根據普華永道最新的年度全球 CEO 調查，網絡安全現在被列為全球首要任務之一，就擔憂程度而言，它僅次于疫情。因此，網絡安全風險管理策略不應再被視為 CTO 和 IT 總監的關注點，而每個供應鏈和技術總監都需要將其列入議程。 

數據有可能改變風險管理和彈性。正確的數據、分析和報告工具可以幫助確定未來風險更有可能發生和不發生的地方，從而使資源能夠集中在極具價值并容易受到威脅的領域。使用這些指標還可以幫助避免決策中的情緒偏見：我們認為更大的風險并非總是那些需要密切監控的風險。

如果可以證明某個組件或技術更容易出現故障，那么以同樣的由進度驅動的方式進行檢查或審計可能沒有意義。同樣，可以為低風險領域設計更有效的方法，從而騰出資源來關注和確保高風險活動。經驗豐富的數字保障合作伙伴將能夠就要監控的數據以及如何分析和采取行動提供咨詢。 

數字化轉型帶來了巨大的機遇，但經驗告訴我們，實施起來可能非常具有挑戰性，如果以零敲碎打的方式進行，不太可能產生正確的影響。2020 年的一項研究顯示，在疫情開始時實施的數字化轉型升級中，59% 的企業需要短期修復來解決因倉促部署而產生的問題。如果將保證和風險緩解更好地集成到變更管理流程中，則可能會避免這種情況。 

一個常見的錯誤是采取技術驅動的方法，為技術而部署技術。至關重要的是，尋求將其運營和風險保障計劃數字化的企業必須從他們想要解決的問題出發，而不是他們認為缺少的技術或數據源。這需要一個有凝聚力的數字保障戰略，其中包括人員、流程和技術的正確融合。 

日益增長的數字化和數據流增加了攻擊者可能利用的潛在漏洞。供應商是任何希望全面了解其運營和質量保證的公司的重要數據來源，但這個數字供應鏈也需要網絡安全保障。企業不僅需要了解自己的網絡安全風險管理策略，還需要了解在評估供應鏈時可能出現的網絡威脅。 

在過去幾年中，我們看到勒索軟件的網絡威脅格局發生了轉變，頻率翻了一番，占所有違規行為的 10%，并且越來越多地通過潛伏勒索軟件攻擊供應鏈。這些攻擊不僅獲得了主機網絡的特權，而且還看到了整個生態系統如何受到影響。供應鏈的全球性增加了這些攻擊的潛在影響，增加了風險評估在網絡安全中的重要性。 

在這種環境下，傳統的審計和年度網絡安全風險評估已不再適用。它們僅在某一時刻提供系統快照，不考慮臨時所需的系統新漏洞或更改。 

這兩個問題的一種解決方案是持續控制監控。這使企業能夠實時跟蹤網絡安全風險評估所需的數據，包括從供應商處獲得的數據。威脅情報平臺和監控可以促進持續和主動的監控方法。 

與供應商和專家的協作方法可以幫助企業在開發更智能的風險保障方法和在網絡安全中建立適當的信息保障方面取得長足的進步。 

對全球管理體系標準（如 ISO 27001）的認證要求以及審計和評估 IT 安全性的權利是許多合同協議的一部分。美國國家標準與技術研究院 (NIST) 網絡安全框架也正在逐漸成為一項全球標準，該標準考慮了對供應商控制的需求。這為雙方提供了互惠優勢，采購商幫助培訓和提升供應商的技能，提高整個供應鏈的能力和彈性。 

所有這些都表明需要以一種適合企業的方式將網絡彈性整合到數字風險保障計劃中，解決你意識到的威脅并考慮你忽視的威脅。對運營數據和信息安全、漏洞及威脅進行持續協作監控，可以更好地降低風險、提高效率并促進更明智的決策。  

原文標題：A Smarter Cyber-Risk Management Strategy

作者：Rob Acker 

鏈接：https://www.infosecurity-magazine.com/blogs/smarter-cyberrisk-management/