数字经济中的网络恢复力
关键要点
- 网络恢复力与财务、风险管理之间的整合至关重要,以在经济不确定性中保持业务的持续性。
- 成本削减常导致孤立的决策,这可能增加网络攻击的风险。
- 企业需共享目标,以促进资源配置的有效性和风险管理。
- 网络恢复力包括一系列原则和实践,强调风险容忍度与效益最大化。
恢复力
(n.)指的是“反弹或重新兴起的行为”,源自拉丁语“resiliens”,意指“反弹、回弹”。在物理科学中,1824年开始指代“弹性,压缩后的回归能力”等含义。—
在线词源词典
孤立带来的风险
在不久前,当资本流动顺畅且推迟盈利被视为荣耀时,金融团队转移风险,而安全团队则在完全孤立中减轻风险。他们的目标没有调整,自然也没有动力去做。毕竟,那个时候一切都很好,似乎没有人对此在意——直到如今。
“在经济不确定性导致收入前景下降的背景下,公司和基础设施网络安全预算面临越来越大的压力……网络安全投资也无法避免整体预算的削减,这可能增加攻击的潜在风险。”
— Fitch Ratings
由于严重的财务压力,安全预算现在受到严密审视,保险的价值也受到质疑。这种审视也在孤立中进行,这可能导致灾难。当安全控制的预算被削减时,妥协的可能性就会增加。类似地,随着保险投资的缩水,损失的可能性也会增长。一项成本削减的努力会加剧另一项问题。
共享目标的必要性
当责任的孤立与财务压力相遇,自然会导致成本削减。决策可能在没有全面评估组织风险成本的情况下进行。领导层称此为接受风险。然而,是否存在真正能够接受但未被计算的风险?并没有。这不过是无序的担忧,就像向命运女神祈祷希望避免坏日子。好消息是,你可以将你的担忧结构化并进行管理。这需要财务和安全团队共享、对齐并优先考虑战略目标。这些目标考虑到业务机会与风险缓解之间的相互作用——尤其是在压力之下——并支持在必要时进行知情的权衡。我们称这种目标的一致性为网络恢复力。
网络恢复力的重要性
要在数字经济中取得成功,公司必须具备网络恢复力,并整合风险缓解、风险接受和风险转移,以便不影响交付价值的能力。这需要从一套核心原则和实践出发,打破孤立目标的壁垒,从而实现经济高效的网络风险管理。
网络恢复力的五个原则
原则 | 描述
—|—
容忍损失 | 网络恢复力在一定限度内能够容忍损失,与绝对消除损失的安全策略不同。
连接安全与保险 | 网络安全投资降低损失的可能性,保险投资降低影响。它们协同工作,以控制风险在可接受范围内。
追求资本效率 | 理性的投资策略既能防止风险,又避免过度投资导致的分散。
增强可见性 | 通过可视化网络安全风险,能够更好地进行管理和应对。
激励网络卫生 | 高投资回报的控制措施能够最大程度地减少损失,并且改善保险条款。
网络恢复力的实践
若想成为网络恢复力的领导者,不仅需拥抱网络恢复力的原则,还需发展以下实践:
超级预测风险 : 培训以提升对风险的预测能力,从而为关键目标做出准确判断。
计算风险价值 : 准确评估可能面临的潜在损失以及相关威胁的概率。
设计恢复性战略 : 创建能够最小化妥协可能性与影响的经济有效的控制与保险组合。
测量恢复性运作 : 持续分析运营策略的有效性,并在风险超限时进行调整。
有效沟通 : 量化并清晰地阐述网络风险的缘由与需求,拔高