據(jù)世界經(jīng)濟論壇今年初發(fā)布的《2022年全球網(wǎng)絡(luò)安全展望》報告，92%的受訪企業(yè)高管認(rèn)為，網(wǎng)絡(luò)韌性已融入企業(yè)風(fēng)險管理戰(zhàn)略中。網(wǎng)絡(luò)韌性是指保護組織免受網(wǎng)絡(luò)攻擊，或緩解安全事件，使其不會造成重大破壞的能力。然而，只有55%的安全管理人員認(rèn)為，網(wǎng)絡(luò)韌性已融入風(fēng)險管理戰(zhàn)略中。這表明兩者對網(wǎng)絡(luò)安全的認(rèn)知層面存在重大分歧。

一方面董事會認(rèn)為，為了減輕威脅，已經(jīng)做了足夠多的工作。而另一方面，安全專家卻認(rèn)為遠遠不夠。這種認(rèn)識差距的原因之一是，網(wǎng)絡(luò)安全人員經(jīng)常覺得企業(yè)高層并沒有就安全方面咨詢過他們的意見，也就意味著安全有時會以效率或成本的名義被忽略。

例如，以勒索軟件為例。報告顯示，80%的網(wǎng)絡(luò)安全負(fù)責(zé)人認(rèn)為勒索軟件是對公共安全的“危險”和“威脅”，而不僅僅是對他們自己的組織。通常情況下，只有當(dāng)企業(yè)成為網(wǎng)絡(luò)攻擊的受害者時，董事會才會真正開始關(guān)注網(wǎng)絡(luò)安全。

最好、最具韌性的公司就是已經(jīng)被入侵的公司，因為他們能夠真正理解入侵的后果。

——世界經(jīng)濟論壇網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人Algirde Pipikaite

顯然，這種成為受害者之后再尋求安全保護的做法是極其錯誤的。組織的網(wǎng)絡(luò)安全負(fù)責(zé)人可以采取一些措施，以縮小企業(yè)高管與安全人員之間的認(rèn)知，進而真正的提高機構(gòu)的網(wǎng)絡(luò)彈性。如，用通俗易懂的語言向董事會解釋安全威脅和問題，同時身為網(wǎng)絡(luò)安全人員也要了解企業(yè)的業(yè)務(wù)如何運營，哪些業(yè)務(wù)最為重要，哪些資產(chǎn)應(yīng)該優(yōu)先考慮。

另外，持續(xù)取得業(yè)務(wù)部門的理解和支持是安全項目得以成功的關(guān)鍵。針對網(wǎng)絡(luò)安全事件響應(yīng)的桌面演練，是一個讓業(yè)務(wù)部門和安全部門對話合作的有效方法。它可以提高業(yè)務(wù)團隊和安全團隊對潛在問題的認(rèn)識，讓他們都感覺自己被納入了決策過程。在發(fā)生真正的事件時，雙方有一個可以共同遵循的計劃。

《2022年全球網(wǎng)絡(luò)安全展望》報告地址：https://www.weforum.org/reports/global-cybersecurity-outlook-2022