的角色非常重要。他们是否认为自己起到决策者的作用?是否作为整个团队的一员,并为决策提供意见?或者他们是否根本没有参与?这些答案将在很大程度上决定公司为了发展企业级网络复原力而需要采取的后续措施。 了解网络风险:当今需要了解的8个关键趋势 重要的网络复原力趋势 重要的是,整个组织中的领导者必须对整体网络风险趋势以及这些趋势如何影响他们的业务达成共识。对公司面临的风险问题达成共识有助于协调决策者和推动战略,并且也有助于向其他内部和外部利益相关者传达统一的信息。 与任何风险一样,网络趋势也会随着时间的推移而变化。以下是当今网络环境中的8个关键领域。 重要趋势1 网络特定的企业级目标应与构建网络复原力保持一致,因为每个组织都可能遭受网络攻击。 •收入名列前茅的公司往往会面临着更多的攻击-无论是在数量上,还是在种类上,85%的公司表示他们至少遭受过一次攻击,相比之下,只有68%的小型公司表示受到过攻击。 •从地区来看,拉丁美洲的企业最不可能报告受到过任何类型的网络攻击,尤其是隐私泄露。太平洋区域的企业比其他区域更有可能遭遇隐私泄露。 围绕网络风险,形成了一个值得重复提及的常理:如果您知道您的网络今天会被攻破,您现在会采取什么不同的做法?在我们的调查受访者当中,近四分之三的受访者表示,他们的组织在过去一年经历过一次或多次网络攻击,其中最常见的类型是网络钓鱼/社会工程学攻击和勒索软件。 75%的组织经历过网络攻击几乎 重要趋势2 勒索软件位居网络威胁之首 勒索软件被认为是公司面临的首要网络威胁,但不是唯一的威胁。 今天,许多关于网络风险的对话都会首先谈及无处不在的勒索软件。调查受访者将勒索软件列为其组织面临的首要网络风险,其中三分之一以上的受访者表示勒索软件是头号威胁,并且近四分之三的受访者将其排在前三位。 •许多组织认为,无限数量的漏洞导致勒索软件几乎无法抵御。这使人们深刻认识到发展具备网络复原力的组织的重要性。•风险管理和保险领域的专业人士更有可能将勒索软件视为攻击的关键驱动因素;而董事会和首席执行官级别的领导者不太可能持有这种观点。•超过半数的北美公司表示,向攻击者支付赎金的公司加剧了攻击事件的发生。 在全球范围内,勒索软件位居网络威胁之首,隐私泄露、供应商中断和网络钓鱼/社会工程学攻击紧随其后。撇开勒索软件不谈,各地区最关心的问题有所不同。例如,位于欧洲的组织可能更在意供应商/合作伙伴中断,位于亚洲的组织会对侵犯隐私问题表现出更大的担忧,而位于拉丁美洲的组织则更经常提到专有商业信息的丢失。 重要趋势3 保险被普遍视为网络风险管理战略的重要一环 保险是网络风险管理战略的重要组成部分,并会影响最佳实践和控制措施的采用。 自20世纪90年代末推出以来,网络保险已证明了其出色的网络攻击抵御成效。它已发展成为一种解决众多数字衍生风险的产品,能够按预期有效地支付索赔,这有助于公司在对其业务进行创新和数字化时更负责任、更全面地管理风险。此外,随着保险公司从理赔中汲取经验教训,并将承保要求的重点转移到可以减轻索赔的控制措施上,这也创造了非常有价值的反馈循环。 •在调查受访者中,61%的受访者表示他们的组织购买了某种类型的网络保险,比2019年的上次调查增加了近30%。作为抵御网络攻击所造成的潜在成本的一项保障,保险经常被视为整个网络风险策略的重要组成部分。•现在,由于各组织的潜在可保性已岌岌可危,因此采用某些控制措施已成为大多数保险公司的最低要求。据说,这对网络安全态势产生了积极影响,41%的受访者表示,保险公司的要求影响了其组织强化现有控制措施或采用新控制措施的决策。•虽然这些控制措施已被确立为最佳做法好几年了,但一些组织仍在努力采用,最常见的原因是他们无法证明成本的合理性,或者他们不理解或明白是否需要这些措施。 网络保险承保要求影响控制措施的采用 保险承保要求/网络安全控制措施对网络安全决策的影响 重要趋势4 的受访者表示,在家办公和远程办公最容易遭受网络攻击 66% 采用更多的网络安全控制措施可提高网络卫生评级。 寻求战略性地解决网络风险和提高网络卫生评级的组织应考虑采用网络安全专家认可的12项网络安全控制措施,以帮助预防、应对和尽量减轻网络攻击并尽快在遭受网络攻击后恢复。虽然这些控制措施已经建立了相当长的一段时间,但最近得到了更多的关注。一部分原因是勒索软件攻击的频率和严重程度持续上升,另一部分原因是保险公司认识到了某些控制措施对相应网络事件和索赔的影响。 电子邮件过滤和网络安全在十几种网络卫生控制措施中非常普遍 目前使用的网络安全控制措施 •使用全部或大部分12项网络安全控制措施的组织的网络卫生评级被评为“非常好”或“优秀”的可能性增加了近两倍。•大型公司通常领先于小型公司,并且更可能实施几乎所有的控制措施,即使在这种情况下,一些公司仍面临缺口。•与没有网络保险的公司相比,拥有网络保险的公司可能采取更多的措施来建立安全性并实施更严格的控制。 受访者如何评价其组织的整体“网络卫生”状况 23% 很好 优秀 重要趋势5 许多组织在从财务角度衡量网络风险方面存在滞后,这损害了他们在整个企业有效传达网络威胁的能力。 将网络风险纳入财务范畴对于构建企业级的网络风险管理方法至关重要。作为抵御网络风险的一部分,人们需要了解网络攻击和其他事件如何在短期和长期内造成财务波动。然而,大多数受访者表示,他们的组织在评估网络风险时没有采用财务措施。这会导致一些问题,例如:他们如何知道自己能承受多少风险或哪些风险?他们如何为其预留资金? •大型企业更可能使用正规方法评估网络风险敞口。•从地区来看,设在拉丁美洲和加勒比区域的组织更有可能使用定性评估方法。•在使用风险价值计算的26%组织当中,大多数(90%)在其计算中使用了业务中断,而超过一半的组织使用了个人数据失窃/隐私泄露、潜在的勒索软件要求和服务成本来帮助客户跟踪攻击。 采用财务方法将有益于衡量网络风险敞口 只有26%的受访者表示其组织使用财务措施来应对网络风险 重要趋势6 网络安全技术和缓解领域是最常增加投资的领域 未来12个月网络风险投资的预期变化 尽管企业各项开支的优先级有所不同,但在降低网络风险方面的投资仍在继续增加。 在全球范围内,大多数组织计划在下一年度增加网络安全技术、事件规划、员工培训、网络保险和网络咨询服务方面的开支。总体而言,网络风险领导者认识到需要对多项内部和外部资源进行投资,以增强整体网络复原力。然而,在组织内部,各部门和网络风险领导者对投资方向的想法往往不同。 •经历过网络事件是决定增加投资的主要推动因素。其他主要原因包括外部顾问的建议以及采用新技术/数字化转型。•近四分之一的组织表示,网络保险方面的开支将在2022年增加25%或更高。•风险管理/保险主管最常提及他们会优先考虑网络保险投资和招聘网络安全人员。•首席执行官/董事会级别的主管通常表示会在网络安全技术/缓解、员工培训以及网络安全事件规划和准备方面增加投资。•大型组织更有可能表示他们将使用投资来招聘网络安全人才并建立SOC能力。 重要趋势7 新技术应持续地(而不仅仅是在采用前的探索
