网络风险管理的三个关键词：协作、数据、评估

企业风险管理(ERM)的目标即企业可用最经济合理的方法来综合处理风险。过程可简述为对企业可能面临的各种风险进行评估，对其进行分类、量化，了解对风险的容忍度，并适时采取及时有效的方法进行防范和控制。

在过去，当企业着眼于风险管理时，财务风险、监管风险和运营风险为关注的重点，比如汇率、利率的变化，是否可以拿到生产许可，或者物流、仓库存在的隐患…当下，随着企业数字化程度的加深，网络风险日益受到企业管理层的关注，进入了风险管理目标的第一梯队，这给安全管理人员带来了新挑战：量化网络安全事件的商业影响是一项非常困难的任务，而量化此类事件发生的可能性则更为困难。

技术与业务的协作

在ERM框架中，“风险”这个词对不同的角色有着不同的含义。网络安全方面的负责人，往往关注于技术问题，例如，如果漏洞没有被修补，攻击者可利用它造成什么样的破坏。对于同样的问题，从业务的角度看到的可能是，存在漏洞可能会导致数据库被入侵，数据被窃取，将导致特定数量的业务损失，并会产生罚款和修复费用。对于企业的决策层来说，需要去确定一个降低风险的措施是否有意义，若是不能显著的降低风险，或者是风险涉及的系统并不关键，那么，最好把时间和金钱花在其他地方。

Gartner的分析师Brian Reed说过：技术人员和业务人员之间缺乏沟通，这是企业一直遇到的问题。业务人员不理解技术问题，技术人员不知道如何证明业务价值。

联邦快递习惯于为圣诞节前后发生的中断风险做计划，因为这是航运公司的旺季。然而，在2017年，一场勒索软件的袭击在6月份发生，造成了大约 3亿美元 的损失。可见，安全专家与业务部门的深入合作变得尤为重要，大家若多一些时间进行沟通，可以使对风险得管理变得更加有效。

投入更多的精力在企业数据的保护

近两年，网络风险最热的话题，非数据泄露莫属。数据泄露似乎每天都在发生，Facebook、Under Armour、AcFun、华住…用户数据是企业的宝贵财富，企业处理这些数据时面临着极大风险。想象一下，一觉醒来发现自己企业因数据泄露而占据各大新闻头条，是多么恐怖。

现今，相关法律、规范也越来越完善，例如2018年5月1日实施的《信息安全技术个人信息安全规范》、2018年5月25日，欧盟《通用数据保护条例》GDPR正式生效。若企业没有恰当地保护数据，会面临监管机构的严厉处罚。

至于具体的措施，除基于企业自身情况，做好数据治理、使用如访问控制、数据防泄漏、业务数据风险管理等相关的数据安全技术外，也不应忽视对内部员工的意识教育。

采用更多的评估方法

由于风险无时无刻都在变化，企业需要能够科学的量化网络风险发生的可能性，这一点也是网络保险行业遇到的最大难题，虽然现在网络保险很热，但是纵观全球，大型保险公司也没有广泛的推广网络保险政策。市场需求的增长也在推动保险行业从业者前行，近两年，网络保险的从业者也在不断优化风险评估的过程，比如引入“安全评级服务”，从外部的角度去衡量企业的风险，再结合传统的评估手段，如问卷、现场评估，可以使评估结果更加可靠。

企业也可参照这种方式，通过评级或审计的方式来进行风险评估。目前，安全评估服务还是一个新兴行业，全球专业从事安全评级服务的企业约10家，最早成立的PREVALENT注册时间为2004年。其中，除了UpGuard及安全值外，全部企业均在美国注册。（UpGuard原为一家澳洲初创企业，后把总部搬到了旧金山；安全值为中国团队，总部在北京）。