網絡安全是每個在線企業的重要組成部分。

這是一種假設：使用同樣的密碼，在一天結束后退出瀏覽器，便認為自己是安全的嗎?然而，只要電腦還在運行，黑客就可以訪問登錄頁面并竊取憑證。這就是了解網絡安全之前所做的假設。

假設引發了前所未有的網絡攻擊。2023年，基于密碼的攻擊增加了10倍以上。根據Microsoft《2023年數字防御報告》，這相當于“今年每月約30億至300多億次，平均每秒有4000次針對微軟云身份的密碼攻擊。”

關于網絡安全的一個重要假設是，如果擁有一個IT團隊、網絡安全框架和新員工培訓，便能得到保障。這樣想很美好。

然而，網絡是一種生活方式的選擇。就像吃健康的食物和鍛煉一樣，這是一項艱苦的工作，但風險更高。據《網絡犯罪》雜志報道，60%的小企業在遭到黑客攻擊的6個月內倒閉。網絡罪犯不僅僅是小偷，其還想竊取有關企業的知識產權和聲譽。

好在，現在可以通過定期探索三個網絡評估來克服常見的假設，特別是針對金融服務企業:

評估企業的風險狀況

• 企業當前的網絡風險狀況如何?
• 企業當前的網絡風險狀況如何與董事會或領導層確定的可接受風險界限相一致?
• 管理層制定的風險狀況是否符合企業的風險承受能力?

監控企業的曝露情況

• 企業實際面臨的網絡風險是什么?
• 哪些是真實的，需要采取哪些步驟來減少暴露?
• 是否有任何已查明的供資或資源缺口需要加以解決，以達到可接受的風險水平?

采取負責任的措施，防止網絡風險對商業產生影響

• 對于網絡風險和數據暴露，企業知道哪些具體的可量化的商業影響?
• 已知網絡風險和數據暴露對企業的可衡量影響是什么?
• 企業有哪些技術可以使監控過程自動化?

探索這些基礎，如訪問控制、業務功能隔離、加密、備份、事件響應和業務連續性，將用知識取代假設。知識是現代成功企業的通用貨幣。