企业需要意识到网络风险的严重性,但往往缺乏建立弹性的应对措施。在一项针对22个国家2200多家组织的全球研究中,NTTSecurity的“2019年风险:价值研究结果”调查报告发现,网络攻击(43%)、数据丢失或被盗(37%)和对关键基础设施的攻击(35%),尤其是针对电信和能源网络,是受访者最关心的问题。受访者认为,与贸易壁垒和环境污染、恐怖主义等其他重要的全球性问题相比,这些威胁在未来12个月内对企业构成的风险更大。幸运的是,企业对加强网络安全的必要性的认识正在增强,84%的受访者认为强大的信息安全和保护数据完整性与业务连续性一样重要,甚至比收入增长更重要。90%的受访者表示,强大的网络安全将有利于他们的组织。缺少网络安全政策和事件响应计划然而,许多企业都在努力维持基本的安全水平。只有58%的组织拥有正式的安全策略,但只有48%的员工表示他们知道它是什么,这意味着只有28%的组织拥有员工广泛理解的安全策略。他们在事件响应计划方面也有不足,该计划制定了利益相关者在发生安全事件时必须做什么。只有52%的受访者表示他们有这样的计划。虽然这个数字比2018年高出3%,但只有57%的企业真正知道其中的内容。潜在后果很明显:如果网络攻击袭击了他们,不熟悉其计划的企业将更难应对这一事件,而且,即使他们设法解决了问题,也将需要更长的时间才能恢复。尽管风险增加,但安全预算保持不变除了规划不当之外,一些企业没有跟上不断增长的IT依赖性和风险的步伐。平均而言,15%的企业IT预算用于安全性,但自去年以来,用于安全性的运营预算份额已下降至16%。这令人不安,尤其是随着新兴物联网(IoT)和工业4.0等联网运营技术的出现,攻击面呈指数级增长。德国(14%)和瑞士(12%)的公司将其IT预算中用于安全的比例最低。建筑和制造业在安全方面的支出最少,将13%的IT预算分配给IT部门。鉴于用于解决这些风险的资源微薄,制造业广泛使用的运营基础设施正面临潜在的破坏性威胁,这令人深感不安。三分之一的企业宁愿支付赎金NTTCorporation研究的一个值得注意的发现是愿意支付赎金的企业数量惊人。三分之一的受访者表示,他们宁愿将赎金交给网络犯罪分子,也不愿投资于网络安全。他们说,这样的成本“更便宜”。这种推理是危险和幼稚的,因为它鼓励了这些网络犯罪分子,这可能比最初的支出更高。这些受访者表示,他们宁愿支付赎金也不愿因不合规而被罚款,这表明企业担心不合规的后果,并且对某些企业解决重要监管问题和实施稳健的事件响应计划的能力缺乏信心。鉴于网络犯罪活动日益复杂,这令人担忧。事实上,网络犯罪正在经历一波产业化浪潮,并正在形成一个蓬勃发展的地下经济,估计年收入超过1.5万亿美元。此外,一些咄咄逼人的国家正在扩大其网络能力,无论是收集情报还是破坏关键基础设施。攻击的成本和客户记录的外部暴露已经达到数亿美元。近期此类攻击的例子包括:万豪泄露了3.83亿客户记录和超过500万人的护照号码,Facebook泄露了5.4亿用户的数据。企业领导者将网络安全视为一项IT任务企业中安全措施协调不力可能是高层领导不力或消息不灵通的结果。根据NTTCorporation的调查,84%的受访者认为网络安全应该是公司董事会的问题,但只有72%的人认为这实际上是董事会的问题。四分之一(23%)的受访者表示,他们组织中有人(例如首席信息安全官)管理企业的日常安全,但只有13%的人表示该人对网络安全责任负有最终责任。近一半(45%)的受访者和57%的企业高管表示,网络安全是IT部门面临的主要问题。这凸显了网络安全与企业管理之间经常存在的惊人差距。显然,过去两年几乎没有什么变化,尽管成功的攻击可能会带来重大的财务和法律后果。精明的商业领袖需要培养不同的思维方式来识别组织数字战略中的风险。结论网络安全是企业领导者最关心的问题。事实上,对IT正常运行时间和弹性的依赖从未如此强烈。但公司董事会需要超越意识和言辞,采取行动来降低其组织面临的风险并确保长期成功。更严格的监管框架和更高的罚款正在提高人们对网络风险的认识并加强企业合规性。但他们也需要促进公司治理的发展。在模拟时代可能行之有效的解决方案(例如,IT部门负责安全)不再适用,尤其是当数字业务收入和利润以及品牌声誉受到威胁时。在数字时代,几乎公司董事会做出的每项决定都会影响组织的网络风险状况。这就是为什么网络安全应该成为董事会议程上的一个反复出现的项目,并根据更广泛的风险框架不断重新评估。除了这些措施之外,事件响应和沟通计划以及定期的消防演习也很重要。它们是让企业有机会在成功的网络攻击后快速恢复的唯一方法。
