随着企业风险变得日益复杂，应对多方面威胁的战略执行比以往任何时候都更加重要。在这些威胁中，网络风险对企业的影响尤为重大。为了实现运营和财务韧性，企业相关利益方必须将网络安全管理提升为核心议题。

　　在最近对标准普尔500指数企业抵御网络攻击的财务能力进行的分析中，研究报告指出，在这些总部设在美国、年营收达数百万美元的企业中，有8家企业每年面临因安全事件导致利润损失10%的可能性达10%，其中3家甚至可能面临20%以上的损失。虽然这种程度的损失并不会最终导致破产，但仍然非常严重，足以引起每一位致力于长期发展的企业领导人的高度重视（图1）。

　　图1-标准普尔500指数10年1次亏损占利润百分比的柱状图。为清晰起见，省略了 71%、29%、26%、14%、12%和三个13%的异常值。

　　你所在组织是否正身处那些高风险企业之列？这是一个必须认真思考的问题。对这一问题缺乏清晰认知本身也是一种风险。要解决这种不确定性，企业管理层必须投入资源并优先开展全面的网络安全风险评估，利用先进的统计模型来评估自身暴露水平，并在威胁发生之前就制定强有力的缓解策略。

利用数据进行精准评估

　　鉴于网络风险的严重性呈指数级上升，目前有许多评估网络风险的框架和方法，每种方法都能提供不同的见解。然而，并非所有方法都能为企业利益相关者提供足够的信息精度，以有效应对日益严峻的数字风险环境。

　　因此，首席信息安全官（CISO）或企业的网络安全负责人应采用一种能够将客观数据与全球情报相结合的风险评估方式。这将为董事会成员和高层管理者提供可靠的信息输出，帮助他们准确理解企业因数字化活动而面临的财务脆弱性。

　　按需式的网络安全风险量化（Cyber Risk Quantification, CRQ）解决方案正是实现这种客观性和精确性的工具。它综合考量企业的网络安全状况、技术架构及其独特的公司特征，从而揭示企业在未来一年内可能面临的各类损失范围及其发生的可能性。此类信息使领导者能够做出精准且具有前瞻性的决策，增强企业抵御新兴网络威胁的能力。虽然为企业选择最佳的CRQ解决方案需要全面考虑各种因素，但在这一过程中，通常首先要研究现有模型的类型及其所能提供的洞察力水平。例如，虽然专家判断方法可以提供独特的视角，但它通常会导致主观输出。而按需模型则是利用外部全球情报来获得客观结果。归根结底，最合适的CRQ是有助于做出准确和精确决策的CRQ。

从财务角度推动高层对话

　　通过CRQ将网络风险转化为财务术语，为组织最高层的知情决策提供了更可靠的数据驱动基础，而这正是避免重大损失需要讨论的问题。此外，突出组织网络风险的财务视角对于将风险缓解战略与更广泛的业务目标相结合至关重要，并使非技术倾向的领导者能够以与其他财务风险考虑因素相同的严谨态度来解决薄弱环节。

　　事实上，据报道，那些能够将网络风险管理作为一个更具体的主题，并将其提升到高管层和董事会的组织，在发生漏洞后所遭受的经济损失要小得多。以Moodle为例，这家为教育机构提供开源多语言学习管理系统（LMS）的全球性组织，借助网络安全风险量化工具，使信息安全官得以向董事会提供更准确、基于数据的风险认知，进而制定了更为现实的风险偏好和容忍度水平。

　　毫无疑问，当技术性和复杂的概念变得更加平易近人时，网络安全领导者就能更好地证明各种网络安全举措的支出是合理的，说服预算制定者有必要为网络计划分配足够的资源。

保护股东信心和企业稳定

　　将网络风险纳入企业整体战略讨论，不仅可以减轻潜在的经济损失，还有助于保障股东的长期价值和市场稳定。标准普尔500指数报告中的另一个惊人发现是，在考察那些罕见但可能发生、年度概率为1%的安全事件时，至少有一家企业会因为损失高达其市值2.2倍而陷入破产。

　　这一数字凸显了管理不善的网络风险暴露会如何削弱财务业绩、损害声誉和动摇公众信任。特别是在美国证券交易委员会（SEC）颁布网络安全法规之后，理性的投资者越来越关注企业如何管理其网络风险，并将其视为企业恢复能力的关键指标，进而影响其资本。企业若能量化其遭受此类长期损失的可能性，并积极主动地解决这些问题，则表明其具有远见卓识，可向股东保证其有能力成功应对网络风险。

构建企业网络风险管理

　　打造一个稳健的网络安全战略、实现高水平的韧性，要求各利益相关方超越单纯的风险意识阶段。他们还需充分利用量化信息，影响核心决策，包括风险偏好的设定。

　　按需进行的CRQ评估可突出显示一个组织的平均年度损失或来年最有可能因网络活动造成的损失。有了这些信息，主要利益相关者就能确定是否必须分配更多资源用于缓解工作，以抵消预计成本，或者是否可以接受承担风险。例如，组织的平均收入损失（AAL）可能为1200万美元，但决策者最初确定的网络风险承受能力仅为900万美元。

　　在这种情况下，利益相关者需要重新评估他们的战略，以确保该战略更真实地反映企业的实际风险水平。通过与CISO合作，高管们可以寻找能够以经济有效的方式最大限度降低AAL的措施，并有可能发现甚至可以产生正投资回报率的方案。例如，安全控制升级的实施成本可能只有10万美元，但却能将财务风险降低100万美元，这使得额外的投资是非常值得的。

　　或者，企业可以决定重新谈判其网络保险范围，以适应新增的风险敞口，在发生安全事件时确保足够的财务保障。通过利用各种财务洞察，CRQ可以根据具体的损失情况和事件类型进一步细分，企业可以优化其风险管理策略，不仅可以最大限度地降低财务风险，还可以使网络安全与更广泛的业务目标保持一致。

将财务韧性作为网络安全的战略核心

　　主动评估网络安全风险，使企业具备更深入的认知能力，了解自身的短期与长期财务脆弱性，从而制定有针对性的策略，减轻重大乃至灾难性的损失，并展现其对网络安全的承诺。借助如按需式CRQ等先进工具，企业能够将复杂的数字威胁转化为可操作的洞察，推动财务韧性建设，保护股东价值，并最终实现网络安全与组织整体目标的高度统一。