更智能的网络安全风险管理策略

随着连接速度加快，企业达到了新的数字化水平，数据的使用为更好地监控、分析、预测和降低风险提供了重要机会。然而，同样的资产为网络威胁行为施加者带来了新的漏洞，这使得保护数据以及处理、传输和存储数据的系统变得至关重要。

根据普华永道PwC最新开展的一项年度全球首席执行官调查结果显示，网络安全现在被列为全球最重要的优先事项之一，其关注程度仅次于新冠疫情。因此，网络安全风险管理战略不应再被视为仅仅是首席技术官CTO和IT总监关心的问题，各供应链和技术总监同样需要将网络安全问题提上议程。

风险保障的预测方法

数据有可能改变风险管理和韧性。正确的数据、分析和报告工具有助于确定未来风险更可能或不可能出现的地方，从而确保将资源集中运用于处于风险之中最具价值的领域。使用这些指标还可以帮助避免决策中的情绪偏见： 那些我们认为更大的风险并不总是需要最密切监测的风险。

如果单个部件或技术可以被证明有更大的失败风险，那么以同样的预先排期为导向的方式进行检验或审核可能就没有意义了。同样，针对为低风险领域，可以设计更有效的方法，从而腾出资源来关注和确保高风险活动。经验丰富的数字保障合作伙伴将能够就要监控的数据以及如何分析和采取行动提供咨询。

需要有凝聚力的数字化转型

数字化转型提供的机会是巨大的，但经验告诉我们，实施数字化转型具有挑战性，如果以孤立的方式进行，将收效甚微。2020年的一项研究显示，在新冠疫情初期开展的数字化升级中，59%需要短期修复来解决因仓促部署而产生的问题。如果将保障服务和降低风险措施更好地整合到变更管理过程中，则可能避免这种情况。

一个常见的错误是采取技术驱动的方法，为技术而部署技术。很关键的一点是，组织寻求将其运营和风险保障方案数字化的出发点必须是他们想要解决的问题，而不是他们认为缺少了的技术或数据源。这需要一个有凝聚力的数字化保障战略，其中包括人员、流程和技术的正确组合。

供应链数据和网络安全风险

数字化程度加深，以及数据流不断增长，增加了可能被恶意威胁行为施加者利用的潜在漏洞。供应商是任何希望全面了解其运营和质量保证的公司的重要数据来源，但这个数字供应链也需要网络安全保障。组织不仅需要了解自己的网络安全风险管理策略，还需要了解在评估供应链时可能出现的网络威胁。

在过去的几年里，我们看到勒索软件在网络威胁领域的变化，它不仅在频率上增加了一倍，占到所有漏洞的10%，而且越来越多地通过潜伏勒索软件攻击供应链。这些攻击不仅在主机网络上获得特权，还了解整个生态系统如何受到影响。供应链的全球性特质增加了这些攻击的潜在影响，使风险评估在网络安全中越来越重要。

走向持续监控

在这种环境下，传统的审核和年度网络安全风险评估就不够了。它们只提供了体系在某一时刻的快照，并没有考虑到新的漏洞或在此期间需要的体系变化。

同样，过去许多组织选择将其网络安全风险管理转移给保险提供商。然而，网络攻击的数量和复杂程度推高了保费，因此保险公司越来越多地要求组织主动减轻风险以保持承保范围。对稳健风险保障服务的投资甚至可以降低保险单的成本。

这两个问题的一种解决方案是持续控制监控。这使组织能够实时跟踪网络安全风险评估所需的数据，包括从供应商处获得的数据。威胁情报平台和仪表板可以促进持续和主动的监控方法。

相互协作的实时保障

与供应商和专家开展合作有助于组织制定更明智的风险保障方法，建立合适的网络安全信息保障。

要求获得全球管理体系标准（如ISO 27001）认证，以及有权利审核和评估IT安全，是许多合同协议的一部分。美国国家标准与技术研究院 (NIST) 网络安全框架也正在逐渐成为一项全球标准，该标准考虑了对供应商控制的需求。这对双方都有好处，采购商通过帮助教育和提升供应商的技能，从而提高整个产业链的能力和韧性。向数字化保障和持续监测模式的转变，也有可能减少因审核供应链j时不必要的现场检查所造成的任何成本和干扰。

由于组织的决策涉及到供应商、新产品开发和新区域市场发展，网络安全风险管理必须纳入讨论。网络安全风险管理必须成为持续、稳健的认证服务战略的一部分，而不只是最初准入阶段要满足的要求。

结论

随着行业数字化进程加深，针对传统风险和网络威胁的更智能、实时的保证的需求也在增长。所有这些都表明，有必要以适合企业的方式将网络韧性纳入数字风险保障计划，解决你所知道的威胁，并考虑到你所不知道的威胁。对运营数据和信息安全、漏洞和威胁的持续和协作监控有可能更好地降低风险、提高效率并促进更明智的决策。