SACA、CMMI研究院和Infosecurity集团最近开展了联合调查,并发布了的研究报告《2020年企业风险管理状况报告》。该研究报告表明,全球超过一半的风险专业人士表示,他们所在组织的风险水平在过去12个月内有所上升;只有不到三分之一的组织能够准确预测与新兴技术相关的威胁和漏洞带来的影响。
《2020年企业风险管理状况报告》显示,只有29%的受访者对自己的企业能够准确预测与新兴技术相关的威胁和脆弱性的影响充满信心。此外,有31%的安全专家表示,他们的企业在发现新的威胁时能够迅速做出反应。在当前业务和技术驱动快速发展的环境下,这个情况需要引起重视。
《2020年企业风险管理状况报告》发现,当今企业面临的风险主要包括:
网络安全风险(29%)
声誉风险(15%)
财务风险(13%)
在网络安全风险管理中所面临的五大挑战分别是:技术的变化和进步,威胁类型的变化,安全专业人才的短缺,现有网络安全人员的技能不足,以及威胁的数量和频率增加。
企业大多已经建立了风险识别流程,但很少进行优化
在调查中有近三分之二的受访者表示已经建立了风险识别流程,但只有38%的人认为这些流程处于较为成熟的管理水平。这种高采用率、低优化率的趋势表明,企业需要进行改进。
全球地区面临广泛的网络安全威胁
《2020年企业风险管理状况报告》还揭示了威胁和攻击类型在不同区域和行业有所不同。例如,来自亚洲和印度的受访者报告的民族国家的威胁事件比北美、大洋洲和欧洲的多。
在如何控制风险影响时,43%的受访者表示企业会通过引入保险来化解风险造成的影响。这种策略在北美和非洲的采用率最高,在拉丁美洲最低。
管理和治理差距显现
这项研究揭示了企业风险管理和风险治理方面存在潜在的脱节。受访者指出,总体而言,董事会仅会每个季度更新一次网络安全风险,有时甚至更少。首席信息安全官(CISO)的更新频率要高得多,70%的人说他们每月至少会收到一次更新。这一差距是CISO在治理层面扩大其影响力的一个关键机会。
ISACA董事会董事Tracey Deric表示“重大的风险可能会因为懂行人的缺席而被忽略,风险管理应该是自上而下的全员的责任。只有这样才能确保问题能被发现并及时得到解决。”
化解风险的五个步骤
ISACA认为,企业可以采取以下五个步骤来化解面临的风险:
一、 利用当前的趋势和技术来预测未来的结果。
ISACA董事会主席Brennan P. Baybeck说:“云技术的发展轨迹,包括它的多样化应用和它带来的风险,这引领着未来技术的发展方向。”“虽然人们最初认为云计算创造了新的风险和挑战,但事实上它也带来了不可估量的价值。强有力的治理和风险管理能让它带来的价值超过风险,新兴技术也是如此。”
二、 明确定义风险。
对于那些力争改善风险管理成熟度的企业来说,为了在成熟度方面取得进展,细化和明确定义风险承受能力尤为重要。
三、了解你的业务。
记住,没有两家公司面临的风险是一模一样的。例如,制造业内部的操作风险比其他行业更难预测。而金融服务业最难预测的风险是网络安全和技术风险。
四、不要孤立地看问题。
不同的利益相关者在面临风险时会有不同的处理优先级。这意味着在对风险进行化解时需要对不同方面进行权衡然后找到相对均衡的方法。
五、设定预期并优化风险。
企业应该对自身的风险承受能力有清晰的设定,并确保风险决策者知晓,这样能够在很大程度上帮助企业优化风险。
ISACA首席执行官David Samuelson将在2019年11月20日至21日在纽约举行的信息安全ISACA北美博览会和会议上讨论调查结果。
《2020年企业风险管理状况报告》下载链接(粘贴网址后,前往网页下载):http://isaca.vlingxian.com/webf/viewer.html?file=/upload/110107292928State-of-Enterprise-Risk-2020-Report_1019.pdf