领先的风险和威胁分析洞察力帮助组织做好充分准备并增强生存力

了解更多www.thebci.orgBCI Horizon扫描报告2020弹性专业人员的风险状况检查 地平线扫描报告2020内容5执行摘要9风险和威胁评估：过去十二个月16风险和威胁评估：未来十二个月22破坏的后果25破坏的财务成本29基准业务连续性36基准长期趋势分析44附件前言我很高兴介绍2020 BCI地平线扫描报告。作为BCI最成熟的年度报告之一，Horizon Scan的结果总是可以预期的。我还要感谢BSI对BCI Horizon Scan Report的持续支持。每年都在揭示以发现组织所发生的实际事件的趋势。经验丰富，并将其与他们预期的未来威胁进行比较。其中一些结果通常是如我们所料。例如，网络攻击和数据泄露在2020年未来威胁列表中排名第一。极端天气事件排名第三，这是可以理解的结果，这是因为空前的自然灾害在2019年席卷了许多国家。在过去一年中发生的实际事件列表中，医疗事故排在首位，这一点要少得多。此类别涵盖职业病，压力/心理健康和疾病缺席。值得注意的是，该类别不包括流行病。在撰写本简介时，冠状病毒或COVID-19（该病毒引起的疾病的正式名称）的传播仍在继续，并且已成为全球关注的焦点。事后看来，令人惊讶的是，在“未来威胁”列表中，相关威胁类别“非职业性疾病”排名倒数第二。这一结果肯定反映了Horizon Scan调查的时间安排，该调查是在2019年最后几个月进行的，当时尚未向世卫组织报告首例孤立病例。蒂姆·简斯（Tim Janes）BCI主席FBCI阁下但是，在2020年业绩中的这一低位说明了，尽管全世界都在关注，但另一种威胁却可能突然爆发并造成重大破坏。 COVID-19并不是Nassim Taleb不可预见的“黑天鹅”事件之一，而可能是“灰天鹅”事件的一个例子。这被定义为可预测且极具破坏性的威胁，但其频率不高意味着它不太可能发生，因此在其影响变得十分明显之前，常常被忽略。这种现实增强了对“地平线扫描”活动的需求和巨大的价值。不只是作为每年一次的活动，但作为有计划的定期活动。许多Horizon Scan受访者告诉我们他们已经在这样做。他们采用了多方面的方法，利用了组织各部门的投入以及一系列外部资源，包括地方当局，邻近企业，同行，供应商以及BCI Horizon Scan等可公开获得的报告。通过对世界各地的事件进行定期扫描，可以将结果与组织的响应策略和准备情况进行比较。如果扫描发现有新的威胁或意外威胁，则强烈希望充分了解组织对这种新颖危害做出有效反应的能力。2020年BCI地平线扫描报告继续证明其对业务连续性和弹性专业人员的价值以及保持警惕的重要性。2了解更多www.thebci.org3 地平线扫描报告2020前言我们很高兴再次赞助《地平线扫描报告》。到了第九年，它已成为我们承诺与组织共享见解以实现弹性的承诺的一部分。今年的结果继续表明，过去12个月来世界各地发生的事情与组织在来年应对的威胁之间存在差距。健康事件是过去12个月中造成的最大破坏，但是网络攻击以及IT和电信中断仍然是未来最大的担忧。这就提出了一个问题，组织是否对运营威胁感到自满？它还强调了平衡日常业务风险与我们无法控制的外部事件的重要性。注重身体健康会给员工，企业文化和日常交付带来巨大的积极影响。除了增加支持以帮助员工管理非职业性疾病的支持外，很明显，在考虑其连续性计划时，关注压力等不良健康工作原因的健康策略也应成为组织的首要任务。这也将有助于吸引和留住人才，这是组织面临的另一个挑战领域。该报告还显示，业务连续性和弹性专业人员对内部风险和威胁分析的关注日益增加，这在我们的2019年组织弹性指数中也很明显，该指数突出表明，企业日益增长的压力已导致许多组织向内看。Horizon Scan基准是对索引的补充，可帮助组织做出更明智的业务决策。最后，希望看到国际标准在支持组织预测，准备，响应和适应变化方面所发挥的作用，这比以往任何时候都更为重要。越来越多地采用ISO 22301安全性和弹性：业务连续性管理系统以及寻求独立认证达到标准的组织数量的显着增长是令人鼓舞的。结果还表明，那些获得标准认证的组织所发生的事件通常少于未经认证的组织。在法规较少的行业中，良好实践带来的价值是显而易见的，有助于树立信心并支持业务绩效。一个很好的例子，说明标准如何激发人们对更富弹性的世界的信任。霍华德·克尔BSI首席执行官BCI Horizon Scan执行摘要了解更多www.thebci.org54 风险与威胁评估–过去十二个月在过去的十二个月中，健康事件取代了IT成为造成破坏的主要原因过去12个月中断的主要原因（风险指数评级）健康事件：13.9IT和电信中断：13.0安全事件：12.0缺乏才能/关键技能：11.5网络攻击和数据泄露：11.2风险与威胁评估–接下来的十二个月网络攻击仍然是未来威胁风险的重中之重指数。先前事件与对未来威胁的感知之间的脱节继续未来12个月中断的主要原因（风险指数评级）网络攻击和数据泄露：6.4IT和电信中断：5.4极端天气事件：4.9关键基础架构故障：4.7缺乏才能/关键技能：4.5破坏的后果与员工在中断期间的财务损失相比，对员工福祉的负面影响要大得多在过去的12个月中造成破坏的主要影响或后果生产力损失：69.3%对员工士气/福祉的负面影响：42.8%收到客户投诉：41.4%名誉损害：39.5%收入损失：36.3%执行摘要地平线扫描报告2020执行摘要在过去的12个月中，颠覆性格局发生了变化：在过去的十二个月中，健康事件已取代了IT和电信中断，成为组织中断的主要原因。专业人士在今年的调查中还注意到了新的干扰：例如，气候变化导致一些组织停止了建设项目，而其他组织则在受到气候变化抗议者的攻击后不得不做出反应。在接下来的12个月中，专业人士所关注的问题仍然受到他们控制较少的事件的支配：尽管网络攻击和数据泄露在造成网络中断的原因中排名第五在过去的12个月中，它仍然是未来12个月中值得关注的主要原因。确实有灰天鹅发生：有趣的是，非职业性疾病在未来威胁列表中排名倒数第二：如果调查是在COVID-19爆发后进行的，那无疑会更高。这表明了进行水平扫描和为意外做好准备的重要性。法规变更使组织付出的代价最大：就每次事件造成的费用为198万欧元，就金融服务部门而言，就每起事件而言，监管变更使组织付出的成本最高，而受到此类破坏的冲击最大。安全事故的代价也很高，平均每起事故153万欧元。报告称获得ISO 22301认证的组织比以往任何时候都多：20.5％的受访者表示其组织已通过ISO 22301认证：比2018年提高了6.7个百分点。现在，有71.0％的组织已通过标准认证或将其用作框架，这是Horizon Scan报告中记录的最高百分比。ISO认证有助于组织提高弹性，同时也对资产负债表产生积极影响：尽管85.0％的受访者表示ISO认证增加了其组织的弹性，超过四分之一（27.5％）的公司声称降低了保险费。6了解更多www.thebci.org7 地平线扫描报告2020了解更多www.thebci.org风险和威胁评估：过去12个月98破坏的财务成本在金融服务部门的回应的带动下，就每次中断的平均成本而言，监管变更使组织付出的成本最高对组织造成的损失最大（每次最大破坏的平均成本，百万欧元）法规变更198万欧元安全事故153万欧元自然灾害107万欧元极端天气事件100万欧元网络攻击或数据泄露75万欧元认证的好处认证有助于提高组织的弹性，超过四分之一的人认为认证有助于减少保险费用认证对组织的好处提高组织的弹性：85.0%实现一致的BCM测量和监视：73.7%中断后可以更快地恢复：59.3%确保与业界同行保持一致：54.5%有助于降低保险费用：27.5%基准长期趋势分析大多数组织进行内部风险和威胁评估以了解可能影响其组织的因素，但是外部资源使用率低用于对组织的风险和威胁进行趋势分析的方法内部风险和威胁评估：86.0%风险登记册：62.5%外部报告/行业见解：58.2%参加行业活动/会议：50.1%社交媒体监控：32.9%通过ISO 22301标准认证的组织百分比标杆管理超过五分之一的组织拥有通过ISO认证的业务连续性管理系统22301标准：与2018年相比增加了将近七个百分点13.8%20.5%20182019 地平线扫描报告2020风险和威胁评估：过去十二个月风险和威胁评估：过去12个月•健康事件取代了IT和电信中断，成为2019年组织的主要中断。•网络攻击仍然是组织面临的常见挑战：尽管组织在管理较小规模攻击的风险方面变得越来越好，但大规模攻击仍然有可能对组织造成广泛破坏。就整体影响而言，IT和电信中断今年仍排在第二位，并且仍是一年中多次中断的最可能原因：组织认为，越来越依赖第三方应用程序和服务来满足关键业务需求是IT中断的主要原因。这表明检查关键IT /电信供应商的业务连续性安排并确保所有关键产品的恢复时间目标（RTO）到位的重要性。Support Visions在2018年的一份报告中显示，在事件发生后的一年内，遭受数据中心中断10天或更长时间的组织中有93％申请破产1.组织应始终查看其数据中心提供商的正常运行时间统计信息，并在系统出现故障时考虑使用备用提供商。 99.99％的正常运行时间保证可能就足够了，但是这种保证实际上等于53•诸如气候变化之类的威胁正在出现，这强调了审查计划以更好地理解和应对的重要性。应对这些威胁。今年的报告显示，健康和安全事件是2019年造成破坏的主要原因，这是自2014年以来首次没有受到网络攻击。健康事件既涵盖因工作条件引起的病理性疾病，也涵盖精神疾病，可能对由于病情增加和生产力下降而导致的手术。如果在整个工作场所范围内爆发疾病（例如军团菌或食物中毒），操作可能会关闭，即使员工可以在家工作，如果关闭时间过长，员工的心理也会受到损害。国家法规通常要求记录和监视所有健康事件，这可能会影响组织更准确地跟踪和监视此类事件的能力。相比之下，较小的IT或电信中断可能不会如此认真地记录下来。的受访者报告称在2019年发生了20起或更多此类事件的组织报告了11-20次中断一年中的几分钟停机时间。如果那件事发生了在组织的繁忙时期，后果可能是灾难性的。1.支持愿景2018年，数据丢失可能使您的业务损失惨重，支持愿景，2020年2月7日查看www.supportvisions.com/data-loss-can-cost-your-business-a-huge-outage/了解更多www.thebci.org10.2%“在过去的12个月中，我们造成的中断主要是“一切照旧”的中断。这些通常与立法或法规后流程或时间表的变更有关法规变更，或确保我们的员工认识到健康和安全要求以及工作流程，例如危险和事故的报告。”新西兰地方政府弹性分析员“随着我们不断开发新技术解决方案，我们对第三方软件的依赖性越来越高。当实施诸如SaaS之类的新技术时，从业务连续性风险管理的角度来看，各有利弊。如果没有（定期）进行足够的尽职调查，那么当组织进行技术变革时，意外的中断肯定会增加，并且还会更多。”英国技术业务连续性管理主管5.1%1110 地平线扫描报告2020风险和威胁评估：过去十二个月“我们在抗议活动所在的香港设有办事处。您希望事情能很快得到解决，我们可以继续前进。但这还没有发生，并且已经进行了相当长的时间。我们必须不断提醒员工，甚至从全球的角度来看，它的确对人们产生了间接影响。我们必须对问题的文化和政治方面，通过保持完全中立并注意员工的福利来平衡一切，这是重要的问题。”英国技术业务连续性管理主管在今年的风险指数中，排名第三的是安全事件。在过去的一年中，有12.3％的组织报告了11起或更多的安全事件，尽管其中许多只是次要的：只有5.0％的安全事件被归类为具有“重大”或“极端”影响，而75.0％的组织被归类为“次要” ”；比列出的任何其他中断更高的“次要”数字。这很可能受组织处理事件报告的方式的影响：许多组织倾向于记录所有与安全相关的事件，无论严重程度如何。极端天气事件在今年的报告