安永《2023全球网络安全领导力洞察研究》正式发布| 观点与方案

佚名 来自:网络 2023-11-09

安永《2023全球网络安全领导力洞察研究》正式发布

安永《2023全球网络安全领导力洞察研究》报告(以下简称“研究报告”)于2023年10月1日正式发布,安永1网络安全与隐私保护咨询服务合伙人张楠驰于11月8日在第六届中国国际进口博览会的安永展台为前来参会的社会各界发布了

安永《2023全球网络安全领导力洞察研究》报告(以下简称“研究报告”)于2023年10月1日正式发布,安永1网络安全与隐私保护咨询服务合伙人张楠驰于11月8日在第六届中国国际进口博览会的安永展台为前来参会的社会各界发布了该报告的中文版,并为与会专业观众和媒体代表解读了全球企业面临的网络安全挑战、应对策略与最佳实践。

习近平总书记在第二届世界互联网+大会开幕式上指出,构建网络空间命运共同体既是回答时代课题的必然选择,也是国际社会的共同呼声。继连续24年在全球范围内进行网络安全调查并发布专业分析报告,今年安永将《全球信息安全调查》报告正式更名为《全球网络安全领导力洞察研究》。报告名称的转变,旨在更加聚焦企业在网络安全领域面临的深层次难题,深入洞察网络安全建设的战略先机。

► 虽然企业增加了对网络安全的投资,但随着网络攻击者利用先进技术和攻击面的扩大,威胁也在加剧

► 最有效的首席信息安全官(CISO)简化了他们的技术架构,强调自动化,并在组织各层级之间进行有效的沟通

► 改善后的网络安全不仅可以减少漏洞,还可通过优化技术支出、促进合作和建立信任来创造价值

采用新兴技术:在简化中实现安全

今年的《全球网络安全领导力洞察研究》题为《最大的网络安全风险反而是网络战略的复杂性》。在调研了500名首席信息安全官和高管后,研究团队将本次报告的主题聚焦在企业网络安全战略自身。相比于紧盯各类网络安全风险,在长达多年的网络安全建设投入后,安全战略本身逐渐成为值得关注的话题。

安永发现,相较于网络安全表现欠佳的企业(网络安全发展中企业),取得优秀网络安全成果的企业(网络安全成熟型企业),反而实施了较为简化的网络安全策略。两者在不同网络安全指标中表现如下:

► 2022年发生的网络安全事件超过50件:

网络安全成熟型企业14% vs网络安全发展中企业46%

► 网络安全事件平均检测时间(MTTD)小于6个月:

网络安全成熟型企业65% vs网络安全发展中企业27%

► 网络安全事件的响应速度(MTTR)小于30天:

网络安全成熟型企业67% vs网络安全发展中企业8%

“简化的网络安全策略”并不意味着单纯地减少网络安全投入,网络安全成熟型企业在以下三个关键领域做出了与众不同的表现:

► 迅速采用新兴技术,并利用自动化手段协调其网络安全技术和简化流程工作

► 具备针对性的网络安全策略以管理复杂的攻击面,包括云、本地和第三方

► 已将网络安全融合到组织的三个层面,包括高管团队、全体员工和网络安全团队

对于上述不同企业类型在网络安全方面差异化的投入所带来的不同表现,

安永1大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰表示:

从2010年至2022年,全球在网络安全领域的投资达到1.3万亿美元,复合年增长率为16.6%。这表示企业愈发重视其面临的网络安全挑战,并愿意为之投入更多的资源。然而,更多的投入并不意味着企业的CISO应该盲目堆叠安全策略。应该如何简化其所面临的安全问题,并利用人工智能或机器学习、自动化响应等自动化技术来解决网络安全难题,是值得CISO深入思考的问题。

在谈及企业面临的最大安全挑战,“潜在攻击面太多”排名第一,并获得了52%的受访企业的认可。随着企业数字化转型的加速,各类信息技术被运用到企业当前业务中。其中,四分之三的研究对象认为云和物联网是未来五年最重要的技术风险。随着云计算的应用,攻击面呈指数级增长,企业应努力跟上技术不断变化的步伐。

需要特别关注的是,研究报告指出,企业网络安全管理者低估了供应链带来的网络安全风险。研究显示,当前各类企业与供应链中的企业都保持着紧密联系。这意味着网络攻击者可以在供应链中寻找最薄弱的环节,并利用“一对多”策略成功入侵更多企业。然而,相较于网络安全成熟型企业38%的关注率,网络安全发展中企业中只有20%关注到了供应链带来的网络安全风险。安永在企业第三方网络安全风险管理方面拥有丰富的实践经验,并帮助大量中国市场的头部企业解决供应链上下游企业带来的网络安全风险。

安永1中国区金融服务科技咨询主管合伙人阮祺康表示:

随着产业链细分和业务对成本的控制,越来越多的第三方机构被引入到企业的日常运作中。虽然安全问题日益突出,但是仍有大量企业更关注供应商所带来的财务风险,而忽视了其可能带来的网络安全风险。企业安全职能部门应在供应商遴选和监督考核中扮演更多角色,以建设更全面的安全保障机制。

运用商业语言

在当今网络安全高风险环境中,CISO在获取必要的资源方面已经取得了广泛成功。以往被视为内部最大挑战的“预算不足”问题,已经在网络安全建设8项内部挑战的排名中跌到第六。但是网络安全并不仅仅是预算问题,它需要获取内部管理层更加广泛的支持,并由广泛的员工参与。

调研显示,非IT人员对网络安全最佳实践的遵守存在不足是当前最大的内部挑战之一(8项挑战中排名第3)。相应的,仅有51%的研究对象对企业的网络安全培训计划有效性感到满意,36%对非IT部门遵守最佳实践的情况表示满意。这引发了人们对网络安全培训有效性的质疑。

对此,网络安全成熟型企业会定期开展渐进式培训,利用最新的自动化和预防工具,将网络安全植入组织中每个员工的内心,以使得网络安全培训更加行之有效。与此同时,企业越来越倾向于外包网络安全工作的人员和流程,使用更多的安全咨询专家,在网络安全团队和业务团队之间发挥联络作用。

使网络安全成为价值驱动力

网络安全不仅是价值的保护者,更应该是价值的创造者。相比网络安全发展中企业,网络安全成熟型企业表示其网络安全策略对组织的转型和创新速度(56% vs 25%)、组织快速响应市场机遇的能力(58% vs 29%)以及组织专注于创造价值而非保护的能力(63% vs 42%)产生了更积极的影响。

为实施更有效的价值驱动型网络安全战略,网络安全管理者应采取以下建议:

► 简化网络技术架构,降低风险并提高可见性。自动化和协同管理以减少技术环境中的混乱,以更快地发现问题并更有效地做出反应。

► 在遴选供应商阶段,安全团队应于早期介入,采用标准化和自动化技术提高供应链的网络安全预警能力。

► 应将关于网络安全的理念转化为一个连贯的故事,这个故事能够从风险缓解、业务影响和价值创造等方面与业务产生共鸣。

► 应通过将循序渐进的、精心设计的培训与自动化和预防工具相结合,实现员工层面的原生网络安全。

► 网络安全应该被纳入组织的基本结构中,而不是被视为一种阻碍。


下载:安永《2023全球网络安全领导力洞察研究》报告


ChatGPT 颠覆了整个咨询行业!不会用的公司和咨询师必然淘汰!
马上体验学习ChatGPT及其它大模型:点击体验(需输入会员密码)

注册会员无需翻墙即可使用 ChatGPT特惠:

  • (1)包月使用299   包年使用2999  | 微信:18121118831联系;
  • (2)送一个月以上的咨询报告库VIP会员,可以浏览下载上万篇咨询和行业报告

 

咨询公司专栏

...
ChatGPT+咨询数据库

每月299,每年2999!
公司立即拥有ChatGPT+数万报告的咨询数据库

马上体验

预约咨询 | 免费咨询

联系我们

电话

181-2111-8831

邮件

tzl@chnmc.com

其它

随访:电话预约

关注我们公众号

微信公众号 chnmc-com,微信扫码关注
管理咨询APP

点击安装管理咨询APP,可以了解最新管理咨询 >微信长按图标,选择识别图中二维码,即可下载安装!

相关服务

我们的客户