不应盲目堆叠策略,进博会安永这份报告关注企业网络安全
今年的进博会上,安永带来全新的《2023全球网络安全领导力洞察研究》报告。在调研了500名首席信息安全官和高管后,研究团队将本次报告的主题聚焦在企业网络安全战略自身。相比于紧盯各类网络安全风险,在长达多年的网络安全建设投入后,安全战略本身逐渐成为值得关注的话题。
继连续24年在全球范围内进行网络安全调查并发布专业分析报告,今年安永将《全球信息安全调查》报告正式更名为《全球网络安全领导力洞察研究》。报告名称的转变,旨在更加聚焦企业在网络安全领域面临的深层次难题,深入洞察网络安全建设的战略先机。
安永发现,相较于网络安全表现欠佳的企业(网络安全发展中企业),取得优秀网络安全成果的企业(网络安全成熟型企业),反而实施了较为简化的网络安全策略。
“简化的网络安全策略”并不意味着单纯地减少网络安全投入,网络安全成熟型企业在以下三个关键领域做出了与众不同的表现:首先是迅速采用新兴技术,并利用自动化手段协调其网络安全技术和简化流程工作;其次是具备针对性的网络安全策略以管理复杂的攻击面,包括云、本地和第三方;第三是已将网络安全融合到组织的三个层面,包括高管团队、全体员工和网络安全团队。
对于上述不同企业类型在网络安全方面差异化的投入所带来的不同表现,安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰表示:“从2010年至2022年,全球在网络安全领域的投资达到1.3万亿美元,复合年增长率为16.6%。这表示企业愈发重视其面临的网络安全挑战,并愿意为之投入更多的资源。然而,更多的投入并不意味着企业的首席信息安全官(CISO)应该盲目堆叠安全策略。应该如何简化其所面临的安全问题,并利用人工智能或机器学习、自动化响应等自动化技术来解决网络安全难题,是值得CISO深入思考的问题。”
随着企业数字化转型的加速,各类信息技术被运用到企业当前业务中。其中,四分之三的研究对象认为云和物联网是未来五年最重要的技术风险。随着云计算的应用,攻击面呈指数级增长,企业应努力跟上技术不断变化的步伐。
需要特别关注的是,研究报告指出,企业网络安全管理者低估了供应链带来的网络安全风险。研究显示,当前各类企业与供应链中的企业都保持着紧密联系。这意味着网络攻击者可以在供应链中寻找最薄弱的环节,并利用“一对多”策略成功入侵更多企业。然而,相较于网络安全成熟型企业38%的关注率,网络安全发展中企业中只有20%关注到了供应链带来的网络安全风险。安永在企业第三方网络安全风险管理方面拥有丰富的实践经验,并帮助大量中国市场的头部企业解决供应链上下游企业带来的网络安全风险。
安永中国区金融服务科技咨询主管合伙人阮祺康表示:“随着产业链细分和业务对成本的控制,越来越多的第三方机构被引入到企业的日常运作中。虽然安全问题日益突出,但是仍有大量企业更关注供应商所带来的财务风险,而忽视了其可能带来的网络安全风险。企业安全职能部门应在供应商遴选和监督考核中扮演更多角色,以建设更全面的安全保障机制。”
作者:唐玮婕
文:唐玮婕 图:视觉中国 编辑:商慧 责任编辑:戎兵
转载此文请注明出处。