网络安全战略比以往任何时候都更成为业务战略的核心部分。例如,一家公司的网络风险会直接影响其信用评级。
信用评级机构不断努力以更好地了解公司面临的风险。如今,这些机构越来越多地将网络安全纳入其信用评估。这允许机构通过考虑网络攻击的风险来评估公司偿还借入资金的能力。
被黑客攻击影响信用评分
据《华尔街日报》 (WSJ) 报道,信用评级机构越来越重视公司如何应对网络攻击。网络安全现已成为信用评估的一部分。标准普尔全球评级分析师透露,受网络攻击影响的公司和政府机构由于 IT 中断以及攻击的财务影响而被降级。
穆迪投资者服务公司和惠誉评级也强调了网络风险的危险性。如果发生网络攻击,一些财务后果可能会立即显现出来。其他人可能需要数月才能实现,并可能影响组织偿还债务的能力。
真实世界的信用评级影响
在 2020 年 SolarWinds 网络攻击之后,该公司被标准普尔从 B+ 下调至 B 评级。据《华尔街日报》报道,标准普尔公司评级副总监 Minesh Shilotri 赞扬了 SolarWinds 在攻击发生后向客户提供清晰的沟通和快速的安全修复。然而,这家软件公司仍然遭受客户流失和安全支出增加的困扰。
即使公司迅速应对网络攻击,透明度和沟通也至关重要。信用评级机构希望获得有关任何网络事件的全面详细信息。沟通中的任何延迟或歧义都可能影响未来的信誉。
同时,标准普尔美国公共财政评级副总监克洛伊皮克特透露,西弗吉尼亚州的普林斯顿社区医院在2017年遭受勒索软件攻击。该事件导致该中心转移了一个月的救护车并损失了大量收入。
普林斯顿社区医院的攻击是标准普尔决定在 2019 年将该医院的评级从 BBB+ 下调至 BBB 的一个促成因素。除了 Covid-19 大流行和收购附近一家小型医院外,网络攻击也被认为是标准普尔下调该医院评级的一个原因2021 年的前景为负面。袭击造成的中断使医院在应对其业务的其他变化方面处于较弱的地位。
世界银行网络安全指南
世界银行也对网络安全和信用报告的影响发表了看法。世界银行的信用报告网络安全指南指出:
“广泛的网络事件可能会触发贷方减少信贷发放,以应对此类数据事件可能引发的广泛欺诈的担忧。由此产生的信贷配给会影响个人的总需求和企业的盈利能力。”
根据世界银行的报告,信用报告网络生态系统正在经历一个值得注意的整体转变。这是由信用报告格局的变化驱动的。新数据提供商的加入、新技术的出现以及多样化数据集的扩展都会影响全球信用评估的方式。
根据世界银行的说法,安全控制措施保障处理、存储和传输信息的机密性、完整性和可用性。这些控制必须遵守一组预定义的安全要求。
世界银行指出,网络安全重点领域应包括:
数据隐私
意识和教育
信息共享与沟通
弹力
身份和访问管理
资产管理
变更和配置管理
软件安全
第三方管理
人身安全
网络安全
端点安全
数据保护
威胁和漏洞管理
事件记录和监控。
制定网络安全和数据隐私策略的步骤
虽然任务看似艰巨,但成功仍然在于有组织的努力向前迈进。世界银行报告概述的一些步骤(为本文改编)包括:
确定关键资产的优先级:创建支持关键业务流程的 IT 资产清单(数据、物理设备、信息系统和软件)。如果这些资产受到损害,确定对组织的潜在影响(财务、运营和声誉)。为每项资产分配重要性等级。
了解威胁(威胁情报):识别与组织相关的威胁行为者(国家支持的实体、有组织的犯罪、黑客行动主义者、恶意内部人员等)。根据危害关键资产的能力和动机对他们进行排名。
评估当前状态:使用行业认可的网络框架(例如, NIST Cybersecurity Framework)对当前的网络能力和性能进行坦率的评估。
定义未来状态:为网络安全职能设定愿景和长期目标,并考虑到组织的战略目标。这些目标应该为组织网络安全的未来设定方向。
制定实施计划:对当前网络能力与期望的未来状态之间的差距进行分析。确定有助于弥合差距的举措。估计每个计划的成本和工作量,并确定每个计划将提供的安全收益。在多年时间表中创建一个计划列表,为那些提供有利的成本/收益/努力比率的计划分配高优先级。
实施和跟踪进度:分配必要的资源来实施安全计划。跟踪关键绩效指标并经常向高级管理层报告进展情况。
网络安全战略就是商业战略
网络风险的影响比以往任何时候都更加渗透到核心业务决策中。鉴于风险,监管机构和信贷机构可能会更加积极主动地进行评估。仅在发生违规时报告是不够的。世界银行提到了“预定义的安全要求”。这可能意味着组织在安全评估方面将越来越多地要求合规性。
DFARS(国防联邦采购法规补充)、FISMA(联邦信息安全管理法案)、HIPAA(健康保险流通与责任法案)和 ISO 标准等立法已经确立了网络安全合规要求。未来可能需要采取类似措施以获得有利的信用评级。