據(jù)世界經(jīng)濟(jì)論壇今年初發(fā)布的《2022年全球網(wǎng)絡(luò)安全展望》報(bào)告，92%的受訪企業(yè)高管認(rèn)為，網(wǎng)絡(luò)韌性已融入企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略中。網(wǎng)絡(luò)韌性是指保護(hù)組織免受網(wǎng)絡(luò)攻擊，或緩解安全事件，使其不會(huì)造成重大破壞的能力。然而，只有55%的安全管理人員認(rèn)為，網(wǎng)絡(luò)韌性已融入風(fēng)險(xiǎn)管理戰(zhàn)略中。這表明兩者對(duì)網(wǎng)絡(luò)安全的認(rèn)知層面存在重大分歧。

一方面董事會(huì)認(rèn)為，為了減輕威脅，已經(jīng)做了足夠多的工作。而另一方面，安全專家卻認(rèn)為遠(yuǎn)遠(yuǎn)不夠。這種認(rèn)識(shí)差距的原因之一是，網(wǎng)絡(luò)安全人員經(jīng)常覺得企業(yè)高層并沒有就安全方面咨詢過(guò)他們的意見，也就意味著安全有時(shí)會(huì)以效率或成本的名義被忽略。

例如，以勒索軟件為例。報(bào)告顯示，80%的網(wǎng)絡(luò)安全負(fù)責(zé)人認(rèn)為勒索軟件是對(duì)公共安全的“危險(xiǎn)”和“威脅”，而不僅僅是對(duì)他們自己的組織。通常情況下，只有當(dāng)企業(yè)成為網(wǎng)絡(luò)攻擊的受害者時(shí)，董事會(huì)才會(huì)真正開始關(guān)注網(wǎng)絡(luò)安全。

最好、最具韌性的公司就是已經(jīng)被入侵的公司，因?yàn)樗麄兡軌蛘嬲斫馊肭值暮蠊?/p>

——世界經(jīng)濟(jì)論壇網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人Algirde Pipikaite

顯然，這種成為受害者之后再尋求安全保護(hù)的做法是極其錯(cuò)誤的。組織的網(wǎng)絡(luò)安全負(fù)責(zé)人可以采取一些措施，以縮小企業(yè)高管與安全人員之間的認(rèn)知，進(jìn)而真正的提高機(jī)構(gòu)的網(wǎng)絡(luò)彈性。如，用通俗易懂的語(yǔ)言向董事會(huì)解釋安全威脅和問題，同時(shí)身為網(wǎng)絡(luò)安全人員也要了解企業(yè)的業(yè)務(wù)如何運(yùn)營(yíng)，哪些業(yè)務(wù)最為重要，哪些資產(chǎn)應(yīng)該優(yōu)先考慮。

另外，持續(xù)取得業(yè)務(wù)部門的理解和支持是安全項(xiàng)目得以成功的關(guān)鍵。針對(duì)網(wǎng)絡(luò)安全事件響應(yīng)的桌面演練，是一個(gè)讓業(yè)務(wù)部門和安全部門對(duì)話合作的有效方法。它可以提高業(yè)務(wù)團(tuán)隊(duì)和安全團(tuán)隊(duì)對(duì)潛在問題的認(rèn)識(shí)，讓他們都感覺自己被納入了決策過(guò)程。在發(fā)生真正的事件時(shí)，雙方有一個(gè)可以共同遵循的計(jì)劃。

《2022年全球網(wǎng)絡(luò)安全展望》報(bào)告地址：https://www.weforum.org/reports/global-cybersecurity-outlook-2022