風險管理你錯看網路風險了

重點是受到什麼威脅,而不是技術漏洞

你錯看網路風險了

Sizing Up Your Cyberrisks

你錯看網路風險了

插畫:寇翠納.扎考斯凱特(Kotryna Zukauskaite)

要防禦網路風險,必須請廣大的員工參與。而且第一步要做的,是確定公司的關鍵業務活動,以及它們面對的風險。接著清點支援這些活動的系統、檢視漏洞,並確認潛在攻擊者。如此一來,才能做針對性更明確的網路安全投資。

過去十年,網路攻擊造成的成本和後果成長驚人。例如,2017年勒索病毒WannaCry攻擊網路,造成的總財務和經濟損失估計達八十億美元。2018年,萬豪集團(Marriott)發現子公司喜達屋飯店(Starwood)的訂房系統遭到入侵,五億房客的個人和信用卡資料可能外洩。駭客的功力似乎愈來愈高強。但是,我們為全球各地客戶提供諮詢服務的經驗當中,發現企業那麼容易遭受駭客威脅的另一個原因是:企業並不知道或不了解自己的關鍵網路風險,因為他們過於專注在本身的技術漏洞。

你不必問你的電腦系統可能遭到哪些網路攻擊,而應該問「網路攻擊可以如何破壞你的供應鏈?」

如果網路安全措施只處理技術面,結果會導致公司領導人獲得的資訊不足,組織也沒有受到良好保護。有關網路威脅的討論,最後充斥技術專門術語,而資深高階主管無法真正加入討論。處理風險的責任,於是完全交給了網路安全和資訊科技人員,他們的注意力主要放在公司的電腦系統上。結果往往產生優先順序安排不恰當、一長串的問題緩解任務清單。沒有任何公司擁有足夠資源可以解決每一個網路安全問題,因此重要的威脅可能沒有獲得處理。

成效更好的方法是採取以下觀點:網路安全應該更加著重在入...