根据世界经济论坛今年早些时候发布的报告《2022年全球网络安全展望》,92%的受访企业高管认为网络弹性已融入企业风险管理策略。网络弹性是指保护组织免受网络攻击或减轻安全事件使其不会造成重大损害的能力。然而,只有55%的安全主管认为网络弹性已整合到风险管理策略中。由此可见,两者在网络安全认知层面存在较大差异。一方面,董事会认为已经采取了足够的措施来减轻威胁。另一方面,安全专家表示这还不够。造成这种认知差距的一个原因是,网络安全专业人员经常觉得他们没有被征求有关业务高层安全的意见,这意味着安全有时会以效率或成本的名义被忽视。以勒索软件为例。根据该报告,80%的网络安全负责人认为勒索软件是对公共安全的“危险”和“威胁”,而不仅仅是对他们自己的组织。通常,直到企业成为网络攻击的受害者,董事会才真正开始关注网络安全。最好和最具弹性的公司是那些受到损害的公司,因为他们能够真正了解违规的后果。——AlgirdePipikaite,世界经济论坛网络安全战略负责人显然,这种在成为受害者后寻求安全保护的做法是极其错误的。组织网络安全领导者可以采取措施缩小业务主管和安全人员之间的差距,以真正提高组织的网络弹性。例如,用通俗易懂的语言向董事会解释安全威胁和问题,同时,作为网络安全官,还必须了解企业的??业务是如何运作的,哪些业务最重要,哪些资产是最重要的。应该优先考虑。此外,业务部门持续的理解和支持是安全项目成功的关键。应对网络安全事件的桌面演练是让业务部门和安全部门进行对话与合作的有效方式。它可以提高业务和安全团队对潜在问题的认识,让他们都觉得自己参与了决策过程。如果发生真实事件,双方都有一个他们都可以遵循的计划。《2022年全球网络安全展望》报告地址:https://www.weforum.org/reports/global-cybersecurity-outlook-2022
