为什么网络风险是高管必需关心的问题

企业已经意识到网络风险的规模，但缺乏灵活的应对措施。

NTT证券对全球22个不同国家的2200家企业进行了调查。其2019 《风险：价值》年报告指出，网络攻击(43%)、数据丢失或被盗(37%)以及针对电信和能源网络的关键基础设施攻击(35%)是受访者最担心的。他们认为，除了贸易壁垒和其他重大全球事件，如环境问题、恐怖主义和政府措施失败，这些威胁将在未来一年给他们自己的企业带来更大的风险。

幸运的是，企业逐渐意识到加强网络安全的必要性。84%和85%的公司和企业分别表示，加强信息安全和保护数据完整性与业务连续性同等重要，甚至超过利润增长的重要性。90%的受访者认为强大的网络安全对他们的公司有利。

网络安全策略与事件响应计划缺失

然而，许多公司和企业甚至没有保持基本的安全水平。只有58%的受访者拥有正式的安全政策，只有48%的受访者表示他们的员工知道安全政策的内容，这意味着只有28%的公司拥有被员工广泛理解的安全政策。事故响应计划描述了利益相关方在发生安全事故时应采取的行动，这也是受访公司的一个主要缺点。只有52%的受访者有事故响应计划。其中，受访公司中只有57%的员工实际知道应对计划的内容，尽管比2018年高出3%。潜在的后果是显而易见的:如果他们遭遇了一次成功的网络攻击，这些企业对自己的计划不熟悉将使其难以处理这一事件，即使他们跌跌撞撞，蒙混过关，也需要更长时间才能恢复。

风险一直增加，安全预算却原地踏步

除了计划中的短板，公司还没有跟上日益增长的信息技术依赖性和风险。平均而言，15%的信息技术预算是以安全为导向的，但自去年以来，归因于安全的运营预算已降至16%。这非常麻烦，尤其是当物联网(IoT)和互联网操作技术(如工业4.0)激增，导致攻击接口呈指数级增长时。

德国(14%)和瑞士(12%)分配给安全性的信息技术预算最少。建筑业和制造业在安全方面的支出最少，只有13%的信息技术预算用于安全。考虑到为应对风险而投入的资源微不足道，制造业广泛使用的运营基础设施中引入的潜在破坏性威胁相当令人头痛。

1/3 的公司宁可支付赎金

NTT研究中一个值得注意的发现是，愿意支付赎金的公司数量惊人。三分之一的受访者宁愿向犯罪分子交出赎金，也不愿投资网络安全。他们声称:“这更便宜。”这种想法既危险又天真，因为它只会鼓励坏人再来，而且他们的胃口可能比第一次更大。

同样比例的受访者表示，他们宁愿支付赎金，也不愿因违规行为而受到惩罚，这表明他们担心违规行为的后果，对自己处理重要监管问题和实施稳健事件应对计划的能力缺乏信心。这种情况令人担忧，因为网络罪犯变得越来越老练。事实上，网络犯罪正在经历工业化浪潮，大规模犯罪集团正在形成繁荣的地下经济，估计年产值超过1.5万亿美元。一些民族国家正在扩大网络战能力，例如收集情报、摧毁关键基础设施或帮助当地经济。

网络攻击和泄露客户记录花费了数亿美元。例如，万豪酒店(Marriott Hotel)最近披露了3.83亿条客户记录和500多万个护照号码，脸书也披露了5.4亿条客户数据。

高管认为网络安全是 IT 任务

安全措施协调不佳可能是由于高级领导不善或盲目所致。NTT研究显示，84%的受访者表示，他们认为网络安全应该是董事会的问题，但只有72%的受访者表示这确实是董事会的问题。四分之一(23%)的受访者表示公司中有人负责管理日常安全(如CISO)，但只有13%的人表示此人最终负责网络安全。

将近一半的受访者(45%)和一半以上的首席执行官(57%)认为网络世界

结语

网络安全是企业领导者首先考虑的问题。这是真的，因为对信息技术正常运行时间和灵活性的依赖从未如此之大。然而，企业的董事会应该超越自己的意识和言辞，将它们付诸行动，以有效降低企业的风险暴露，确保长期成功。

更严格的监管框架和更高的违规罚款激发了整个企业对网络风险和合规需求的意识。然而，仍然有必要刺激公司治理的演变和发展。模拟时代的有效解决方案(例如简单地将安全性置于信息技术之下)不再足够，尤其是当数字运营和品牌声誉的收入和利润受到威胁时。在数字时代，几乎每一个董事会决策都会影响企业网络风险状况。这就是为什么网络安全应该成为董事会议程上的常规项目，以及为什么网络安全应该在更广泛的风险框架内不断重新评估。最重要的是事件响应和沟通计划，以及定期演习。这些措施是企业在网络攻击成功后有机会快速恢复的唯一途径。