可以说,各地的董事会成员、首席执行官和其他关键决策者都认识到了网络风险管理的重要性,以及在这一领域的举措所代表的巨额投资。
勒索软件、网络钓鱼、恶意软件和许多其他威胁形式的网络风险是组织需要做好准备的。网络风险管理通常被视为一个复杂、具有挑战性和高度技术性的问题,难以避免。对于任何组织而言,避免解决这一GRC用例问题以及未能对其进行投资都是一个严重的错误。
2022 年英国网络安全漏洞调查
英国网络安全漏洞调查是一项针对英国网络恢复能力的年度深度研究。这项研究主要用于向组织通报网络安全政府政策,并使组织与英国国家网络战略保持一致,以确保商业活动的安全。
这份调查报告值得我们进一步阅读,因为我们可以从中了解到,几乎无论企业规模大小或所处行业如何,有多少企业都在为同样的问题而苦恼。当然,调查的重点是英国市场,但该国的现实情况与其他发达经济体的企业所面临的情况并无不同。
除其他事项外,该报告还强调,39% 的英国企业报告在过去 12 个月中遭受过网络攻击。在这些网络风险中,最常见的攻击是网络钓鱼(83%),21% 的企业报告了更复杂的攻击,如:拒绝服务、恶意软件或勒索软件攻击。
网络风险管理计划中的漏洞
尽管网络风险管理在企业内部被视为一个高度优先的领域,但许多组织的网络安全流程仍存在一些薄弱环节:
网络风险管理知识
在应对网络风险方面,小型企业和大型企业的高层严重缺乏技术知识。
这样做的危险在于,决策往往变得被动,对网络安全举措的投资被视为一种成本,而不是对薄弱网络计划的改进。
网络复原力预算
与其他相互竞争的组织优先事项相比,确保网络复原力计划的预算极为复杂。这种情况构成了一个有趣的悖论,因为决策者表示,他们认识到网络风险管理的重要性,但却没有进行相应的投资。
信息技术与第三方风险管理 (TPRM)
外包核心业务流程在企业的各个领域都有发生,而且越来越普遍。将 IT 风险管理措施外包给第三方是许多组织常用的一种途径。
从理论上讲,这是完全可以的,因为聘用专业的第三方好处多多。然而,每当第三方被引入组织时,这种关系就会成为网络风险的切入点。研究发现,只有不到十分之一的组织会积极监控其供应链中的风险。
请记住,使用销售商或供应商的组织只能像其最薄弱的第三方一样具有应变能力。
有效的 TPRM 关键在于了解与任何第三方合作都存在固有风险。在最近的这篇 TPRM 文章中,您将详细了解有效的TPRM 战略、常见挑战和成功因素。
作为阅读的补充,您还可以收听最新一集的《监管科技报告播客》,了解网络与第三方风险管理之间的交集、供应商、第四方和第五方数据的重要性、该领域的最佳实践等更多内容。

网络风险管理知识
网络复原力预算
信息技术与第三方风险管理 (TPRM)