普华永道2019《数字信任洞察之中国报告》对中国内地企业建立数字信任的举措以及企业网络安全团队为建立数字信任所发挥的作用进行了评估。本报告旨在为网络安全团队如何通过企业网络安全建设提高竞争力提供建议。本报告汲取了《全球数字信任洞察问卷》(过去成为全球信息安全状况调查)对来自89个国家和地区的3000多位企业高管和IT专业人士展开调研的成果。中国报告代表的是中国内地(以下简称“中国”)121位受访者的观点。此次调研在2019年3月至4月之间进行。
数字化转型带来的风险
《报告》显示,虽然大部分中国受访者表示建立数字信任是企业优先事项,但在数字化转型快速发展的情况下,其风险管理能力有所欠缺。对企业高管和IT专业人士而言,他们最缺乏建立数字信任的能力,包括不确定如何实现企业转型目标,不确定未来10年其数字战略将有何变化,不确定其数字计划将取得怎样的成果。
由于88%的中国受访者来自非科技行业,包括工业制造业、金融服务业或零售和消费行业,显而易见,其中部分企业所处的行业受到科技巨头的颠覆性影响,但他们无法跟上变革的速度,发现自己对于如何完成企业转型目标或数字化目标茫然无措。为了缩短这些差距,中国企业正逐渐加强其网络安全计划,重新规划企业网络安全团队的工作方式。一些企业真该考虑将数字创新流程外包给第三方技术服务供应商,其他企业正在经历由行业协会(以及监管机构)推动的数字化转型,这些举措将强化整体企业生态系统,并未企业谋求数字发展提供支持。
网络安全计划与业务发展并进
从一系列衡量指标来看,多数中国受访者的网络安全与业务发展匹配程度高于全球受访者。83%的受访者表示,其网络安全团队挣钱如企业的业务当中,他们不仅熟悉业务策略,而且制定了支持业务需要的网络安全策略。83%的受访者认为,其网络安全团队与其他所有管理企业风险的部门建立起战略合作关系,防范企业面临的最严峻威胁和风险。81%的受访者认为,其网络安全团队在网络风险和相关风险问题上能够与董事会和高级管理层进行有效沟通。
为了实现以战略及业务为导向,中国网络安全团队采取哪些不同的做法呢?在问卷中,我们调查了那些成功转型并满足业务发展需求的企业,他们对自己的网络安全团队开展方式进行了排序。26%的受访者表示,其网络安全团队与业务团队密切合作,确保网络安全策略与业务需要相配。然而,中国企业安全团队处于落后的方面是,更频繁的向公司董事会和企业首席高管汇报网络风险问题。这样一来,董事会和高级管理层才能承担起公司某些领域的网络风险策略的责任你,例如为网络安全事件提前做好准备,应对网络安全事件,以及提高员工网络安全意识等。
网络安全活动的成熟度
《报告》显示,中国企业的网络安全团队多数仍处于“被动应对风险”阶段。美国国家标准与技术研究院(NIST)发布的《网络安全框架》中包括五个方面的网络安全管控:识别、保护、检测、响应和恢复。中国网络安全团队在“响应”和“保护”两项功能中成熟度最高,在“识别”功能中成熟度最低。这一情况说明调研受访者只处于响应状态,在风险发生后采取缓解措施,未能充分识别风险并防患于未然。
这表明受访者只处于响应状态,在风险发生后采取缓解措施,而未能充分识别风险并防患于未然。这也表明网络安全团队在识别关键资源和企业情况,从而根据企业风险管理和业务需要促使企业重点保障网络安全方面比较薄弱。于是,网络安全团队只能进行损害控制,或只能在侦测到事故后为企业提供支持,而且对企业的保护方式也只是减弱或遏制时间的影响。究其原因,或许是更少比例的中国受访者认为,其网络安全团队在保障企业生态系统时采用的是基于风险的办法。
重要商业启发
《报告》最后得出了一些关键性结论,其中第一条是
遵循基于风险的方法和标准框架,以加强“识别”功能
网络安全团队在从事网络安全活动时,需要提倡使用基于风险的方法和标准框架解决问题。如此,他们可以加强自身能力,以识别关键资源和企业情况,从而根据企业风险管理策略和业务需要促使企业重点保障风险安全。
还有一条,小编认为也值得一提
将网络安全作为企业问题处理,而非将其归为IT问题
网络风险是个企业范围内面临的问题,因此涉及公司董事会、管理层、业务部门主管以及IT和安全智能部门。网络安全团队需要与董事会和高级管理层共同探讨网络安全风险问题,以便董事会和高级管理层负起企业网络风险策略的责任。为了制定适当的网络安全计划,企业还需要考虑让员工参与其中。员工可通过培训和遵守企业标准及指引的方式为网络安全出一份力。
普华永道中国网络安全和隐私保护服务合伙人冼嘉乐表示,采用基于风险的方法开展网络安全活动,使用标准框架进行自我管理,才能恰当预测和管理系统、人员、资产、数据以及性能方面的网络安全问题。侦测到事故后为企业提供支持,只能减弱或遏制事件影响,充分识别风险并防患于未然,应是每个网络安全团队努力的方向。
报告下载链接:
声明:本文来自普华永道,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
