?調查表明，英國監管機構最新發布的運營彈性規則和指南于2022年3月31日生效后，英國金融服務業正在發生巨大變化。這些規則和指南規定企業必須采取的行動，對災難進行預防、適應、應對、恢復，以及從各種形式的運營中斷中吸取教訓，并要求企業能夠在2025年3月之前在其“影響限度”內運營。

至關重要的是，正如英格蘭銀行(BoE)和英國金融行為監管局(FCA)所指出的那樣，運營彈性現在已經從簡單的業務連續性和災難恢復擴展到網絡安全領域。

增強網絡彈性的三個支柱和步驟

網絡攻擊是對業務運營造成的最嚴重破壞之一，而出人意料的網絡攻擊給那些準備不足的受害者帶來毀滅性的后果。根據調查，僅在2020年，全球金融行業遭受的網絡攻擊數量就飆升了200%，而且此后攻擊數量一直在增加。

保持對這些風險的足夠彈性是采用有效網絡安全戰略的三大支柱，只有將這三者結合起來，企業才能保持健全的結構。

(1)人員是資產，而不是薄弱環節

當人們從網絡安全的角度考慮潛在的薄弱環節時，這些薄弱環節往往是企業的內部人員，而他們通常缺乏關于如何避免陷阱或報告可疑事件的知識。例如，根據英國政府的2022年網絡安全漏洞調查，在2022年遭到網絡攻擊的企業中，有83%的企業表示網絡釣魚嘗試是最常見的威脅媒介。

眾所周知，網絡釣魚攻擊利用了“人為因素”——人們通常會信任熟悉事物和應對壓力的自然本能。因此，擁有能夠識別網絡釣魚企圖的員工是金融服務組織如今可以擁有的最大資產之一。確保這一點的最佳方法是為他們提供安全培訓，并在模擬網絡釣魚攻擊練習中測試他們掌握的知識，并定期進行測試，以便始終保持高度警惕。這樣，如果員工成為網絡釣魚電子郵件的目標，他們將知道如何識別，并采取必要措施消除威脅。

由于網絡釣魚對于惡意行為者來說仍然是一種方便且有利可圖的行為，因此企業別無選擇，只能用知識和信心武裝員工來應對挑戰。

(2)適當的流程可以防止攻擊

其次，必須制定流程以確保決策者準確地知道在面臨威脅時該做什么。然而，這樣的過程很難單獨定義。幸運的是，英國國家網絡安全中心(NCSC)提供了包括Cyber Essentials和Cyber Essentials Plus在內的認證，重點關注網絡彈性的主要領域。這其中包括管理防火墻、安全配置、訪問控制和惡意軟件防護。如果成功實施這些流程，英國國家網絡安全中心(NCSC)估計可以防止多達80%的網絡攻擊。

此外，諸如ISO27001之類的認證可以幫助覆蓋Cyber Essentials所沒有的范圍。例如，Cyber Essentials往往側重于設備、網絡和企業IT基礎設施的其他部分上持有的數據和程序，ISO27001認證關注的是企業持有的所有數據，無論是紙質數據還是數字形式。

除了預防之外，還必須制定流程來處理數據泄露或網絡攻擊的后果。在這些情況下，僅依靠認證并不能避免運營中斷和潛在的GDPR處罰。必須采取適當的操作措施，以便合適的人可以決定適當的行動方案，其措施從通知英國信息專員辦公室(ICO到提醒客戶和合作伙伴，具體做法因情況而異。

(3)采用正確的技術和工具

最后，正確的工具將在確保網絡和運營彈性方面發揮關鍵作用。研究機構Gartner公司預測，到2023年，全球信息安全支出將增長11.1%，達到1870億美元，其中大部分將用于采用正確的技術。所有這些投資都假設企業擁有大量熟練和敬業的員工來操作此類技術。然而，情況并非總是如此，尤其是在硬件和可用員工短缺的情況下。

許多企業根本沒有資源來購買新技術或為他們的安全運營中心(SOC)聘請新員工。事實上，只有44%的企業擁有監控或記錄違規事件的工具。因此，四分之一的企業正在轉向尋求外部網絡安全提供商的幫助來滿足他們的需求。

不是是否而是何時發生網絡攻擊

事實證明，網絡攻擊事件并不是能否發生，而是何時發生，因此對此視而不見并不是一種很好的選擇。與其相反，企業必須實施全面的技術控制、加強員工網絡安全意識以及采用適當的操作程序。通過讓網絡彈性的所有三個支柱協同工作，企業能夠確保他們的運營彈性。