計世網

威脅日益嚴峻,網絡安全風險已達到峰值
來源:計算機世界
2021-09-17
你知道在企業中首席安全官面臨的三大挑戰是什么嗎?

 

9月16日,安永發布《2021安永全球信息安全調查報告(GISS)》(以下簡稱《報告》),揭示了企業在全球疫情背景下的信息安全面臨著諸多威脅與挑戰,并針對性地提出化危為機的解決方案。該報告是安永持續第23年發布的全球信息安全調查報告,旨在探索當今企業所面對的最重要網絡安全議題。報告顯示,新冠疫情催化了云計算等技術的應用以及辦公場景的變革,企業因此需要應對更加復雜多樣的網絡安全風險,然而超過75%的中國受訪企業不確定其網絡安全防御體系是否足以應對黑客的攻擊。

安永調查表明,網絡安全職能部門在力爭成為業務發展推動力和業務戰略合作伙伴的道路上,疫情危機使其遭受了極具破壞性的巨大挑戰。在全球疫情好轉之前,局勢仍可能會進一步惡化。企業需要在后疫情時代加大技術和創新層面的投資,確保具有足夠的韌性面對下一次大規模網絡破壞。

安永大中華區咨詢服務主管合伙人王海瑛表示:“新冠肺炎疫情給企業的信息安全團隊敲響了警鐘,在信息安全問題愈加嚴峻之際,信息安全職能比以往任何時候都受到重視,信息安全團隊將借此機會更好地表明其角色的戰略重要性,提升在企業中的形象。”

本次調查對全球逾千位首席信息安全官和其他高管進行了調研訪談?;凇秷蟾妗方Y果,企業首席信息安全官正面臨著諸如缺乏高層重視、預算不足、多頭監管、跨團隊溝通待增強等方面的問題。自2020年發布上一期調查報告以來,高破壞性且高復雜度的網絡攻擊數量開始大幅增長,首席信息安全官肩負著更大的壓力,企業也面臨著更大的網絡風險。除此之外,預算限制意味著首席信息安全官需要努力縮小需求和資金之間的缺口。

全球合規環境正變得越來越復雜,某些行業(尤其是金融服務業)的企業還必須應對特定行業的監管。安永中國金融服務科技咨詢服務主管合伙人阮祺康表示:“對于國際組織而言,應對這些互為重合又時有沖突的監管規定將會變得極具挑戰性,尤其在數據變得無所不在并且全球流動的情況下。”

面對這一系列問題,安永大中華區網絡安全與隱私保護咨詢服務主管合伙人高軼峰表示:“企業的信息安全部門應發揮更加積極的作用,在企業投資決策的最初階段提供咨詢建議,以更好地滿足后疫情時代不斷變化的業務需求。同時,企業應當意識到這不僅僅是IT部門或安全部門的工作,只有企業中各方利益相關者相互配合、各司其職,才能快速、有效、從容地應對監管合規帶來的壓力和挑戰。”

網絡安全投資與需求不同步

當前,網絡攻擊威脅日益嚴峻,網絡安全風險已達到峰值。攻擊者的目標越來越多,采用的攻擊方式也愈加難以預測。盡管如此,相對于整體信息技術支出,多數企業的網絡安全預算仍與需求存在較大差距。

調查數據顯示,雖然67%的中國公司表示諸如勒索軟件等破壞性網絡攻擊的數量在過去12個月中有所增加,但應對網絡安全風險的預算仍然很少。45%的受訪者比以往任何時候都更擔心公司是否能夠應對網絡威脅,這一數據與全球平均數值(43%)相近。此外,40%的中國企業預計將遭受重大網絡安全事件。因此,對中國公司而言,更應積極主動地在網絡安全防御方面適當投資,以避免企業遭受到重大網絡安全破壞。

安永大中華區網絡安全與隱私保護咨詢服務合伙人蘭瑜表示:“為了在后疫情時代尋求業務轉型和創新發展,許多企業正在計劃新一輪科技投資。如果網絡安全被排除在投資討論之外,那么未來幾年網絡威脅將持續增長。企業應考慮將網絡安全成本分攤至整個企業,使網絡安全成為一種推動力量,為企業的轉型升級保駕護航。”

“多頭監管”為信息安全團隊帶來更加嚴峻的合規挑戰

安永大中華區網絡安全與隱私保護咨詢服務合伙人施建俊表示:“全球合規環境的愈加復雜及監管力度的加強是目前不可避免的趨勢。“多頭監管”可能在較長一段時間內都會是企業要面對的問題,特別是對于跨國企業而言,了解復雜的、動態發展的、相互影響的國際監管格局更是一項嚴峻的挑戰。”

中國54%的受訪者認為確保合規是工作中壓力最大的部分。同時,中國67%的受訪者預計,監管在未來幾年將變得更加多樣化,對于符合監管所做的工作將花費更多的時間,該比例明顯高于54%的亞太水平及57%的全球水平。特別是近期《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》的相繼出臺與生效,更是給在華企業帶來了合規的挑戰。

危機應對:贏得高層重視并與業務團隊建立更緊密聯系

此次調查顯示,信息安全部門與企業其他職能部門之間的本質關系缺乏能動性和穩固支撐。

中國近77%的受訪者表示,在項目規劃階段結束之前,企業往往不會及時咨詢信息安全團隊或向其匯報情況,這一比例與全球平均水平(76%)基本持平。

在中國,僅有16%的企業將網絡安全納入所有數字轉型計劃的規劃階段。受訪者認為,雖然各業務線認識到了網絡安全的傳統優勢(如控制風險),但仍未能將網絡安全職能部門視為持續長期的戰略合作伙伴。

企業應當根據其核心目標和潛在風險來制定業務規劃,以確保信息安全團隊、首席執行官和最高管理層及其他成員之間保持一致并維持穩固的戰略關系。同時,在中國的愈加嚴厲的監管環境下,企業要建立符合《中華人民共和國網絡安全法》《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》這三大法案的治理體系,自上而下地從戰略、高級管理層責任制進行配套設計,并從人員、組織、技術和流程方面進行落地實施。 

責任編輯:宋辰