1. 運營韌性
1.1. 像其他運營風險管理功能一樣,網絡風險管理的最終目標是實現風險與回報平衡的運營韌性
1.2. 決策者時不時會詢問有關供應鏈風險、第三方風險、欺詐管理、業務連續性、危機管理、災難恢復和IT風險等方面的問題
1.3. 關鍵問題是職能部門關注相同的結果,但都以分散而孤立的方式進行工作
1.4. 如果要説網絡安全風險事件教會了我們些什麼,那就是所有這些職能部門都是相互關聯的,關注的都是運營韌性這個基本問題
1.5. 細節固然重要,但當領導層把運營風險上報到高層討論,並制訂應對風險的策略時,高管們最關心的是企業是否具備他們所滿意的韌性水平
-
1.5.1. 基於企業的整體情況做出,而不是通常那種每個運營風險職能部門都將其擔憂上報給高管團隊的孤立方法
-
1.5.2. 數字化以及它所帶來的互聯性要求運營風險職能部門協調一致,共同應對風險挑戰
1.6. 意味着需要通過協同的治理模式,使得不同部門的工作優先級能夠對齊
-
1.6.1. 需要一個基於統一的風險矩陣、報告時間框架和報告節奏來運作的風險指引體系
-
1.6.2. 需要對風險因素的權重進行合理的分配,以識別不同風險的重要性
-
1.6.3. 需要制訂經過深思熟慮的基於風險的策略,這些策略要能夠跨越不同職能部門以實現主動管理,並考慮到風險可能超出既定的職責範圍
-
1.6.4. 需要有一個範圍廣泛且能夠靈活應對跨部門責任影響的正式的風險升級和披露程序
1.7. 更廣泛的觀點從保護最佳實踐轉向識別關鍵功能和管理適合該企業的運營彈性態勢的能力
1.8. 由於網絡風險在很大程度上是當前大多數企業面臨的極端風險,因此如果企業的其他職能部門沒有專注於運營韌性,網絡安全職能部門就應該在這種合作中努力發揮領導作用
1.9. 成熟的運營韌性計劃不是一蹴而就的,如果從企業運營韌性的視角來審視風險管理,並在整個網絡風險管理過程中應用系統化的計劃原則,將會達到必要的成熟度
1.10. 運營韌性風險管理實踐是將所有不同的元素緊密結合在一起的黏合劑,確保不同的角色和職能部門以一種正式且明確的方式運作、溝通和協作,以確保各種風險(而不僅僅是網絡風險)都得到解決
1.11. 有必要採用更全面的視角,關注運營整體的連續性
- 1.11.1. 強調了企業應對各類突發事件的處理和恢復能力,而不僅侷限於網絡攻擊
1.12. 網絡安全是企業整體戰略目標的一個關鍵組成部分,它能確保組織抵禦各類中斷事件並從中恢復過來
- 1.12.1. 網絡安全是運營韌性的一個主要支撐,保護關鍵業務功能在面對網絡威脅時的連續性
1.13. 有效的運營風險與韌性計劃的制訂工作要求每個運營風險職能部門都圍繞核心的風險管理部分進行整合
1.14. 四個組成部分都具有更為廣泛的應用,而不僅僅是網絡風險管理
- 1.14.1. 構成了協調更全面的運營韌性戰略的基礎,涵蓋了風險運營的多個方面
2. 企業職能部門
2.1. 每一項工作在本質上都是戰略性風險實踐,而不僅僅是戰術性職能
2.2. IT風險管理
-
2.2.1. IT風險管理涉及企業IT資產使用、所有權、運營等相關風險的識別和緩釋
-
2.2.2. 這項工作與網絡風險管理相結合,對運營韌性至關重要
2.3. 物理安全
-
2.3.1. 物理安全注重保護個人、硬件、軟件、網絡和數據,使之免受可能導致企業遭受重大損失或損害的事件的影響
-
2.3.2. 物理安全對運營韌性至關重要,它確保支撐網絡和運營過程中物理資產的連續性,同時有助於網絡風險管理,限制數字資產的未授權訪問
2.4. 欺詐管理/損失預防
-
2.4.1. 欺詐管理/損失預防是為了預防和緩釋欺詐行為(包括網絡欺詐)所採取的行動,以避免資源、數據或資金的損失
-
2.4.2. 對運營韌性的貢獻體現在保護組織資產上,同時,能做好在數字空間中對網絡風險的預防、檢測和對欺詐活動的應對
2.5. 供應鏈/第三方管理
- 2.5.1. 涉及組織的供應鏈和第三方供應商相關的風險管理。它確保了外部所提供的產品、服務或數據的連續性和完整性,對運營韌性至關重要
2.6. 業務連續性管理(BCM)
-
2.6.1. 一個主動的規劃過程,創建經過實踐驗證的詳細計劃,以便在破壞性事件發生後恢復關鍵的業務運營和功能
-
2.6.2. 顯著提升了運營韌性,確保組織在重大危機或災難期間能夠繼續對外提供必要服務
-
2.6.3. 在網絡風險管理方面,在面臨重大的網絡威脅或事件之時,數字運營的連續性也能得到保障
2.7. 災難恢復(DR)
-
2.7.1. 災難恢復是在災難發生後,將企業IT系統(基礎設施和應用系統)及數據恢復到能夠正常對外提供服務的過程
-
2.7.2. 災難可以是任何破壞性事件,如網絡攻擊、數據泄露或自然災害等
2.8. 危機管理
-
2.8.1. 危機管理包括企業處理可能對自身或利益相關者造成傷害的突發和意外事件的過程
-
2.8.2. 通過對危機進行協調響應,從而降低損失並縮短恢復時間,在維護運營韌性方面起着至關重要的作用
-
2.8.3. 在處理諸如數據泄露和大規模網絡攻擊等事件時,危機管理需要與網絡風險管理做好協同
-
2.8.4. 運營風險職能部門的準備階段和響應階段在某種程度上是相互關聯的
2.9. 關鍵原因
-
2.9.1. 網絡安全與運營韌性緊密相連
-
2.9.2. 數字化將繼續帶來更多的網絡風險,而且速度不斷加快,這將貫穿於每個企業的所有業務功能
-
2.9.3. 監管機構密切關注
- 2.9.3.1. 全球的監管機構已將運營韌性作為重點,制訂規定,要求企業在發展的同時,要展示對抗網絡威脅和風險的準備措施
-
2.9.4. 網絡風險變得越來越複雜、高級和危險
-
2.9.5. 網絡風險管理是實現企業業務價值的核心
- 2.9.5.1. 能夠展現更廣泛的運營和風險韌性的企業,更有可能贏得客户、合作伙伴和利益相關者的信任,進而提升品牌聲譽和競爭優勢
3. NotPetya
3.1. 最開始是一次網絡攻擊,但它迅速演變成影響範圍大、嚴重程度高的威脅
3.2. NotPetya造成的結果及其破壞性可能遠遠超出了其創造者最初的意圖
3.3. 黑客本來只想破壞烏克蘭的IT基礎設施,但他們製作了偽裝成勒索軟件的蠕蟲病毒,該蠕蟲實際上通過永久加密源代碼來破壞操作系統,病毒的傳播速度非常驚人,以至於它的影響遠遠超出了預期的目標
3.4. 通過使主引導記錄無法訪問,讓企業的計算系統徹底癱瘓。該病毒利用了一個在Windows操作系統中已被發現的漏洞,儘管針對這個漏洞的補丁數月前就已經發布
3.5. 必要性已超出企業自身範圍,對NotPetya的有效應對,需要馬士基與合作的眾多第三方企業在運營風險管理職能領域進行廣泛的溝通與協作
4. 提升運營韌性
4.1. 敏捷治理
-
4.1.1. 敏捷治理是CRMP的基石,為企業關鍵決策提供必要的監督和指導,它同時也是企業實現運營韌性的重要支柱
-
4.1.2. 無論是企業風險委員會、成熟的運營韌性委員會還是綜合風險委員會,一個協調一致的治理委員會對於整合運營風險管理職能至關重要
-
4.1.3. 委員會彙集了關鍵的利益相關者,並就運營風險和韌性(包括風險偏好和容忍度)的共同目標和預期達成共識
-
4.1.4. 通過風險指引體系的定期報告,這些利益相關者可以實時掌握企業風險組合的最新動態,從而可以主動地管理風險,提升企業抵禦風險的能力
4.2. 風險指引體系
-
4.2.1. 風險指引體系作為主要的運營韌性的信息來源,為協調其他運營風險職能部門提供服務
-
4.2.2. 應當提供及時、準確、全面且協調一致的運營風險信息,幫助高層管理者理解和掌控企業整體的運營風險狀況,以推動運營韌性的提升
-
4.2.3. 核心目標是解答高管的一個主要疑問:企業的整體韌性究竟如何
-
4.2.4. 風險指引體系通過整合和展示來自企業各個部門的運營數據,以風險信息而非孤立的風險概況形式來顯示企業整體的運營韌性
-
4.2.5. 運營風險管理實踐的一個關鍵驅動因素是確保風險指引體系中信息的一致性
-
4.2.6. 保持信息的一致性和協同顯得至關重要,這確保了所有利益相關者都能清晰地理解所呈現的風險數據,並據此做出有關企業運營韌性的合理決策
-
4.2.7. 並非所有風險都是一樣重要
- 4.2.7.1. 在金融服務領域,網絡安全風險通常被視為比供應鏈風險更為緊迫的風險,而在製造業則可能正好相反
-
4.2.8. 正確地對風險進行評估和排序至關重要,但這一過程必須與運營風險管理的整體戰略保持一致
4.3. 基於風險的戰略和執行
-
4.3.1. 基於風險的戰略和執行為運營風險管理實現跨職能部門的協同提供了統一框架
-
4.3.2. 通過風險指引體系向公司治理團隊提供信息,戰略模型為企業設定風險偏好和容忍度,引導運營風險管理活動的優先級排序、實施和執行
-
4.3.3. 擁有更全面的運營風險視角,將有助於各個運營風險職能部門為未來的策略規劃做準備,併為預算提供合理的依據
4.4. 風險升級和披露
-
4.4.1. 風險升級和披露是企業實現運營韌性的最後一個關鍵環節
-
4.4.2. 擴展了敏捷治理、風險指引體系以及基於風險的戰略和執行的功能
-
4.4.3. 風險升級是一個系統化的過程,能夠及時地按照公司治理團隊定義的實踐標準,傳遞風險信息,以便公司迅速採取適當的應對措施
-
4.4.4. 風險披露,則側重於向內外部相關方告知風險信息
-
4.4.5. 在內部,有效的風險信息披露促進了不同運營風險管理職能部門之間的透明度,有助於達成共識和管理風險
-
4.4.6. 在外部,它向監管機構、股東和公眾展示了企業的責任感,提升了企業的信譽和公眾信任度
-
4.4.7. 現如今,在不提供對企業潛在影響的信息的情況下評估和傳達重大風險幾乎是不可能的
