根据普华永道最新的年度全球CEO调查,网络安全现在被列为全球首要任务之一,在关注度方面仅次于大流行病。因此,网络安全风险管理策略不应再被视为CTO和IT主管关注的问题,而需要列入每个供应链和技术主管的议程。数据有可能改变风险管理和弹性。正确的数据、分析和报告工具可以帮助确定未来风险更有可能发生的地方和不会发生的地方,从而使资源能够集中在高价值和脆弱的领域。使用这些指标还有助于避免决策中的情绪偏见:我们认为更大的风险并不总是需要密切监测的风险。如果可以证明某个组件或技术更容易出现故障,那么以同样的进度驱动方式进行检查或审计可能就没有意义了。同样,可以为低风险领域设计更有效的方法,释放资源以专注于和保护高风险活动。经验丰富的数字保证合作伙伴将能够就监控哪些数据以及如何分析和采取行动提供建议。数字化转型带来了巨大的机遇,但经验告诉我们,实施起来可能非常具有挑战性,如果以零散的方式进行,不太可能产生正确的影响。根据2020年的一项研究,在疫情初期实施数字化转型升级的企业中,有59%需要短期修复,以解决仓促部署带来的问题。如果将保证和风险缓解更好地集成到变更管理流程中,则可以避免这种情况。一个常见的错误是采用技术驱动的方法,为了技术而部署技术。寻求数字化运营和风险保障计划的企业必须从他们想要解决的问题开始,而不是他们认为缺少的技术或数据源,这一点至关重要。这需要一个有凝聚力的数字保证策略,其中包括人员、流程和技术的正确组合。数字化和数据流的增加增加了攻击者可以利用的潜在漏洞。供应商是任何希望全面了解其运营和质量保证的公司的重要数据来源,但这一数字供应链也需要网络安全。企业不仅需要了解自己的网络安全风险管理策略,还需要了解在评估供应链时可能出现的网络威胁。在过去的几年里,我们看到勒索软件的网络威胁格局发生了变化,频率翻了一番,占所有违规行为的10%,并且越来越多地使用潜在的勒索软件攻击供应链。这些攻击不仅获得了对主机网络的特权访问权,而且还看到了整个生态系统是如何受到影响的。供应链的全球性增加了这些攻击的潜在影响,增加了风险评估在网络安全中的重要性。在这种环境下,传统的审计和年度网络安全风险评估不再适用。它们只提供系统在某个时间点的快照,而不管新的漏洞或临时需要的系统更改。解决这两个问题的一种方法是持续控制监控。这使企业能够实时跟踪网络安全风险评估所需的数据,包括从供应商处获得的数据。威胁情报平台和监控可以促进持续和主动的监控方法。与供应商和专家的协作方法可以帮助公司在开发更智能的风险保障方法和将适当的信息保障纳入网络安全方面取得长足进步。ISO27001等全球管理体系标准的认证要求以及审计和评估IT安全的权利是许多合同协议的一部分。美国国家标准与技术研究院(NIST)网络安全框架也正在成为考虑供应商控制需求的全球标准。这为双方提供了互惠互利的优势,买方帮助培训和提升供应商的技能,从而提高整个供应链的能力和弹性。所有这一切都表明需要以适合您业务的方式将网络弹性整合到您的数字风险保障计划中,解决您意识到的威胁并考虑您忽略的威胁。对运营数据和信息安全、漏洞和威胁的持续协作监控可以更好地降低风险、提高效率并推动做出更明智的决策。原标题:更智能的网络风险管理策略作者:RobAcker链接:https://www.infosecurity-magazine.com/blogs/smarter-cyberrisk-management/
