据世界经济论坛今年初发布的《2022年全球网络安全展望》报告,92%的受访企业高管认为,网络韧性已融入企业风险管理战略中。网络韧性是指保护组织免受网络攻击,或缓解安全事件,使其不会造成重大破坏的能力。然而,只有55%的安全管理人员认为,网络韧性已融入风险管理战略中。这表明两者对网络安全的认知层面存在重大分歧。
一方面董事会认为,为了减轻威胁,已经做了足够多的工作。而另一方面,安全专家却认为远远不够。这种认识差距的原因之一是,网络安全人员经常觉得企业高层并没有就安全方面咨询过他们的意见,也就意味着安全有时会以效率或成本的名义被忽略。
例如,以勒索软件为例。报告显示,80%的网络安全负责人认为勒索软件是对公共安全的“危险”和“威胁”,而不仅仅是对他们自己的组织。通常情况下,只有当企业成为网络攻击的受害者时,董事会才会真正开始关注网络安全。
最好、最具韧性的公司就是已经被入侵的公司,因为他们能够真正理解入侵的后果。
——世界经济论坛网络安全战略负责人Algirde Pipikaite
显然,这种成为受害者之后再寻求安全保护的做法是极其错误的。组织的网络安全负责人可以采取一些措施,以缩小企业高管与安全人员之间的认知,进而真正的提高机构的网络弹性。如,用通俗易懂的语言向董事会解释安全威胁和问题,同时身为网络安全人员也要了解企业的业务如何运营,哪些业务最为重要,哪些资产应该优先考虑。
另外,持续取得业务部门的理解和支持是安全项目得以成功的关键。针对网络安全事件响应的桌面演练,是一个让业务部门和安全部门对话合作的有效方法。它可以提高业务团队和安全团队对潜在问题的认识,让他们都感觉自己被纳入了决策过程。在发生真正的事件时,双方有一个可以共同遵循的计划。
《2022年全球网络安全展望》报告地址:https://www.weforum.org/reports/global-cybersecurity-outlook-2022