电子加密货币的蓬勃发展，为电子经济增加了相当的活力，也让当下的网络与商业环境中，网络安全的威胁增加了很多。无法跟踪、溯源，也无法抵赖的区块链支付系统，堪称近三年来，发展、蔓延最严重的互联网安全挑战的推动力之一。

这其中，不但金融行业名列最受攻击者关注的行业前茅，更有甚者，将攻击的目标锁定在企业的财务部门上，其中，IT资源、基础设施匮乏的中小企业，更是重灾区。

我们不能再抱持错误的观念，认为只有大型企业才会受到网络犯罪的影响。局势已悄然发生变化：伴随威胁方式的更新，各类企业都很容易受到攻击。无论你所在企业的规模大小，是个体户还是大型跨国公司，都需要清楚意识到网络安全风险的影响。我们的调查显示，面对网络安全威胁，任何组织都不能高枕无忧。

供应链正变得日益复杂。其中，其他企业对中小型企业的需求意味着，后者也需要具备适当的网络防护水平。虽然中小企业通常将其视为一种负担，但如今，这对于业务开展而言不可或缺。

在有效保持网络安全方面，规模较小的企业面临着自身的挑战。随着威胁性质不断演变、范围日益扩大，并且攻击复杂性持续提高，他们若想及时跟进最新发展态势，往往必须应对资源不足、成本增加等棘手难题；但如果无法做到这一点，又将与新的业务失之交臂。这些企业摆脱这一困境的关键在于开展合作，同时充分利用可用资源——如国家主管机构提供的支持。

小型企业自身在财务信息安全上的了一重挑战，通常来自在责任与问责制度上的缺位，或模糊设定。

虽然超过半数的受访者表示，他们完全清楚日常网络安全的负责人是谁，但也有30%的受访者指出他们只是“觉得自己知道”，另有10%则表示不清楚。这意味着企业在遭受网络攻击后会出现怎样的状况呢？在这种情形下，企业中往往会出现责任模糊的局面。

在按企业规模进行分析时，受访者的回复显示，小型企业倾向于首席执行官全面问责制，这在一定程度上并不令人惊讶。受访者还被要求考虑，企业中谁对这一问题负有日常责任，对小型企业来说，日常负责人变成了IT经理。也就是说，从最终问责和日常责任两个角度观察，财务领导层都感觉该问题与己无关。

这种问题与己无关的感受，导致了另外一种悲剧后果，即小型企业资深对信息安全的风险控制不足，典型如补救措施匮乏。

鉴于网络攻击的不可避免性，企业的应对措施与自我保护手段同样重要，如果不是更加关键的话。如果遭到网络攻击后采取错误的行动，很可能会加剧损失，甚至比攻击本身更具破坏性，比如进一步造成系统失灵，又或者因沟通不畅令企业声誉备加受损。

大型企业正在引领的那些优秀实践，也是所有企业都应普遍采用的。即便如此，他们的补救措施都倾向于恢复程序，而不太重视沟通事宜——这种情况在小型企业中更是明显。

企业可以采取的保护方式之一就是购买网络保险，但只有少数的受访者表示，所在企业已购买（或知道企业已购买）网络保险。中小型企业采购网络保险的比重，落后于大型企业。

由于网络安全违规的影响将遍及整个企业，因此它不只是一项技术问题。虽然IT团队可能是解决方案的组成部分，但并非是其真正的负责者。解决该问题需是需要企业各部门参与的一项整体行动，不能仅采取技术性补救措施。

人们或许会期望，按道理IT部门能够了解当前的威胁形势，但要求他们对风险格局也有同样了解并不现实，因为这涉及到企业的每项业务和每个部门。

除非企业能让IT部门充分参与相关工作，并且阐明风险的真实性质及其风险偏好，否则IT部门可能会错判保护对象，或浪费资源保护受威胁程度较小、甚至根本没有受到威胁的资产。

网络安全是一种商业风险，其管理责任既不能外包，亦不能授权他人。管理网络安全风险意味着，财务不能袖手旁观，将问题留给其他部门。我们应该将其视为一项涉及全公司的重大风险，并且定期评估和采取行动。作为个人，我们需要采取措施以确保充分了解各种威胁；而企业需如本报告所述，不能只是采取孤立的措施来解决这些问题，而应首先构建强有力的管制体系，包括教育员工，避免由于其反应过于被动，让企业面临巨大财务风险。此外，我们还要安排强有力的计划，管理势必发生的冲击并从中恢复。

大型互联网公司所存个人数据被盗的重大报道频频出现在新闻媒体中，而围绕社交媒体使用我们数据的方式、以及应如何对其进行监管（连同监管本身能否跟上不断发展的技术步伐），争论也始终不绝于耳。

但实际上，与这些重大但略显遥远的麻烦相比，你正在工作的公司包括你个人，更是网络攻击的受害者。然而，我们中有多少人真正了解这一风险的性质、及其对业务全部的影响？

不要错过挽回损失的准备，访问https://cn.accaglobal.com/insights/c90/cyber-and-the-cfo.html获得更多建议吧。