作者首先指出,目前的网络安全形势愈发严峻,企业是受到网络犯罪影响的主要行为体。对此,作者指出了两种企业可用于加强网络安全的方法。现代和有效的网络安全管理不仅需要管理技术风险,还需要管理商业风险。各企业正在经受着成倍增加的网络威胁,以及严重的财务、法律和声誉的挑战,其必须认识到网络安全是一项需要在董事会层面纳入整体风险管理框架的战略要务,董事会可以设定企业的风险偏好、监督风险管理过程、分配资源,并确保管理层对风险和事件进行准确和及时的报告和做好应对网络威胁的准备。企业有两种加强网络安全的主要方法:基于成熟度(maturity-based)和基于风险(risk-based)。目前,各企业广泛使用基于成熟度的方法来加强其网络安全态势,即采用一套行业公认的最佳实践或标准,以达到更高的网络安全成熟度。这种方式的局限性在于很大程度上依赖于主观评估,而主观评估可能会受到诸如沟通技巧、偏见和评估员经验等因素的影响,其还可能因为无法充分解决一个企业独特的风险状况,而使企业容易受到针对性攻击。因此,达到特定的成熟度水平并不能确保企业免受网络威胁,反而可能会让企业产生一种错误的安全感。而基于风险的网络安全方法是灵活和可定制的,可以满足一个企业的具体需求和特定风险,其强调通过持续监测和重新评估的方法,来识别和优先考虑采取措施来缓解最关键的网络安全风险,以确保企业在在面对不断变化的网络威胁时可以采用有效的控制措施。基于风险的方法的有效性来源于其允许企业将网络安全战略与自身的风险状况相结合,使他们能够专注于最重要的威胁和漏洞,还可以通过不断评估和解决风险来促进企业积极的网络安全文化,将网络事件的影响降到最低。由此,企业可以根据其最关键的资产和漏洞来确定网络安全工作的优先次序,并就如何分配其网络安全资源做出明智的决定。