读数字时代的网络风险管理:策略、计划与执行11运营韧性

读数字时代的网络风险管理:策略、计划与执行11运营韧性

1. 运营韧性

1.1. 像其他运营风险管理功能一样,网络风险管理的最终目标是实现风险与回报平衡的运营韧性

1.2. 决策者时不时会询问有关供应链风险、第三方风险、欺诈管理、业务连续性、危机管理、灾难恢复和IT风险等方面的问题

1.3. 关键问题是职能部门关注相同的结果,但都以分散而孤立的方式进行工作

1.4. 如果要说网络安全风险事件教会了我们些什么,那就是所有这些职能部门都是相互关联的,关注的都是运营韧性这个基本问题

1.5. 细节固然重要,但当领导层把运营风险上报到高层讨论,并制订应对风险的策略时,高管们最关心的是企业是否具备他们所满意的韧性水平

  • 1.5.1. 基于企业的整体情况做出,而不是通常那种每个运营风险职能部门都将其担忧上报给高管团队的孤立方法

  • 1.5.2. 数字化以及它所带来的互联性要求运营风险职能部门协调一致,共同应对风险挑战

1.6. 意味着需要通过协同的治理模式,使得不同部门的工作优先级能够对齐

  • 1.6.1. 需要一个基于统一的风险矩阵、报告时间框架和报告节奏来运作的风险指引体系

  • 1.6.2. 需要对风险因素的权重进行合理的分配,以识别不同风险的重要性

  • 1.6.3. 需要制订经过深思熟虑的基于风险的策略,这些策略要能够跨越不同职能部门以实现主动管理,并考虑到风险可能超出既定的职责范围

  • 1.6.4. 需要有一个范围广泛且能够灵活应对跨部门责任影响的正式的风险升级和披露程序

1.7. 更广泛的观点从保护最佳实践转向识别关键功能和管理适合该企业的运营弹性态势的能力

1.8. 由于网络风险在很大程度上是当前大多数企业面临的极端风险,因此如果企业的其他职能部门没有专注于运营韧性,网络安全职能部门就应该在这种合作中努力发挥领导作用

1.9. 成熟的运营韧性计划不是一蹴而就的,如果从企业运营韧性的视角来审视风险管理,并在整个网络风险管理过程中应用系统化的计划原则,将会达到必要的成熟度

1.10. 运营韧性风险管理实践是将所有不同的元素紧密结合在一起的黏合剂,确保不同的角色和职能部门以一种正式且明确的方式运作、沟通和协作,以确保各种风险(而不仅仅是网络风险)都得到解决

1.11. 有必要采用更全面的视角,关注运营整体的连续性

  • 1.11.1. 强调了企业应对各类突发事件的处理和恢复能力,而不仅局限于网络攻击

1.12. 网络安全是企业整体战略目标的一个关键组成部分,它能确保组织抵御各类中断事件并从中恢复过来

  • 1.12.1. 网络安全是运营韧性的一个主要支撑,保护关键业务功能在面对网络威胁时的连续性

1.13. 有效的运营风险与韧性计划的制订工作要求每个运营风险职能部门都围绕核心的风险管理部分进行整合

1.14. 四个组成部分都具有更为广泛的应用,而不仅仅是网络风险管理

  • 1.14.1. 构成了协调更全面的运营韧性战略的基础,涵盖了风险运营的多个方面

2. 企业职能部门

2.1. 每一项工作在本质上都是战略性风险实践,而不仅仅是战术性职能

2.2. IT风险管理

  • 2.2.1. IT风险管理涉及企业IT资产使用、所有权、运营等相关风险的识别和缓释

  • 2.2.2. 这项工作与网络风险管理相结合,对运营韧性至关重要

2.3. 物理安全

  • 2.3.1. 物理安全注重保护个人、硬件、软件、网络和数据,使之免受可能导致企业遭受重大损失或损害的事件的影响

  • 2.3.2. 物理安全对运营韧性至关重要,它确保支撑网络和运营过程中物理资产的连续性,同时有助于网络风险管理,限制数字资产的未授权访问

2.4. 欺诈管理/损失预防

  • 2.4.1. 欺诈管理/损失预防是为了预防和缓释欺诈行为(包括网络欺诈)所采取的行动,以避免资源、数据或资金的损失

  • 2.4.2. 对运营韧性的贡献体现在保护组织资产上,同时,能做好在数字空间中对网络风险的预防、检测和对欺诈活动的应对

2.5. 供应链/第三方管理

  • 2.5.1. 涉及组织的供应链和第三方供应商相关的风险管理。它确保了外部所提供的产品、服务或数据的连续性和完整性,对运营韧性至关重要

2.6. 业务连续性管理(BCM)

  • 2.6.1. 一个主动的规划过程,创建经过实践验证的详细计划,以便在破坏性事件发生后恢复关键的业务运营和功能

  • 2.6.2. 显著提升了运营韧性,确保组织在重大危机或灾难期间能够继续对外提供必要服务

  • 2.6.3. 在网络风险管理方面,在面临重大的网络威胁或事件之时,数字运营的连续性也能得到保障

2.7. 灾难恢复(DR)

  • 2.7.1. 灾难恢复是在灾难发生后,将企业IT系统(基础设施和应用系统)及数据恢复到能够正常对外提供服务的过程

  • 2.7.2. 灾难可以是任何破坏性事件,如网络攻击、数据泄露或自然灾害等

2.8. 危机管理

  • 2.8.1. 危机管理包括企业处理可能对自身或利益相关者造成伤害的突发和意外事件的过程

  • 2.8.2. 通过对危机进行协调响应,从而降低损失并缩短恢复时间,在维护运营韧性方面起着至关重要的作用

  • 2.8.3. 在处理诸如数据泄露和大规模网络攻击等事件时,危机管理需要与网络风险管理做好协同

  • 2.8.4. 运营风险职能部门的准备阶段和响应阶段在某种程度上是相互关联的

2.9. 关键原因

  • 2.9.1. 网络安全与运营韧性紧密相连

  • 2.9.2. 数字化将继续带来更多的网络风险,而且速度不断加快,这将贯穿于每个企业的所有业务功能

  • 2.9.3. 监管机构密切关注

    • 2.9.3.1. 全球的监管机构已将运营韧性作为重点,制订规定,要求企业在发展的同时,要展示对抗网络威胁和风险的准备措施

  • 2.9.4. 网络风险变得越来越复杂、高级和危险

  • 2.9.5. 网络风险管理是实现企业业务价值的核心

    • 2.9.5.1. 能够展现更广泛的运营和风险韧性的企业,更有可能赢得客户、合作伙伴和利益相关者的信任,进而提升品牌声誉和竞争优势

3. NotPetya

3.1. 最开始是一次网络攻击,但它迅速演变成影响范围大、严重程度高的威胁

3.2. NotPetya造成的结果及其破坏性可能远远超出了其创造者最初的意图

3.3. 黑客本来只想破坏乌克兰的IT基础设施,但他们制作了伪装成勒索软件的蠕虫病毒,该蠕虫实际上通过永久加密源代码来破坏操作系统,病毒的传播速度非常惊人,以至于它的影响远远超出了预期的目标

3.4. 通过使主引导记录无法访问,让企业的计算系统彻底瘫痪。该病毒利用了一个在Windows操作系统中已被发现的漏洞,尽管针对这个漏洞的补丁数月前就已经发布

3.5. 必要性已超出企业自身范围,对NotPetya的有效应对,需要马士基与合作的众多第三方企业在运营风险管理职能领域进行广泛的沟通与协作

4. 提升运营韧性

4.1. 敏捷治理

  • 4.1.1. 敏捷治理是CRMP的基石,为企业关键决策提供必要的监督和指导,它同时也是企业实现运营韧性的重要支柱

  • 4.1.2. 无论是企业风险委员会、成熟的运营韧性委员会还是综合风险委员会,一个协调一致的治理委员会对于整合运营风险管理职能至关重要

  • 4.1.3. 委员会汇集了关键的利益相关者,并就运营风险和韧性(包括风险偏好和容忍度)的共同目标和预期达成共识

  • 4.1.4. 通过风险指引体系的定期报告,这些利益相关者可以实时掌握企业风险组合的最新动态,从而可以主动地管理风险,提升企业抵御风险的能力

4.2. 风险指引体系

  • 4.2.1. 风险指引体系作为主要的运营韧性的信息来源,为协调其他运营风险职能部门提供服务

  • 4.2.2. 应当提供及时、准确、全面且协调一致的运营风险信息,帮助高层管理者理解和掌控企业整体的运营风险状况,以推动运营韧性的提升

  • 4.2.3. 核心目标是解答高管的一个主要疑问:企业的整体韧性究竟如何

  • 4.2.4. 风险指引体系通过整合和展示来自企业各个部门的运营数据,以风险信息而非孤立的风险概况形式来显示企业整体的运营韧性

  • 4.2.5. 运营风险管理实践的一个关键驱动因素是确保风险指引体系中信息的一致性

  • 4.2.6. 保持信息的一致性和协同显得至关重要,这确保了所有利益相关者都能清晰地理解所呈现的风险数据,并据此做出有关企业运营韧性的合理决策

  • 4.2.7. 并非所有风险都是一样重要

    • 4.2.7.1. 在金融服务领域,网络安全风险通常被视为比供应链风险更为紧迫的风险,而在制造业则可能正好相反

  • 4.2.8. 正确地对风险进行评估和排序至关重要,但这一过程必须与运营风险管理的整体战略保持一致

4.3. 基于风险的战略和执行

  • 4.3.1. 基于风险的战略和执行为运营风险管理实现跨职能部门的协同提供了统一框架

  • 4.3.2. 通过风险指引体系向公司治理团队提供信息,战略模型为企业设定风险偏好和容忍度,引导运营风险管理活动的优先级排序、实施和执行

  • 4.3.3. 拥有更全面的运营风险视角,将有助于各个运营风险职能部门为未来的策略规划做准备,并为预算提供合理的依据

4.4. 风险升级和披露

  • 4.4.1. 风险升级和披露是企业实现运营韧性的最后一个关键环节

  • 4.4.2. 扩展了敏捷治理、风险指引体系以及基于风险的战略和执行的功能

  • 4.4.3. 风险升级是一个系统化的过程,能够及时地按照公司治理团队定义的实践标准,传递风险信息,以便公司迅速采取适当的应对措施

  • 4.4.4. 风险披露,则侧重于向内外部相关方告知风险信息

  • 4.4.5. 在内部,有效的风险信息披露促进了不同运营风险管理职能部门之间的透明度,有助于达成共识和管理风险

  • 4.4.6. 在外部,它向监管机构、股东和公众展示了企业的责任感,提升了企业的信誉和公众信任度

  • 4.4.7. 现如今,在不提供对企业潜在影响的信息的情况下评估和传达重大风险几乎是不可能的

posted @ 2026-02-08 10:37  躺柒  阅读(10)  评论(0)    收藏  举报