网络风险说明书案例

网络披露声明指出,一家公司可以在多长时间内不存在违规行为,这有助于客户了解网络事件的真实情况及其所面临的损失。
 
有时我们的投资会亏钱。这并不是因为缺乏尝试,事实上大多数投资公司都是靠我们投资的增长来赚钱的。但是,尽管我们有着良好的意图和详细的投资计划,但有时我们最终得到的回报却比当初少。这可能是由于与失业率或利率相关的市场波动等外部因素造成的;也可能是特定于行业的指标,例如新的住房指标影响住房改善市场前景的方式。如果你选择阅读证券交易委员会要求的每项投资的小册子(而不是快速地把它们扔进回收箱),你会看到某种形式的老话,即过去的表现不是未来业绩的指标。人们也可以将类似的情况与一个组织的网络风险状况相类似。
 
任何一个组织都可能多年没有安全漏洞,在这段时间里,他们很容易认为自己可能永远不会被黑客攻击,而他们周围发生的所有其他漏洞都是由于他们的卓越做法或低调。他们可能(含蓄地)相信他们的治理结构和报告已经到了这样的地步,所做的事情已经足够好,可以无限期地抵御攻击者。事实上,这种自满情绪可能会影响一个组织,使其不再按照应有的方式投资于安全领域。关键的事情可以削减,如人员、培训资金以及技术和能力的升级。即使是基本的安全卫生功能,如修补和端点保护,也可以被抛弃或大幅削减。不可避免地,这种安全状态的萎缩导致了一种破坏。
。这些反应实际上是对揭开面纱的失败的含蓄承认。它从来没有用这么多的词来表达过,但是一旦遇到漏洞,一个安全的组织坚决地保护您的数据的假想就会落空。
 
与其说我们是虚构故事中的同谋,组织可能永远不会被黑客攻击,不如说我们都公开承认现实并接受现实。想象一下这样一个世界:各组织对其网络损失预测是什么样的都是预先准备好的。企业可以利用网络风险量化(CRQ)方法来预测企业认为自己将经历一次违约的频率,以及在这种情况下,应对此类事件需要多少资本。这并不是一个延伸,因为这些公司已经被要求计算其大部分金融业务的风险资本(RBC),而良好的实践要求,它们也应该在这些计算中包括操作风险。许多银行都要进行压力测试,这是一项非常公开的活动,它会披露它们的RBC是否足够。这项提议将把这一点扩展到为客户提供易于理解的信息披露。
 
想象一下,客户选择银行的依据是一系列简单的语言,贷款风格的事实,包括违约预测,比如五年、七年或十年一次。为了创建这个模型,可以开发一个风险简介,包括一个适当量化的网络风险价值(VaR)度量,以及一个相应的时间线,来表示好年份和坏年份。有些年,不会有违约(没有损失),但有时,不可避免地,会有损失。虽然监管机构,如美国证券交易委员会(SEC),要求增加对重大事件的披露,但我在这里提议的此类披露将着眼于未来;这是一项有助于确定消费者对将数据投资于某个组织的期望的措施。假装你的组织永远不会有漏洞将不再是一个选择。相反,当客户开立支票账户或申请新的信用卡时,他们将收到银行披露的信息,称他们目前的信息安全计划能够将违约频率保持在每五年一次左右。
 
另一家银行可能会宣称,他们可以每7年保持一次。他们甚至可以将财务激励与这一指标联系起来,根据这一指标,如果在预测期之前发生了什么事情,客户将从中受益。在这个市场上运营的任何银行,如果声称没有违规行为,或者对此保持沉默,就会立即被披露为信息安全和网络风险计划不成熟。
 
这种现实与消费者视角的婚姻很可能不是行业驱动的,然而,一个先锋组织可以开始建立良好的网络风险管理的声誉,并穿透一个组织可以存在而没有安全事件随着时间的错觉。这样一份网络披露声明对于帮助客户了解网络事件的真实情况以及他们面临的损失是很有价值的。
 
它还可以为公司建立一个更具竞争力的环境,使其能够利用信息安全团队作为市场的差异化者。
 
就像我们收到的退休投资说明书一样,重要的是要明白,损失会随着时间的推移而发生,没有哪种情况下最终不会发生损失。我们让自己和其他人相信,信息安全事件可以无限期推迟。我们需要通过接受一个事实,即随着时间的推移,每个人都会失败,来推进网络风险实践的成熟。信息安全计划的成熟度不是从不发生事故,而是在事故发生时如何应对。
 
相关推荐
新闻聚焦
猜你喜欢
热门推荐
返回列表
 
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。