实施网络风险量化以实现智能安全

组织不断面临网络犯罪分子的新策略，他们的目的是损害其最有价值的资产。然而，尽管技术不断发展，许多安全领导者仍然依赖主观术语（例如低、中和高）来沟通和管理网络风险。这些模糊的术语无法传达必要的细节或见解，无法产生准确识别、衡量、管理和传达网络风险的可操作结果。结果，高管和董事会成员仍然不了解情况，也没有做好有效管理组织风险的准备。

与此同时，随着美国证券交易委员会 (SEC) 新颁布的法规要求上市公司迅速披露网络攻击以及有关其网络安全风险管理、战略和业务的重大信息，高管们感受到了越来越大的压力，要求改进网络安全治理计划。

网络风险量化 (CRQ) 已成为通过将网络风险转化为特定财务影响来最大化网络风险管理计划的最有效方法。Forrester Research 表示：“CRQ 将从根本上彻底改变安全领导者与董事会和高管讨论网络安全的方式。”

向高管和董事会报告网络风险

网络攻击和零日漏洞利用的新闻头条已成为董事会中的典型谈话主题。事实上，网络风险已成为组织面临的五大风险之一。在当今世界，安全领导者必须以清晰、简洁和易于理解的方式向董事会传达网络风险。通常，网络安全报告充满了太多的技术细节，阻碍了高管做出明智的决策和准确评估网络安全风险形势。这可能会导致混乱和主观决策。

通过实施 CRQ，安全领导者可以提供执行级报告，传达针对重要业务资产的网络攻击的财务影响，从而导致运营中断、系统中断以及与恢复相关的生产和成本降低。

简而言之，网络风险是一种商业风险，应该以商业术语进行沟通。利用 CRQ 计划的输出，领导者可以推动与董事会和执行团队的协调，并改进整体风险降低策略和投资。

安全支出优化

考虑到经济限制和有限的预算，安全管理人员感到有压力，需要以最具成本效益的方式增加保护措施并降低风险。然而，传统的决策方法通常依赖于主观信息，因此很难客观地证明之前或即将到来的安全投资的合理性。CRQ 的实施增加了决策过程的客观性。它使组织能够根据降低财务风险和最大化投资回报 (ROI) 来确定支出优先级，从而优化网络安全计划和工具投资。

如果不首先量化当前安全控制态势背景下的风险作为基准，组织就无法准确量化其安全计划的有效性或确定其下一步投资。了解组织的财务风险暴露使安全领导者能够专注于具有最重要的风险降低机会的领域，并优先考虑与业务相一致的安全计划，以更好地减轻业务面临的最重大的风险。

企业风险计划开发

为了向决策者提供整体组织风险状况，网络风险必须完全整合到整体企业风险管理 (ERM) 计划中。然而，这只有通过了解网络威胁的财务影响才能实现，以便组织能够将风险缓解工作与业务目标结合起来并增强整体组织的弹性。

从历史上看，许多组织都制定了独立的风险管理程序，包括 ERM、网络安全风险、运营风险和合规性以及 IT 风险。CRQ 正在成为领先组织开发和运营有效风险管理计划、改进风险评分和整合 ERM 程序的最佳实践。利用 CRQ 改进管理流程的领先组织已开发出单一、集成的风险管理运营模型。这样可以更好地进行分析，以识别和跟踪跨业务线或职能领域的趋势，以及组织的系统性风险。

虽然这需要采用新的方法来思考风险管理，整合多种风险管理职能，但最终的结果是标准化、一致且易于理解的风险识别、分析和报告流程。CRQ 为组织提供了单一的风险定义，并消除了如何向领导层和董事会报告风险的任何不确定性。通过报告业务影响和财务风险方面的风险，CRQ 消除了依赖名义尺度或颜色代码的主观解释。

正如一位首席风险官最近分享的那样，“我们注意到，不同业务领域产生的许多风险本质上相似，并且具有共同的根本原因。使用单一的风险管理评估流程使我们能够快速识别预期影响，更重要的是，利用经过验证的缓解方法来解决这些风险。”

随着企业通过采用 CRQ 不断完善其网络风险能力，他们应该考虑将 CRQ 纳入其他风险职能，并努力采用集成的风险管理运营模式。