在预算紧缩和人员配备面临挑战的情况下,获得网络风险路线图支持的关键。
这种说法不足为奇:今年,网络攻击的数量和复杂程度都出现了惊人的增长。事实上,IT 安全公司 NCC 集团的 2023 年 3 月威胁脉搏月报最近报告称,与 2023 年 2 月相比,2023 年 3 月的勒索软件攻击增加了 91%,与 2022 年 3 月的数据相比,同比增加了 62%。就拿 对米高梅度假村的网络攻击本月早些时候对美高梅国际酒店集团(MGM Resorts)的网络攻击为例,不难看出勒索软件仍在肆虐。
与此同时,美国证券交易委员会(SEC)于 2022 年就网络安全风险管理、治理和事件披露的新规定提出建议,这让上市公司重新思考如何让董事会和利益相关者了解情况。
因此,无论是出于需要还是需求,各种规模和复杂程度的公司都在重新评估和加强其网络风险管理计划。 但问题是在面临预算限制和裁员的情况下,如何在企业内部建立成熟的网络安全计划?如果缺乏有关不断变化的威胁环境及其潜在影响的关键知识,如何获得董事会的支持?
直面风险与资源的矛盾
攻击在增加,成本在增加,坏人的数量在增加--风险行业正处于一个拐点。如果企业能够灵活规划和应对(并获得所需的投资),就会取得巨大成功。但是,在资金紧张的市场上,获得投资是很困难的。
要实现与公司的经济和运营目标相一致的更强大的网络风险管理计划,有 3 个主要障碍:
障碍 1)缺乏技术知识
裁员和人员更替造成了知识缺口--尤其是在较小的组织内部和大型企业的高层。
解决方案:依靠组织中拥有必要技能的人(包括那些不属于你的部门的人)。 让他们从一开始就参与到你的计划中来,从而节省培训新员工的成本,并最大限度地减少对更多空缺职位的需求。
障碍 #2)有限的 GRC 预算
我们的业务活动由底线决定,尤其是在当今全球经济持续萎缩、裁员和预算削减盛行、供应链波动达到历史最高点的环境下。
由于对网络安全措施的投资通常被视为成本而非改进,而且各部门的资源都很紧张,因此,对于风险专业人员来说,将自己的目标与公司的底线联系起来从未像现在这样重要。
解决方案: 量化违规风险!特定应用程序中有多少记录?什么样的数据?当你能在影响范围前加上美元符号或时间戳时,更多的人可能会听你的。但是,您必须知道您的组织对什么感兴趣,并调整您的衡量标准以适应这种模式。
障碍 #3)与不断变化的风险环境(和供应商网络)保持同步
不到十分之一的组织会积极监控其供应链中的风险、这意味着将服务外包给第三方供应商会扩大风险。随着企业越来越依赖第三方协助,威胁范围也在不断扩大。
解决方案: 持续的风险监控和量化可让您始终掌握可能影响业务连续性的任何更新。
当然,为了节省时间,我们在此对这些解决方案进行了简化和精简。如需更详细地了解如何利用有限的资源建立网络风险管理计划,请参阅我们的 白皮书。
