网络安全是每个在线企业的重要组成部分。

这是一种假设：使用同样的密码，在一天结束后退出浏览器，便认为自己是安全的吗?然而，只要电脑还在运行，黑客就可以访问登录页面并窃取凭证。这就是了解网络安全之前所做的假设。

假设引发了前所未有的网络攻击。2023年，基于密码的攻击增加了10倍以上。根据Microsoft《2023年数字防御报告》，这相当于“今年每月约30亿至300多亿次，平均每秒有4000次针对微软云身份的密码攻击。”

关于网络安全的一个重要假设是，如果拥有一个IT团队、网络安全框架和新员工培训，便能得到保障。这样想很美好。

然而，网络是一种生活方式的选择。就像吃健康的食物和锻炼一样，这是一项艰苦的工作，但风险更高。据《网络犯罪》杂志报道，60%的小企业在遭到黑客攻击的6个月内倒闭。网络罪犯不仅仅是小偷，其还想窃取有关企业的知识产权和声誉。

好在，现在可以通过定期探索三个网络评估来克服常见的假设，特别是针对金融服务企业:

评估企业的风险状况

• 企业当前的网络风险状况如何?
• 企业当前的网络风险状况如何与董事会或领导层确定的可接受风险界限相一致?
• 管理层制定的风险状况是否符合企业的风险承受能力?

监控企业的曝露情况

• 企业实际面临的网络风险是什么?
• 哪些是真实的，需要采取哪些步骤来减少暴露?
• 是否有任何已查明的供资或资源缺口需要加以解决，以达到可接受的风险水平?

采取负责任的措施，防止网络风险对商业产生影响

• 对于网络风险和数据暴露，企业知道哪些具体的可量化的商业影响?
• 已知网络风险和数据暴露对企业的可衡量影响是什么?
• 企业有哪些技术可以使监控过程自动化?

探索这些基础，如访问控制、业务功能隔离、加密、备份、事件响应和业务连续性，将用知识取代假设。知识是现代成功企业的通用货币。