网络风险与商业风险的边界已被打破

重点摘要

网络风险已成为商业风险的重要组成部分，企业需要重新审视风险管理策略。当前的全球化、供应链依赖、地缘政治等趋势加速了网络风险与业务风险的融合。企业需优先考虑网络安全问题，以免遭受高达940万美元的数据泄露损失。C级安全和风险领导者需关注合规性与新兴网络威胁，以保护企业利益。

企业现在无法将围绕金融不确定性和法律责任构建的传统风险模型与信息技术安全风险区分开来。因此，风险管理官员应时刻保持与首席安全官的紧密联系。

网络风险与商业风险的概念并不新颖，例如，网络安全合规性长期以来就是企业必须面对的现实。然而，后疫情时代的新趋势正在加速这两者之间界限的模糊化。

这些趋势包括全球化的加速、对供应链的高度依赖、新兴的对抗策略与地缘政治目标、云计算的依赖、经济衰退以及员工缓慢返岗等。这一系列因素促使企业重新审视传统的风险暴露、评估、缓解和监测的定义。

与此同时，C级安全与风险领导者开始重新审视网络安全责任，因为监管机构对那些被认为在数据泄露方面存在疏忽的公司采取了更为激进行动。甚至有案例中首席安全官因与数据泄露间接相关而面临刑事指控。

在过去一年中，众多2022年数据泄露事件引起了监管机构和集体诉讼律师的关注。过去一年中支付的经济罚款为那些未能保护客户私人信息的公司敲响了警钟，一旦发生网络攻击和数据泄露，将面临巨额损失。

将网络风险视为商业风险

可以说，这些公司在攻击发生前未能准确评估其攻击面上的风险，或对事后“假设”场景的额外风险进行了错误评估。

网络防御需要同时关注合规性、架构和数据泄露后的应对情况，但这并不是全部，企业还需要重点防止网络攻击的发生。这就需要强调从“攻击者的视角”出发，识别并缓解外部攻击面上的安全盲点和弱点。

企业不希望受到攻击，然而所有企业都面临运营风险，其中包括数据泄露。这种风险不仅会影响声誉，还可能转化为经济损失。根据Ponemon Institute的报告，2022年美国数据泄露的平均成本高达940万美元。

未来一年将是雇主面临挑战的一年，他们将应对员工缓慢回归办公室的后疫情“鞭子效应”。加上2022年的“大辞退”潮，正在进入被称为2023年的“大重置”时期。这一趋势与由于宏观经济条件变化而导致的公司成本紧缩有关。

这些潜在的变化将迫使IT运营团队重新调整其IT架构。企业会继续升级和更改基础设施，摒弃疫情期间匆忙构建的解决方案，优先创建更可持续、经济实惠且易于管理的系统。

然而，这种变化也伴随着风险。在接下来的12个月内，安全团队需要在支持旧平台和上线新平台之间寻找平衡。一旦在切换过程中出现最小的配置错误或被忽视的资产，都可能导致企业的外部攻击面和风险状况出现漏洞。

我们将第三方网络安全风险定义为组织对其供应链及与其合作的任何合作伙伴或子公司的依赖，包括IT服务提供商、云环境和SaaS应用。企业也需要考虑流入和流出合作伙伴及子公司的第三方风险。

国土安全部部长亚历杭德罗马约卡斯指出，全球化使世界变得更加危险。在2022年12月的一次演讲中，马约卡斯表示，美国正面临一种“新型战争”，它不再区分公共与私营组织。

“经济和政治的不稳定以及我们全球化的经济消除了边界，并不断将威胁和挑战直接带入我们的社区包括学校、医院、小企业、地方政府和关键基础设施，”马约卡斯说。