1.1. 安全是风险管控功能的一部分
1.2. 风险管理是一种成熟的实践
1.2.1. 安全领域的风险实践并没有那么成熟
1.3. 大多数安全组织和从业者采用一种临时方法
1.3.1. 法律、监管机构和不断变化的经济环境正要求企业安全实践的期望发生转变,所有这些都指向采用更为成熟的风险功能作为未来的发展方向
1.4. 网络风险管理计划应被明确定义为一个独立的计划
1.4.1. 现在这一点已不再是可选项
1.5. 企业运营的快速数字化和日益增加的监管压力意味着企业的安全策略必须持续迭代
1.6. 为这个快速变化的世界提供了指南,因为尽管技术和威胁在不断发展,但风险管理原则是永恒的
1.7. 数字化转型的影响深远、复杂且难以预测
1.7.1. 每一家企业都在缺乏必要或适当风险考量的情况下进行数字化转型,这使得风险敞口呈指数级加速增长
1.7.2. 网络风险管理没有一蹴而就的办法
2. 网络安全2.1. 错综复杂的互联网络是由世界对数字技术的过度依赖(无论是在通信还是协作方面)造成的,同时,它们以极快的速度引入了前所未有的风险,并且这些风险还在不断加剧
2.2. 安全组织正努力应对这些威胁和漏洞所带来的重大挑战,然而往往力不从心
2.3. 企业现在和未来是通过制订一个全面的、企业级的网络风险管理计划来保护自己
2.3.1. 关键是定义、制订和实施网络风险管理计划
3. 工业革命3.1. 第一次工业革命利用水力
3.1.1. 河流驱动水车和燃煤锅炉为蒸汽机提供动力
3.1.2. 来推动制造业生产(钢铁厂和纺织厂)和交通运输(火车和船只)
3.2. 第二次工业革命使这些过程电气化,使得真正的大规模生产成为可能
3.3. 第三次工业革命
3.3.1. 基于电子技术,利用自动化和信息交换来提高运营效率
3.3.2. 现在仍在继续
3.4. 第四次工业革命
3.4.1. 有时被称为工业4.0
3.4.2. 由世界经济论坛(WEF)创始人、经济学家克劳斯·施瓦布在2010年代推广的一个术语
3.4.3. 由技术的日益互联互通和自动化所驱动的系统和流程的快速且不断加速的变革,这种方式模糊了物理世界和数字世界之间的区别
3.4.4. 包括人工智能、先进机器人技术、机器对机器(M2M)通信、构成物联网(IoT)的自主设备网络,以及许多即将出现的技术
3.4.5. 第四次工业革命的发展速度是指数级的而不是线性的
3.4.5.1. 几乎在每个国家对每个行业都造成了破坏
3.4.6. 它的根本驱动力在于现有系统、应用、设备和流程的数字化,并且至关重要的是持续且快速涌现出的新的数字技术
3.5. 五个关键趋势
3.5.1. 行业融合
3.5.1.1. 各个行业都在变化,变化周期不断变短
3.5.1.2. 新的生态系统、商业模式和消费者行为正在模糊各个市场细分的行业边界
3.5.2. 全球化
3.5.2.1. 当价值链中涉及的人和组织(制造商、供应商、合作伙伴、客户)遍布全球时,企业必须认识到自身面临的风险是不同的、高度不可预测的,并且规模之大是以前从未处理过的
3.5.3. 监管期望
3.5.3.1. 企业比以往任何时候都更受立法者、监管机构、行业和消费者组织以及广泛的其他利益相关者的密切监视
3.5.4. 法律诉讼挑战
3.5.4.1. 在面临诸如数据泄露等网络安全事件时,企业的作为或不作为常常导致损害性的诉讼
3.5.5. 不断变化的监管环境
3.5.5.1. 监管要求正变得越来越复杂、越来越严格,同时这些要求之间的矛盾也日益增加
3.5.5.2. 这导致了违规风险的增加,以及管理这些风险的难度和成本
3.6. 两个极具颠覆性的因素
3.6.1. 速度
3.6.1.1. 变化速度的一个极好的衡量指标是美国最古老和最重要的股票市场指数之一的标准普尔500指数(S&P500)
3.6.1.1.1. 1964年,一家公司在S&P的平均上市期是33年
3.6.1.1.2. S&P预测,到2027年,这一数据将降至仅12年
3.6.1.2. 企业需要快速行动
3.6.1.2.1. 快速行动也意味着承担风险
3.6.1.2.2. 风险与回报对话中的某种平衡则涉及如何在不同风险之间进行权衡
3.6.1.2.3. 网络风险可能会以牺牲效率和其他项目的融资为代价,更有甚者,是以输给那些可能愿意或能够承担更多风险的竞争对手为代价
3.6.1.2.4. 一个良好的网络风险管理计划,能够提供及时和值得信赖的风险信息,能让公司在了解未来情况的条件下更快地前进
3.6.1.2.5. 这个计划将更快地识别风险,也能意识到落实管理风险的措施所需要的迟滞时间
3.6.1.2.5.1. 代表了在这个数字化环境中的战略优势
3.6.2. 波动性
3.7. 一切都在以惊人的速度加速发展,而这种加速本身还在持续加快—市场、政治、消费者行为—这使得一切变得更加复杂、不稳定、难以预测,也更难管理
3.7.1. 企业别无选择,只能变得比以往任何时候都要敏捷,并且必须通过风险决策过程不断优化和增强其敏捷性
3.8. 数字化转型使得制造商能够实现几年前还无法想象的运营和物流效率
3.8.1. 该过程中所有不同的环节都可以由不同的实体来处理
3.8.2. 它们不属于同一组织结构,也不必属于同一家公司
3.8.3. 它们都将是数字化世界的一部分,迫使所有参与者重新思考这些流程和互动所蕴含的数字化风险
3.9. 全球经济从未经历过比现在更激烈的“创造性破坏”时期,这一过程几乎完全由数字化转型推动
3.9.1. 数字技术为具有创新精神和前瞻性思维的企业开辟了创造性的机遇,同时,也在实际中摧毁了那些未能创新或创新速度不够快的企业
3.9.2. 数字技术使企业的运营和流程变得比以往任何时候都更加脆弱
3.9.3. 在一个被数字技术改变的世界中,必须对安全风险管理进行彻底变革,以跟上企业环境不断发生的数字化变革
3.10. 数字技术对我们的职业和个人生活的渗透现在已经如此彻底,以至于我们大多数人认为这是理所当然的
3.10.1. 往往意味着我们没有认识到它所带来的根本性变化,包括这些变化对我们的工作生活产生的剧烈影响,以及我们对所有技术的依赖程度
4. 风险管理实践4.1. 网络安全从根本上说是一种风险管理实践
4.2. 企业总是需要在适应、创新、竞争和生存中承担风险
4.2.1. 商业的各个方面都涉及风险管理
4.3. 不存在所谓的零风险环境
4.3.1. 网络风险管理计划的角色是帮助企业决策者理解他们面临的风险,并引导他们完成一个基于风险信息的决策过程
4.4. 安全专业人士,无论他们的角色如何,无论他们在企业中的地位如何,都不应试图消除所有风险
4.4.1. 因为这是做不到的,还因为这是对他们宝贵的时间和资源的一种无谓的浪费
4.4.2. 在日常生活中我们都在不断地做出基于风险的决策
4.4.3. 应该与企业的关键利益相关者合作,定义风险和回报之间的恰当平衡,建立可接受的风险水平,并制订适当的安全和风险管理措施
4.4.4. 会有助于确保这些利益相关者将他们视为有同等地位的战略决策者,而不仅仅是安装防病毒软件或部署VPN的技术人员
4.4.4.1. 意味着安全应该在做出重要决策之时占有一席之地
4.4.5. 培养对正在重塑世界、企业和成熟风险管理学科的变化的理解能力,这种理解能力会更丰富、更细致
4.5. 安全从业者当然一直在实践风险管理
4.5.1. 往往以一种临时的方式处理风险管理,当风险、威胁和漏洞出现并被识别出来时才去应对
4.6. 安全领域必须成熟起来,以应对新兴风险所需的速度和满足企业不断变化的需求
4.6.1. 这只能通过一个全面的网络风险管理计划来实现
4.7. 变革总是困难的,像数字化转型带来的激进的变革肯定会特别困难
4.7.1. 由数字化转型驱动的基于新风险的安全方法不仅带来了挑战,也意味着新的专业和个人参与及发展的新机遇
5. 网络风险的管理监督与问责5.1. 唯一的出路就是重塑自我
5.1.1. 你能拥有的唯一的可持续优势就是敏捷性,就是这样,因为其他没有什么是可持续的,你创造的任何东西,别人都会加以复制
5.2. 数字化转型使得每一个恶意事件都成为网络事件,这意味着网络已成为企业安全和企业级业务风险决策的核心
5.3. 网络风险管理计划有助于提供一个更为合理的计划,该计划基于现有标准、先前的案例法和由诸如全国公司董事协会(NACD)与世界经济论坛等董事会层面的教育提供者提供的指导
5.4. 新技术创造的不断加速给企业带来了同样快速变化的风险
5.5. 网络安全也是一个更广泛的问题,涉及所有企业、行业和组织
6. 网络风险管理计划6.1. 安全风险管理计划旨在帮助指导企业、最高层的领导者,以及其他关键利益相关者参与安全风险决策过程
6.2. 安全部门不是做决策,而是利用其专业知识和经验来提供信息
6.2.1. 理想的结果是,形成一套经过深思熟虑的风险指引决策体系,以期通过这些决策在风险和回报之间取得平衡
6.3. 企业安全风险计划是在数字世界中取得成功的重要先决条件
6.3.1. 这项工作必须是战略性的,而不是战术性的
6.4. 将安全本质看作战术层职能,或更有甚者,将安全仅仅看作一个成本中心,是该领域面临的最大问题之一
6.4.1. 关键是要系统地、持之以恒地、公开地实践战略风险管理
6.5. 框架
6.5.1. 确定了四个核心组成部分和支持原则,以帮助指导安全或风险从业者、审计师或监管机构了解网络风险管理计划是什么,以及应该考虑采纳哪些组成部分
6.5.2. 敏捷治理(Agile Governance)
6.5.3. 风险指引体系(Risk-Informed System)
6.5.4. 基于风险的战略和执行(Risk-Based Strategy and Execution)
6.5.5. 风险升级和披露(Risk Escalation and Disclosure)