據世界經濟論壇今年初發布的《2022年全球網絡安全展望》報告，92%的受訪企業高管認為，網絡韌性已融入企業風險管理戰略中。網絡韌性是指保護組織免受網絡攻擊，或緩解安全事件，使其不會造成重大破壞的能力。然而，只有55%的安全管理人員認為，網絡韌性已融入風險管理戰略中。這表明兩者對網絡安全的認知層面存在重大分歧。

一方面董事會認為，為了減輕威脅，已經做了足夠多的工作。而另一方面，安全專家卻認為遠遠不夠。這種認識差距的原因之一是，網絡安全人員經常覺得企業高層并沒有就安全方面咨詢過他們的意見，也就意味著安全有時會以效率或成本的名義被忽略。

例如，以勒索軟件為例。報告顯示，80%的網絡安全負責人認為勒索軟件是對公共安全的“危險”和“威脅”，而不僅僅是對他們自己的組織。通常情況下，只有當企業成為網絡攻擊的受害者時，董事會才會真正開始關注網絡安全。

最好、最具韌性的公司就是已經被入侵的公司，因為他們能夠真正理解入侵的后果。

——世界經濟論壇網絡安全戰略負責人Algirde Pipikaite

顯然，這種成為受害者之后再尋求安全保護的做法是極其錯誤的。組織的網絡安全負責人可以采取一些措施，以縮小企業高管與安全人員之間的認知，進而真正的提高機構的網絡彈性。如，用通俗易懂的語言向董事會解釋安全威脅和問題，同時身為網絡安全人員也要了解企業的業務如何運營，哪些業務最為重要，哪些資產應該優先考慮。

另外，持續取得業務部門的理解和支持是安全項目得以成功的關鍵。針對網絡安全事件響應的桌面演練，是一個讓業務部門和安全部門對話合作的有效方法。它可以提高業務團隊和安全團隊對潛在問題的認識，讓他們都感覺自己被納入了決策過程。在發生真正的事件時，雙方有一個可以共同遵循的計劃。

《2022年全球網絡安全展望》報告地址：https://www.weforum.org/reports/global-cybersecurity-outlook-2022