德勤:网络风险,风险驱动绩效

董事会和高管层在帮助企业应对持续变化的网络威胁环境中扮演关键角色
当前,网络威胁和攻击越来越多,并且越来越复杂。与此同时,不同业务领域间的联系越来越紧密,数字化发展趋势也越来越明显。罝身于这样的新环境,网络威胁管理获得了前所未有的重视,成为企业业务和战略层面势在必行的关键活动。当前,由于庞大犯罪网络,外国政府支持的黑客和网络恐怖分子的频繁活动,网络犯罪的定义不断拓展:网络犯罪并不仅限于诈骗和盗窃,已包含服务中断,数据破坏或损毁,以及从受害者处获得财物、访问权,或凭借窃取的企业机密进行敲诈勒索。
重中之重
情势严峻,董事会和高管层也越发意识到网络风险必须作为首要的业务风险对待,并且要提高这种风险意识,使之根植于企业文化中。目前企业业务活动的各方面都涉及数字信息,因此网络风险意识不应仅限于信息技术部门和企业内部,而应扩展到每一个合作伙伴、每一位客户、每一名员工以及每一项业务流程。
企业高管应时刻保持企业终将被入侵的风险意识,对网络威胁开展研究了解,明确对企业影响最大的威胁是什么,而这些威胁又将会把企业重要资产罝于何种危险之中?当高管们以这种积极态度去保护企业业务价值时,不少人会困惑如何才能保证他们的努力不白费?他们到底担负着什么样的责任?他们应重点培养哪些能力?哪些是应当解决的关键问题?面对这么多困惑和不断进化的威胁环境,如何备好万全之策异常艰巨。所以高管们应为或有事件,而不只是可能事件,做好预先准备工作是一个审慎向前的选择。
面对挑战虽然没有绝对的解决方案,但是董事会和高管层可以从开发定制网络安全计划或改进现有方案着手而后文中,我们抛出的十个问题也将帮助推动董事会进一步讨论管理层面可持续的网络安全策略,包括如何面对不断变化的挑战,如何消除网络风险,以及如何抓住机遇?
下列十个必须回答的深度问题,将有助于企业管理层更好地理解他们所处的境况以及什么时候他们的企业将变得安全、警戒和具有韧性。
1.        我们是否对网络风险开展全面评估、确认其归属并进行了有效管理?
2.        我们是否有合适的领导和管理人才?
3.        我们是否已经建立起反映我们风险偏好和预警阈值的,恰当的网络风险上报机制?
4.        我们是否关注且做了正确的投资?如果是,我们如何评价和衡垦我们的决策结果?
5.        我们的网络风险管理工作和能力是如何满足行业标准和符合行业发展趋势的?
6.        我们是否在全体范围内形成了以网络风险为中心的思维方式和网络风险意识的企业文化?
7.        我们做了哪些工作来保护企业免于第三方网络风险?
8.        我们能否遏止由于网络安全事件导致的损失,并且调动相关资源进行应对?
9.        我们如何评价企业网络风险项目的有效性?
10.        我们是否是企业紧密关联的生态系统中强大且安全的一环?

推荐文章

沪公网安备 31010702002009号