​更明智的网络风险管理策略

根据普华永道最新的年度全球 CEO 调查，网络安全现在被列为全球首要任务之一，就担忧程度而言，它仅次于疫情。因此，网络安全风险管理策略不应再被视为 CTO 和 IT 总监的关注点，而每个供应链和技术总监都需要将其列入议程。 

数据有可能改变风险管理和弹性。正确的数据、分析和报告工具可以帮助确定未来风险更有可能发生和不发生的地方，从而使资源能够集中在极具价值并容易受到威胁的领域。使用这些指标还可以帮助避免决策中的情绪偏见：我们认为更大的风险并非总是那些需要密切监控的风险。

如果可以证明某个组件或技术更容易出现故障，那么以同样的由进度驱动的方式进行检查或审计可能没有意义。同样，可以为低风险领域设计更有效的方法，从而腾出资源来关注和确保高风险活动。经验丰富的数字保障合作伙伴将能够就要监控的数据以及如何分析和采取行动提供咨询。 

数字化转型带来了巨大的机遇，但经验告诉我们，实施起来可能非常具有挑战性，如果以零敲碎打的方式进行，不太可能产生正确的影响。2020 年的一项研究显示，在疫情开始时实施的数字化转型升级中，59% 的企业需要短期修复来解决因仓促部署而产生的问题。如果将保证和风险缓解更好地集成到变更管理流程中，则可能会避免这种情况。 

一个常见的错误是采取技术驱动的方法，为技术而部署技术。至关重要的是，寻求将其运营和风险保障计划数字化的企业必须从他们想要解决的问题出发，而不是他们认为缺少的技术或数据源。这需要一个有凝聚力的数字保障战略，其中包括人员、流程和技术的正确融合。 

日益增长的数字化和数据流增加了攻击者可能利用的潜在漏洞。供应商是任何希望全面了解其运营和质量保证的公司的重要数据来源，但这个数字供应链也需要网络安全保障。企业不仅需要了解自己的网络安全风险管理策略，还需要了解在评估供应链时可能出现的网络威胁。 

在过去几年中，我们看到勒索软件的网络威胁格局发生了转变，频率翻了一番，占所有违规行为的 10%，并且越来越多地通过潜伏勒索软件攻击供应链。这些攻击不仅获得了主机网络的特权，而且还看到了整个生态系统如何受到影响。供应链的全球性增加了这些攻击的潜在影响，增加了风险评估在网络安全中的重要性。 

在这种环境下，传统的审计和年度网络安全风险评估已不再适用。它们仅在某一时刻提供系统快照，不考虑临时所需的系统新漏洞或更改。 

这两个问题的一种解决方案是持续控制监控。这使企业能够实时跟踪网络安全风险评估所需的数据，包括从供应商处获得的数据。威胁情报平台和监控可以促进持续和主动的监控方法。 

与供应商和专家的协作方法可以帮助企业在开发更智能的风险保障方法和在网络安全中建立适当的信息保障方面取得长足的进步。 

对全球管理体系标准（如 ISO 27001）的认证要求以及审计和评估 IT 安全性的权利是许多合同协议的一部分。美国国家标准与技术研究院 (NIST) 网络安全框架也正在逐渐成为一项全球标准，该标准考虑了对供应商控制的需求。这为双方提供了互惠优势，采购商帮助培训和提升供应商的技能，提高整个供应链的能力和弹性。 

所有这些都表明需要以一种适合企业的方式将网络弹性整合到数字风险保障计划中，解决你意识到的威胁并考虑你忽视的威胁。对运营数据和信息安全、漏洞及威胁进行持续协作监控，可以更好地降低风险、提高效率并促进更明智的决策。  

原文标题：A Smarter Cyber-Risk Management Strategy

作者：Rob Acker 

链接：https://www.infosecurity-magazine.com/blogs/smarter-cyberrisk-management/