数字经济中的网络恢复力

关键要点

• 网络恢复力与财务、风险管理之间的整合至关重要，以在经济不确定性中保持业务的持续性。
• 成本削减常导致孤立的决策，这可能增加网络攻击的风险。
• 企业需共享目标，以促进资源配置的有效性和风险管理。
• 网络恢复力包括一系列原则和实践，强调风险容忍度与效益最大化。

恢复力
（n.）指的是“反弹或重新兴起的行为”，源自拉丁语“resiliens”，意指“反弹、回弹”。在物理科学中，1824年开始指代“弹性，压缩后的回归能力”等含义。—
在线词源词典

孤立带来的风险

在不久前，当资本流动顺畅且推迟盈利被视为荣耀时，金融团队转移风险，而安全团队则在完全孤立中减轻风险。他们的目标没有调整，自然也没有动力去做。毕竟，那个时候一切都很好，似乎没有人对此在意——直到如今。

“在经济不确定性导致收入前景下降的背景下，公司和基础设施网络安全预算面临越来越大的压力……网络安全投资也无法避免整体预算的削减，这可能增加攻击的潜在风险。”

— Fitch Ratings

由于严重的财务压力，安全预算现在受到严密审视，保险的价值也受到质疑。这种审视也在孤立中进行，这可能导致灾难。当安全控制的预算被削减时，妥协的可能性就会增加。类似地，随着保险投资的缩水，损失的可能性也会增长。一项成本削减的努力会加剧另一项问题。

共享目标的必要性

当责任的孤立与财务压力相遇，自然会导致成本削减。决策可能在没有全面评估组织风险成本的情况下进行。领导层称此为接受风险。然而，是否存在真正能够接受但未被计算的风险？并没有。这不过是无序的担忧，就像向命运女神祈祷希望避免坏日子。好消息是，你可以将你的担忧结构化并进行管理。这需要财务和安全团队共享、对齐并优先考虑战略目标。这些目标考虑到业务机会与风险缓解之间的相互作用——尤其是在压力之下——并支持在必要时进行知情的权衡。我们称这种目标的一致性为网络恢复力。

网络恢复力的重要性

要在数字经济中取得成功，公司必须具备网络恢复力，并整合风险缓解、风险接受和风险转移，以便不影响交付价值的能力。这需要从一套核心原则和实践出发，打破孤立目标的壁垒，从而实现经济高效的网络风险管理。

网络恢复力的五个原则

原则 | 描述
—|—
容忍损失 | 网络恢复力在一定限度内能够容忍损失，与绝对消除损失的安全策略不同。
连接安全与保险 | 网络安全投资降低损失的可能性，保险投资降低影响。它们协同工作，以控制风险在可接受范围内。
追求资本效率 | 理性的投资策略既能防止风险，又避免过度投资导致的分散。
增强可见性 | 通过可视化网络安全风险，能够更好地进行管理和应对。
激励网络卫生 | 高投资回报的控制措施能够最大程度地减少损失，并且改善保险条款。

网络恢复力的实践

若想成为网络恢复力的领导者，不仅需拥抱网络恢复力的原则，还需发展以下实践：

• 超级预测风险 : 培训以提升对风险的预测能力，从而为关键目标做出准确判断。

• 计算风险价值 : 准确评估可能面临的潜在损失以及相关威胁的概率。

• 设计恢复性战略 : 创建能够最小化妥协可能性与影响的经济有效的控制与保险组合。

• 测量恢复性运作 : 持续分析运营策略的有效性，并在风险超限时进行调整。

• 有效沟通 : 量化并清晰地阐述网络风险的缘由与需求，拔高