达信&amp微软：网络复原力状况报告（全球版本）（2022）（26页）.pdf

1、网络复原力现状达信和 Microsoft 共同发布了一份新报告，旨在帮助所有部门的领导者协调并确定 2022 年及以后网络战略的优先事务。网络复原力现状2 2目录01前言02040506执行摘要03了解网络风险：当今需要了解的 8 个关键趋势建立企业的网络风险团队建立企业级网络风险管理的最佳实践共担责任可树立对网络复原力的信心网络复原力现状3前言由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战，使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再。这是 2022 年达信和 Microsoft 网络风险调查（双方公司在过去四年中开 展的第三次合作）的结果之一。令人不再抱有

2、信心的一件事情是，大多数公司没有采用企业级的网络风险控制方法；这种方法的核心内容之一是在公司对自身网络复原力的真实情况作出关键决策的过程中，促进利益相关者之间的协作和统一。例如，所有涉及网络风险的部门都应参与网络事件管理，并在整个企业范围内分享网络见解，以恰当地解决公司网络安全的薄弱环节。今年，我们的报告探讨了公司各职能部门和领导者（尤其是 网络安全和 IT、风险管理和保险、财务以及高管领导层）对网络风险的看法。虽然所有这些职能部门在网络风险方面有着共同的利益，但我们发现他们往往独立行事，忽视了企业级的方法所能带来的潜在好处。我们的调查中反映了他们不同的网络风险管理观点和方法，并且发现只有 4

3、1%的组织在制定网络风险计划时得到了法律、企业规划、财务、运营或供应链管理部门的参与。在接下来的几页中，您将了解到公司网络领导者在寻求网络风险方面的共识时可以讨论的 8 个关键趋势。该报告还介绍了企业网络团队的角色和职责，以帮助他们了解彼此的需求、责任和观点。最后，我们分享了一些最佳实践，希望可以帮助企业调整自身行为以更有效地管理网络风险。在此，我们特别感谢来自世界各地多个组织的 650 多名网络风险领导者，感谢他们百忙之中抽出宝贵时间分享自己对这一重要话题的想法。希望本报告能将您的整个组织凝聚在一起，并在您构建企业级的网络复原力方法时促进对话。只有 41%的组织让法务、企业规划、财务、运营或

4、供应链管理等部门共同参与制定网络风险计划网络复原力现状4执行摘要网络风险普遍存在于大多数组织当中。员工或供应商从家中启动笔记本电脑会带来风险。将新产品连接到物联网的用户会引入风险。因担心网络威胁而决定不推出新产品是一种风险。诸如此类。应对此类风险需要在整个企业范围内采取统一的措施。关键网络风险趋势在分析 2022 年达信和 Microsoft 网络风险调查的回应时，我们发现了 8 个趋势：1.网络特定的企业级目标 包括网络安全措施、保险、数据和分析以及事件响应计划）应与构建网络复原力（而不是简单地预防事件）保持一致，因为每个组织都可能遭受网络攻击。73%的公司表示他们经历过网络攻击。2.勒索软

5、件被认为是公司面临的首要网络威胁，但不是唯一的威胁。其他常见的威胁包括网络钓鱼/社会工程学攻击、隐私泄露以及由于外部供应商受到攻击而造成的业务中断。3.保险是网络风险管理战略的重要组成部分，并会影响最佳实践和控制措施的采用。61%的受访者表示他们的公司购买了某种类型的网络保险。4.采用更多的网络安全控制措施可提高网络卫生评级。只有 3%的受访者将其公司的网络卫生级别评为优秀。5.组织在从财务角度衡量网络风险方面较为滞后，这损害了其在企业内部有效传达网络威胁的能力。只有 26%的受访者表示他们的组织采用财务手段来应对网络风险。6.尽管企业各项开支的优先级有所不同，但在降低网络风险方面的投资仍在继

6、续增加。64%的受访者表示，网络风险投资不断增加的刺激因素是遭受了攻击。7.新技术需要不断地进行评估和监控，而不仅仅是在采用前的探索和测试期间。54%的公司表示，他们不会在实施阶段以外对新技术进行风险评估。8.公司采取了许多网络安全措施，但普遍忽视了他们的供应商/数字供应链。只有 43%的受访者对其供应商/供应链进行了风险评估。建立一支富有弹性的团队了解企业中的专业人士如何看待自身在网络保险、网络事件管理、网络安全工具和服务等方面的角色非常重要。他们是否认为自己起到决策者的作用？是否作为整个团队的一员，并为决策提供意见？或者他们是否根本没有参与？这些答案将在很大程度上决定公司为了发展企业级网络