EY 2023全球网络安全领导力洞察研究.pdf

最大的网络安全风险反而是 网络战略的复杂性？ 安永2023 全球网络安全领导力洞察研究 目录 第一章 采用新兴技术：在简化中实现安全 6 第二章 网络安全成熟型企业可覆盖整个攻击面 9 新兴技术正在制造新型攻击面 10 网络安全领导者低估了供应链带来的风险 11 第三章 运用商业语言 12 网络安全整合需要从高管团队开始行动 12 广泛的员工参与将带来更优的网络安全策略整合局面 13 网络安全陷入技能追赶的困境，需要对其采取战略举措 13 第四章 网络安全成熟型企业-使网络安全成为价值驱动力 15 为更有效的价值驱动网络安全战略付诸行动 16 1 最大的网络安全风险反而是网络战略的复杂性？ 《安永2023 全球网络安全领导力洞察研究》显示了网络安全领导者如何在创造价值的同时加 强防御。 概述： • 虽然企业增加了对网络安全的投资，但随着网络攻击者利用先进技术和攻击面的扩大， 威胁也在加剧 • 最有效的首席信息安全官简化了他们的技术架构，强调自动化，并在组织各层级之间进 行有效的沟通 • 改善后的网络安全不仅可以减少漏洞，它还通过优化技术支出、促进合作和建立信任来 创造价值。 尽管网络攻击威胁不断增加，对网络安全方面的投资也在持续增长，但只有五分之一的首席信 息安全官（Chief Information Security Officer ，CISO ）和高管团队认为他们的网络安全措施 在目前是有效的，并且为未来做好了充分的准备。 《安永2023 全球网络安全领导力洞察研究》的研究对象还指出了一些令人担忧的问题。企业 平均每年面临 44 起重大网络事件，但检测和响应较慢，有四分之三的企业需要六个月或更长 1 时间才能检测和响应事件。与此同时，在过去五年中已知的网络攻击数量增加了约 75% 。预 2 计到2031 年，勒索软件造成的损失将从2021 年的200 亿美元增加到2650 亿美元 。新的、 复杂的网络攻击者正在利用最新的技术作为武器提高攻击的速度和规模，由此对企业造成的财 务、监管和声誉方面的影响正不断加剧。 关于此项研究 2023 年2 月至3 月，安永在全球范围组织进行了一项研究，旨在更好地了解公司如何处理其 组织的网络安全，为当前和未来的网络安全威胁做好准备。我们对来自美洲区、亚太区，以及 欧洲、中东、印度及非洲区等25 个国家和地区、11 个不同行业的 500 名网络安全领导者进 行了调研，其中包括250 名首席信息安全官（CISO）。这些研究对象代表了年营收超过10 亿 美元的组织。 通过统计模型，我们确定了在网络安全领域取得优秀成果的组织——称之为网络安全成熟型企 业。与表现欠佳的同行 （网络安全发展中企业）相比，网络安全成熟型企业的网络安全事件数 量更少，且检测和响应事件的速度更快。他们对组织当前的网络安全策略的满意度更高 （51% vs 36% ），也对未来的网络安全威胁做好了更充分准备 （53% vs 41% ）。 1 网络事件数据库 2 网络安全风险投资 2 最大的网络安全风险反而是网络战略的复杂性？ 1. 我们调研了 500 名首席信息安全官和高管，并确定了取得优秀网络安全成果的组织， 称为网络安全成熟型企业 （42% ）。 网络安全发展中企业 （58%）代表表现欠佳的同行。 2. 网络安全成熟型企业在2022 年遭遇的网络安全事件较少。 2022 年，仅有 14%的网络安全成熟型企业面临50 起以上的网络安全事件，而网络安 全发展中企业的比例为46%。 3 最大的网络安全风险反而是网络战略的复杂性？ 3. 网络安全成熟型企业能够更快地发现网络安全事件。 65%的网络安全成熟型企业的平均检测时间（MTTD）为6 个月或更短，而网络安全发 展中企业只有27%能达到这一时间。 4. 网络安全成熟型企业对事件的响应速度也更快。 67%的网络安全成熟型企业的平均响应时间