数据驱动业务风险：如何衡量公司的网络安全风险

了解量化网络风险如何帮助保护您公司的财务和运营未来。

网络安全尤其会带来重大的财务威胁。Kovrr 首席执行官 Yakir Golan 探讨了公司如何量化和降低这些风险，以实现安全的未来。

风险分析和缓解至关重要，尽管经常被低估，但这些植根于数据的过程可以帮助组织识别、评估和解决潜在风险。

如今，这些任务似乎变得异常艰巨。风险无处不在。从气候变化的明显影响到毁灭性的地缘政治冲突和长期的经济不确定性——着眼于未来的商业决策变得极其困难。

摩根大通首席执行官杰米·戴蒙打开新窗口在最近的公司财报电话会议上表达了这种情绪，指出“这是几十年来世界所经历的最危险的时刻。” 

虽然任何单一因素的影响都很难评估，但有一种风险几乎肯定会在 2024 年及以后影响各个行业各种规模的公司，那就是网络安全。 

确实，很少有风险像网络攻击一样代价高昂且后果严重。根据普华永道的《企业脉搏调查》，高管和决策者认识到了这一点，其中 40% 的人承认网络安全是他们的“头号商业风险”。 

简而言之，网络安全治理和实施是当今公司面临的最大商业风险之一。

在美国证券交易委员会 (SEC) 于 2023 年 7 月发布新法规之后，这一评估尤其正确。这些最新规定要求在确定网络安全事件是否重大后的四个工作日内披露“重大”网络安全事件（表格 8-K），并每年披露网络安全风险管理、战略和治理政策（表格 10-K）。 

虽然企业领导者正确地认识到了这种迫在眉睫的风险，但量化其对底线优先事项的影响以及对整个公司决策的影响可能需要一些时间才能辨别。

因此，每家公司都需要详细了解其最新的网络安全风险指标，以及如何收集、分析和应用这些数据。这将使决策者能够有效地确定网络安全预算，并在 2024 年及以后为网络保险政策和风险缓解投资分配资源。 

数字揭示了什么 

网络攻击和数据泄露的成本越来越高，影响也越来越大。IBM 的《2023 年数据泄露成本报告》强调，全球平均成本为 445 万美元，比 2020 年增长了 15%。 

此外，普华永道的一项研究显示，2023 年，遭受数据泄露损失超过 100 万美元的公司数量增长了三分之一。这一数字表明，越来越多的组织正在承担更高的数据泄露相关费用。根据世界经济论坛的《2023 年全球网络安全展望》报告，网络对手还利用业务中断和声誉受损带来的高额财务后果来实现其目的。 

经过多年代价高昂且后果严重的数据泄露事件，当公司不能或不愿主动保护关键信息时，客户越来越不愿意视而不见。

令人震惊的是，一项调查打开了一个新窗口发现近一半的受访者“不再与过去失去信任的公司做生意”。

底线是，网络活动对各个行业的每家公司都构成了重大的财务和声誉风险，凸显了将网络安全战略纳入更广泛的业务框架的必要性。 

当前动荡的网络风险形势要求企业领导者将网络安全工作提升到与其他企业风险管理标准相同的水平，利用财务洞察力来推行可产生积极投资回报率的数据驱动举措。 

收集和应用网络风险量化 (CRQ) 的最佳实践

风险管理是一项重要策略，可帮助组织确定、评估和解决可能阻碍其实现目标的潜在威胁。如果执行得当，这一经常被忽视的程序可使领导者更有效地分配资源，营造出能够应对新兴网络挑战的强劲商业环境。

具体来说，网络风险量化 (CRQ) 提供了一种衡量这种风险的具体方法，为内部安全团队制定全面的风险管理蓝图奠定了基础。 

为网络风险分配货币价值，可以提供清晰的、数据驱动的财务快照，反映风险的潜在成本及其在未来一年内发生的可能性。这种方法为利益相关者揭开了网络威胁的神秘面纱，使他们能够切实了解故障可能造成的后果，并适当分配预防资源。 

计算风险可能很复杂。各种因素都会影响专家采用不同方法进行这一关键计算的方式。但是，有一些战略性和一致的步骤可以充分利用网络风险评估。 

1. 采取量化方法 

定性风险评估依赖于主观评估，而定量风险评估则利用标准化数学框架、统计评估和组织内现有网络安全工具的数据来确定潜在网络威胁的财务影响。

CRQ 为根据经济效率和降低网络威胁概率的能力来评估风险降低策略提供了基础。可以理解的是，定量 CRQ 方法可以为您的团队提供更精确的数据。

通过财务风险量化，组织可以了解网络风险（从勒索软件到拒绝服务到第三方服务提供商中断）将如何影响其潜在收入、盈利能力以及有助于企业长期成功率的其他财务方面。

然而，尽管 CRQ 具有快速的价值实现、在最精细的层面上评估业务资产的能力以及可靠的方法，但它在全球企业中的使用率仍然严重不足。如果没有这一有价值的解决方案，组织仍然无法认识到他们面临的不可避免的网络风险，并且缺乏准确了解任何潜在攻击规模所需的数据。

2.了解年度成本情景

作为一个指标，平均年损失 (AAL) 表示基于网络事件发生频率和成本的潜在年度损失，可以针对单个企业和整个行业进行计算。通过分析这个数字，公司可以比较网络风险对不同行业的影响及其成本情景。 

例如，根据《财富 1000 强网络风险报告》，金融和房地产行业的 AAL 最高，为 3430 万美元，表明尽管计算出的事件频率较低，但存在重大金融风险。 

相比之下，建筑行业的 AAL 最低，为 730 万美元。 

然而，仅凭 AAL 并不能提供完整的网络安全态势。以概率形式呈现数据可以提供更清晰的见解。 

例如，报告还发现，金融和房地产等行业一年内遭遇网络事件损失超过 5000 万美元的可能性超过 10%，考虑到财富 1000 强公司的日收入平均约为 4100 万美元，这一数字至关重要。 

这种基于概率的观点为财务规划提供了宝贵的见解。

3. 识别事件驱动因素

全面的网络防御策略涉及针对每个行业可能发生的事件做好准备。 

《财富》1000强报告数据显示，中断事件（包括DDoS攻击以及数据访问或电子邮件、即时通讯等通信工具的中断）在各个行业中广泛存在。 

然而，在零售业，数据泄露构成了最严重的威胁，占所有网络事件的 47%。紧随其后的是金融和房地产行业，占 42%，这主要是由于这些行业有大量的数据记录暴露。 

相反，这些行业发生中断事件的风险较低，零售业发生中断事件的可能性为 17%，金融和房地产业发生中断事件的可能性为 21%。 

各个行业发生勒索事件的概率保持相对一致，但石油、天然气开采、采矿、公用事业和基础设施行业遭遇勒索事件的概率略低，分别为 14% 和 19%。与此同时，其他行业遭遇勒索威胁的概率在 27% 到 36% 之间。

4. 减轻损失的驱动因素 

此外，最频繁发生的事件并不总是最昂贵的。 

例如，尽管中断事件在许多行业中最为常见，但与数据泄露和勒索事件等其他事件相比，其成本相对较低。

加剧网络事件财务后果的其他因素包括第三方责任、监管与合规以及生产力损失。

紧迫挑战需要更好的决策

随着当今时代的进步，技术进步及其相应的风险不断出现，了解和准备应对不可避免的网络安全事件变得前所未有的重要。 

利用财务 CRQ 等方法有助于提供切实可行的框架来应对这一充满挑战的环境。无论规模或行业如何，组织都必须优先考虑这种以数据为依据的定量风险评估方法，确保它们在不可预测的网络环境中保持弹性和竞争力。 

尽管网络风险似乎无处不在，但公司可以采取有意义的措施，尽量减少风险，增强准备，与董事会进行有效沟通，遵守法规，为蓬勃发展的商业未来奠定基础。 

考虑到它是可以切实预测的风险因素之一，因此它是一个值得追求的数据驱动优先事项。