网络弹性是一个将业务连续性、信息系统安全性和组织弹性结合起来的概念。也就是说,该概念描述了在经历网络攻击、自然灾害或经济衰退等具有挑战性的网络事件时,仍能继续交付预期结果的能力。换句话说,信息安全熟练程度和弹性的衡量水平会影响组织在几乎没有停机时间的情况下继续业务运营的能力。
网络弹性策略对于业务连续性至关重要。除了提高企业的安全状况和降低关键基础架构暴露的风险之外,它还可以提供其他好处。网络弹性还有助于减少财务损失和声誉受损。如果一个组织获得网络弹性认证,它可以向其客户和消费者传达出一种可信任感。此外,具有网络弹性的公司可以优化其为客户创造的价值,通过有效且高效的运营来提高其竞争优势。
减少经济损失
财务损失可能导致公司利益相关者(如股东、投资者、员工和客户)失去信心。 根据 IBM Security™ 发布的《2020 年网络弹性组织报告》,超过 50% 的组织曾经历过严重扰乱信息技术 (IT) 和业务流程的网络安全事件。此外,根据 Ponemon 的《2021 年泄露成本研究》,数据泄露的平均成本为 424 万美元。
获取客户信任和业务
为了吸引客户并赢得业务,一些组织遵守国际管理标准,例如国际标准化组织提供的ISO/IEC 27001。ISO/IEC 27001 为信息安全管理系统 (ISMS) 确立了管理员工信息、财务信息、知识产权或第三方委托信息等资产安全所应遵循的标准。在美国,公司可能会寻求获得支付卡行业数据安全标准 (PCI-DSS) 认证,这是处理信用卡等支付业务的先决条件。
提高竞争优势
与没有网络弹性的公司相比,网络弹性为组织提供了竞争优势。 开发基于最佳实践的管理系统(例如信息技术基础架构库 (ITIL))的企业可以创建有效的运营。在开发面向网络弹性的管理系统时也是如此。因此,这些系统为客户创造了价值。
有效的网络弹性必须是一种基于风险的企业范围策略,一种从高管到组织中每个人、合作伙伴、供应链参与者和客户的协作方法。该策略必须主动管理风险、威胁、漏洞以及对关键信息和支持资产的影响。
有效的网络弹性还涉及治理、风险管理、对数据所有权的理解和事件管理。评估这些特征也需要经验和判断。
此外,组织还必须平衡网络风险与可实现的机会和竞争优势。 它必须考虑具有成本效益的预防是否切实可行,以及是否能够实现快速检测和纠正,并对网络弹性产生良好的短期效果。为此,企业必须在以下三种类型的控制之间找到适当的平衡点:预防性、检测性和纠正性。这些控制可以预防、检测和纠正威胁组织网络弹性的事件。
网络弹性可以通过基于信息技术基础架构库 (ITIL) 服务生命周期阶段的生命周期来理解:策略、设计、过渡、运营和改进。
策略工作根据组织的目标来识别关键资产,例如对其及其利益相关者最重要的信息、系统和服务。这项工作还包括识别漏洞及其面临的风险。
设计工作选择管理体系的适当且相称的控制、程序和培训,在切实可行的情况下防止对关键资产造成损害。这项工作还明确了谁有权制定决定和执行操作。
从设计到运营使用测试的过渡工作可以控制和完善事件检测,以识别关键资产何时受到内部、外部、有意或意外操作的压力。
运营工作控制、检测和管理网络事件和事故,包括持续的控制测试,以确保有效性、效率和一致性。
演变工作持续保护不断变化的环境。组织从事件中恢复时,必须汲取经验,修改其程序、培训、设计甚至策略。