博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行01網絡安全

讀數字時代的網絡風險管理:策略、計劃與執行01網絡安全

1. 概述

1.1. 安全是風險管控功能的一部分

1.2. 風險管理是一種成熟的實踐

  • 1.2.1. 安全領域的風險實踐並沒有那麼成熟

1.3. 大多數安全組織和從業者採用一種臨時方法

  • 1.3.1. 法律、監管機構和不斷變化的經濟環境正要求企業安全實踐的期望發生轉變,所有這些都指向採用更為成熟的風險功能作為未來的發展方向

1.4. 網絡風險管理計劃應被明確定義為一個獨立的計劃

  • 1.4.1. 現在這一點已不再是可選項

1.5. 企業運營的快速數字化和日益增加的監管壓力意味着企業的安全策略必須持續迭代

1.6. 為這個快速變化的世界提供了指南,因為儘管技術和威脅在不斷髮展,但風險管理原則是永恆的

1.7. 數字化轉型的影響深遠、複雜且難以預測

  • 1.7.1. 每一家企業都在缺乏必要或適當風險考量的情況下進行數字化轉型,這使得風險敞口呈指數級加速增長

  • 1.7.2. 網絡風險管理沒有一蹴而就的辦法

2. 網絡安全

2.1. 錯綜複雜的互聯網絡是由世界對數字技術的過度依賴(無論是在通信還是協作方面)造成的,同時,它們以極快的速度引入了前所未有的風險,並且這些風險還在不斷加劇

2.2. 安全組織正努力應對這些威脅和漏洞所帶來的重大挑戰,然而往往力不從心

2.3. 企業現在和未來是通過制訂一個全面的、企業級的網絡風險管理計劃來保護自己

  • 2.3.1. 關鍵是定義、制訂和實施網絡風險管理計劃

3. 工業革命

3.1. 第一次工業革命利用水力

  • 3.1.1. 河流驅動水車和燃煤鍋爐為蒸汽機提供動力

  • 3.1.2. 來推動製造業生產(鋼鐵廠和紡織廠)和交通運輸(火車和船隻)​

3.2. 第二次工業革命使這些過程電氣化,使得真正的大規模生產成為可能

3.3. 第三次工業革命

  • 3.3.1. 基於電子技術,利用自動化和信息交換來提高運營效率

  • 3.3.2. 現在仍在繼續

3.4. 第四次工業革命

  • 3.4.1. 有時被稱為工業4.0

  • 3.4.2. 由世界經濟論壇(WEF)創始人、經濟學家克勞斯·施瓦布在2010年代推廣的一個術語

  • 3.4.3. 由技術的日益互聯互通和自動化所驅動的系統和流程的快速且不斷加速的變革,這種方式模糊了物理世界和數字世界之間的區別

  • 3.4.4. 包括人工智能、先進機器人技術、機器對機器(M2M)通信、構成物聯網(IoT)的自主設備網絡,以及許多即將出現的技術

  • 3.4.5. 第四次工業革命的發展速度是指數級的而不是線性的

    • 3.4.5.1. 幾乎在每個國家對每個行業都造成了破壞

  • 3.4.6. 它的根本驅動力在於現有系統、應用、設備和流程的數字化,並且至關重要的是持續且快速涌現出的新的數字技術

3.5. 五個關鍵趨勢

  • 3.5.1. 行業融合

    • 3.5.1.1. 各個行業都在變化,變化週期不斷變短

    • 3.5.1.2. 新的生態系統、商業模式和消費者行為正在模糊各個市場細分的行業邊界

  • 3.5.2. 全球化

    • 3.5.2.1. 當價值鏈中涉及的人和組織(製造商、供應商、合作伙伴、客户)遍佈全球時,企業必須認識到自身面臨的風險是不同的、高度不可預測的,並且規模之大是以前從未處理過的

  • 3.5.3. 監管期望

    • 3.5.3.1. 企業比以往任何時候都更受立法者、監管機構、行業和消費者組織以及廣泛的其他利益相關者的密切監視

  • 3.5.4. 法律訴訟挑戰

    • 3.5.4.1. 在面臨諸如數據泄露等網絡安全事件時,企業的作為或不作為常常導致損害性的訴訟

  • 3.5.5. 不斷變化的監管環境

    • 3.5.5.1. 監管要求正變得越來越複雜、越來越嚴格,同時這些要求之間的矛盾也日益增加

    • 3.5.5.2. 這導致了違規風險的增加,以及管理這些風險的難度和成本

3.6. 兩個極具顛覆性的因素

  • 3.6.1. 速度

    • 3.6.1.1. 變化速度的一個極好的衡量指標是美國最古老和最重要的股票市場指數之一的標準普爾500指數(S&P500)​

      3.6.1.1.1. 1964年,一家公司在S&P的平均上市期是33年

      3.6.1.1.2. S&P預測,到2027年,這一數據將降至僅12年

    • 3.6.1.2. 企業需要快速行動

      3.6.1.2.1. 快速行動也意味着承擔風險

      3.6.1.2.2. 風險與回報對話中的某種平衡則涉及如何在不同風險之間進行權衡

      3.6.1.2.3. 網絡風險可能會以犧牲效率和其他項目的融資為代價,更有甚者,是以輸給那些可能願意或能夠承擔更多風險的競爭對手為代價

      3.6.1.2.4. 一個良好的網絡風險管理計劃,能夠提供及時和值得信賴的風險信息,能讓公司在瞭解未來情況的條件下更快地前進

      3.6.1.2.5. 這個計劃將更快地識別風險,也能意識到落實管理風險的措施所需要的遲滯時間

      3.6.1.2.5.1. 代表了在這個數字化環境中的戰略優勢

  • 3.6.2. 波動性

3.7. 一切都在以驚人的速度加速發展,而這種加速本身還在持續加快—市場、政治、消費者行為—這使得一切變得更加複雜、不穩定、難以預測,也更難管理

  • 3.7.1. 企業別無選擇,只能變得比以往任何時候都要敏捷,並且必須通過風險決策過程不斷優化和增強其敏捷性

3.8. 數字化轉型使得製造商能夠實現幾年前還無法想象的運營和物流效率

  • 3.8.1. 該過程中所有不同的環節都可以由不同的實體來處理

  • 3.8.2. 它們不屬於同一組織結構,也不必屬於同一家公司

  • 3.8.3. 它們都將是數字化世界的一部分,迫使所有參與者重新思考這些流程和互動所藴含的數字化風險

3.9. 全球經濟從未經歷過比現在更激烈的“創造性破壞”時期,這一過程幾乎完全由數字化轉型推動

  • 3.9.1. 數字技術為具有創新精神和前瞻性思維的企業開闢了創造性的機遇,同時,也在實際中摧毀了那些未能創新或創新速度不夠快的企業

  • 3.9.2. 數字技術使企業的運營和流程變得比以往任何時候都更加脆弱

  • 3.9.3. 在一個被數字技術改變的世界中,必須對安全風險管理進行徹底變革,以跟上企業環境不斷髮生的數字化變革

3.10. 數字技術對我們的職業和個人生活的滲透現在已經如此徹底,以至於我們大多數人認為這是理所當然的

  • 3.10.1. 往往意味着我們沒有認識到它所帶來的根本性變化,包括這些變化對我們的工作生活產生的劇烈影響,以及我們對所有技術的依賴程度

4. 風險管理實踐

4.1. 網絡安全從根本上説是一種風險管理實踐

4.2. 企業總是需要在適應、創新、競爭和生存中承擔風險

  • 4.2.1. 商業的各個方面都涉及風險管理

4.3. 不存在所謂的零風險環境

  • 4.3.1. 網絡風險管理計劃的角色是幫助企業決策者理解他們面臨的風險,並引導他們完成一個基於風險信息的決策過程

4.4. 安全專業人士,無論他們的角色如何,無論他們在企業中的地位如何,都不應試圖消除所有風險

  • 4.4.1. 因為這是做不到的,還因為這是對他們寶貴的時間和資源的一種無謂的浪費

  • 4.4.2. 在日常生活中我們都在不斷地做出基於風險的決策

  • 4.4.3. 應該與企業的關鍵利益相關者合作,定義風險和回報之間的恰當平衡,建立可接受的風險水平,並制訂適當的安全和風險管理措施

  • 4.4.4. 會有助於確保這些利益相關者將他們視為有同等地位的戰略決策者,而不僅僅是安裝防病毒軟件或部署VPN的技術人員

    • 4.4.4.1. 意味着安全應該在做出重要決策之時佔有一席之地

  • 4.4.5. 培養對正在重塑世界、企業和成熟風險管理學科的變化的理解能力,這種理解能力會更豐富、更細緻

4.5. 安全從業者當然一直在實踐風險管理

  • 4.5.1. 往往以一種臨時的方式處理風險管理,當風險、威脅和漏洞出現並被識別出來時才去應對

4.6. 安全領域必須成熟起來,以應對新興風險所需的速度和滿足企業不斷變化的需求

  • 4.6.1. 這隻能通過一個全面的網絡風險管理計劃來實現

4.7. 變革總是困難的,像數字化轉型帶來的激進的變革肯定會特別困難

  • 4.7.1. 由數字化轉型驅動的基於新風險的安全方法不僅帶來了挑戰,也意味着新的專業和個人參與及發展的新機遇

5. 網絡風險的管理監督與問責

5.1. 唯一的出路就是重塑自我

  • 5.1.1. 你能擁有的唯一的可持續優勢就是敏捷性,就是這樣,因為其他沒有什麼是可持續的,你創造的任何東西,別人都會加以複製

5.2. 數字化轉型使得每一個惡意事件都成為網絡事件,這意味着網絡已成為企業安全和企業級業務風險決策的核心

5.3. 網絡風險管理計劃有助於提供一個更為合理的計劃,該計劃基於現有標準、先前的案例法和由諸如全國公司董事協會(NACD)與世界經濟論壇等董事會層面的教育提供者提供的指導

5.4. 新技術創造的不斷加速給企業帶來了同樣快速變化的風險

5.5. 網絡安全也是一個更廣泛的問題,涉及所有企業、行業和組織

6. 網絡風險管理計劃

6.1. 安全風險管理計劃旨在幫助指導企業、最高層的領導者,以及其他關鍵利益相關者參與安全風險決策過程

6.2. 安全部門不是做決策,而是利用其專業知識和經驗來提供信息

  • 6.2.1. 理想的結果是,形成一套經過深思熟慮的風險指引決策體系,以期通過這些決策在風險和回報之間取得平衡

6.3. 企業安全風險計劃是在數字世界中取得成功的重要先決條件

  • 6.3.1. 這項工作必須是戰略性的,而不是戰術性的

6.4. 將安全本質看作戰術層職能,或更有甚者,將安全僅僅看作一個成本中心,是該領域面臨的最大問題之一

  • 6.4.1. 關鍵是要系統地、持之以恆地、公開地實踐戰略風險管理

6.5. 框架

  • 6.5.1. 確定了四個核心組成部分和支持原則,以幫助指導安全或風險從業者、審計師或監管機構瞭解網絡風險管理計劃是什麼,以及應該考慮採納哪些組成部分

  • 6.5.2. 敏捷治理(Agile Governance)

  • 6.5.3. 風險指引體系(Risk-Informed System)

  • 6.5.4. 基於風險的戰略和執行(Risk-Based Strategy and Execution)

  • 6.5.5. 風險升級和披露(Risk Escalation and Disclosure)

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.