尽管企业网络安全预算持续增长,有关数百万消费者数据泄露的新闻依然层出不穷。据Gartner称,预计2019年全球企业将在信息安全技术上花费1240亿美元,同比增长8.7%。
但据McAfee称,网络攻击者正在适应更加复杂的网络防御机制,网络犯罪的全球成本预计将会增加,现在每年约为6000亿美元 。
转向知识型投资
网络攻击对运营连续性和财务状况会造成巨大的风险,许多司法管辖区的监管机构和行政实体需要从董事会层面开始实施和监督网络安全。为了更有成效,还应在企业层面实施网络风险管理战略,并在缓释风险、风险转移和复原规划方面给予必要的投资支持。
对于企业来说,重要的第一步是根据其对财务和运营连续性的潜在经济影响来量化网络风险。这样就可以据此做出明智的决策和健全的网络风险投资策略,并以此衡量缓释风险带来的回报。然而根据达信网上进行的民意调查显示,许多企业尚未量化他们的网络风险。
技术投资是必要的,但还远远不够
尽管网络安全支出不断增加,但仅靠技术投资是不够的。虽然缓释风险很重要,但是不存在能保证消除网络风险的灵丹妙药。人为错误通常被认为是导致网络事件的最常见和最有影响力的因素,,它可能是事件的根本原因,例如,未能实施良好的密码维护;也可能是攻击响应处理不当造成了更大的财务损失。
这意味着企业必须制定网络风险管理策略,其中包括定期更新的事故响应计划,以及持续的技术升级和..。此外,还应辅以有效的保险计划,根据网络事件可能造成的财务影响,为企业提供适当的保险。
虽然大多数网络保险条款包含一系列的基本承保范围,但应根据企业独特的风险状况,考虑以下因素:
•对技术的使用和依赖程度。
•与第三方(如客户和供应商)的合作和义务。
•如何收集、处理、存储和传输其收集的个人和机密信息。
无形资产更易受到网络攻击,企业应持续增加对无形资产的投资。而且由于这些无形资产在公司资产负债表中所占的比例越来越大,它们如果被破坏或盗窃,则更具有经济破坏性。因此,企业管理者有责任将网络威胁视为开展业务的风险,并同时了解可以通过风险缓释、风险转移和复原规划的联合策略来有效管理网络风险。正如安装建筑自动喷水装置不能取代财产险一样,网络安全技术不应取代网络保险,而应成为网络保险的伙伴。
作者:
Paula Miller
高级副总裁
达信财务及专业责任风险部网络中心
