麦肯锡直接 破解增强数字和网络风险成熟度的代码 最近对澳大利亚和新西兰组织的数字和网络自我评估揭示了应对不断变化的数字相关风险所需的优势和改进领域。 AkashLal,CharlieLewis和OliviaLoadwick 2023年11月 全球数字经济经历了 近年来,随着组织接受现代化并推动其业务模式的数字化转型,增长异常迅猛。尽管数字化的快速加速创造了无与伦比的增长机会,但也暴露了数据滥用和泄露的更大风险 。事实上,全球组织正在经历大量的网络安全事件,包括勒索软件攻击。 在过去两年中,澳大利亚和新西兰市场的网络攻击增加了 23%,涉及机构和个人数据。1 2023年6月,麦肯锡评估了18家澳大利亚和新西兰公司的数字和网络成熟度,这些公司涵盖了航空公司、银行、消费者零售、保险、非营利组织和财富部门。评估研究了管理一系列数字相关风险的组织方法,以深入了解干预措施可能最集中的地方,收集多个领域的见解: —网络安全能力成熟度 —网络威胁景观 —网络支出和全职员工结构 —网络运营模式 —数据治理、数据隐私和数字信任 —技术弹性评估涉及与 欧洲、北美和英国的全球同行基准。 成功和挑战的混合包 我们的数字和网络自我评估结果揭示了八个关键见解-优势组合 这将组织与全球同行区分开来-但它也揭示了需要改进的领域。 1.总成熟度高于全球同行平均水平但低于前四分位数 平均而言,与全球同行相比,组织表现出更高的数字和 网络成熟度,尽管它们还没有与领先的四分位数表现相当。2Theprimaryfactorscontributingtothisgaparelowermaterialindataprotectionandprivacy,identityandaccessmanagement,andriskmanagementpracticesrelatedtoarchitectureandengineering.Financial-servicesinstitutions(FSI)self-assessedas 与其他行业的组织相比更成熟(图表1)。 2.强有力的风险管理基础平均而言,组织自我评估其风险管理环境比全球同行更成熟。他们在安全风险管理、安全保 证、政策和标准的基本要素方面具有相对优势。这些优势在培训、教育和数字相关风险管理意识方面得到加强。他们还回应说 治理和报告网络风险的良好做法。组织有机会将关键措施的报告扩展到业务中更广泛的利益相关者(例如,从董事会,首席执行官和安全团队扩展到业务和IT团队),使利益相关者能够做出更明智的决策并进一步加强其网络安全状况。 1MehrBedi,“澳大利亚的Latitude集团,IPH在黑客攻击浪潮中受到网络攻击”,路透社,2023年3月16日。 2全球同行包括来自欧洲,北美和英国的航空航天,银行,消费者零售,教育,保险和零售部门的25个组织。 附件1 金融服务机构在数字和网络成熟度方面对自己的评价略高于其他组织。 澳大利亚和新西兰基准平均值1 全球基准平均值全球基准排名前四分之一 金融服务机构(FSI)2 域 总体 非FSI3 战略、项目管理和 绩效 0 1 2 3 4 50 1 2 3 4 50 1 2 3 4 5 治理、风险和合规 性 身份和访问管理 建筑与工程 安全操作和响应 网络弹性和恢复 数据保护和隐私 人身安全和安全 3.49 2.77 Average 3.09 4.09 3.32 4.16 2.74 3.84 安全能力加速器成熟度评级,0-5刻度 3.21 1包括在麦肯锡数字和网络成熟度评估中调查的航空公司,银行,消费者零售,保险,非营利性和财富部门的公司(n=18)。 2全球FSI基准平均值包括欧洲、北美和英国的银行和保险公司(n=15)。 3全球非FSI基准包括欧洲,北美和英国的航空航天,零售,教育和消费品包装公司(n=10)。来源:麦肯锡数字和网络成熟度评估 麦肯锡公司 3.网络支出占IT预算的比例低于全球同行 尽管近年来用于网络安全的IT预算比例有所增加,但仍低于全球同行基准。约30%的公司指出,缺乏网络安全资金是实现网络安全计划目标的最大风险(图表2) 。 4.无法满足网络安全人才的需求 在过去三年中,用于网络安全的IT预算分配从4%上升 到9%。 预测表明,在澳大利亚和新西兰的组织中,这一比例预计将继续增长,在未来三年达到11%(图表3)。 与此同时,33%的澳大利亚和新西兰受访公司表示,缺乏网络安全人才是实现其网络计划目标的最大风险。这种人才缺口可能是公司严重依赖外包的原因之一。平均而言,该地区的组织将其网络安全活动的43%外包,而全球同行外包仅超过30%(图表4)。澳大利亚和新西兰的公司依赖外包,特别是在人身安全和安全以及安全运营和响应方面(图表5)。 附件2 近三分之二的澳大利亚和新西兰公司认为缺乏资金和网络安全人才是网络安全的最大风险。 实现网络安全计划目标的最大风险,%的受访者 66 17 61% 2833 网络责任和技能对实现目标的影响基础设施交付云的能力 11 Other 竞争的优先级和变更能力 缺乏资金 缺乏网络安全人才 澳大利亚和新西兰基准平均值1 注:由于四舍五入,数字不等于100%。 1包括在麦肯锡数字和网络成熟度评估中调查的航空公司,银行,消费者零售,保险,非营利性和财富部门的公司(n=18)。来源:麦肯锡数字和网络成熟度评估 麦肯锡公司 33%的受访澳大利亚人 新西兰的公司表示,缺乏网络安全人才是实现其网络计划目标的最大风险。 附件3 澳大利亚和新西兰的公司希望在三年内与今天的全球IT预算相匹配,致力于网络安全。 4 9 11 11 IT预算致力于网络安全,%澳大利亚和新西兰基准平均值1 全球基准平均值2 1% 年同比增长率 澳大利亚和新西兰基准平均值 3年前的今天3年后的今天 问:贵公司的年度IT预算中有多少百分比用于网络安全? 1包括在麦肯锡数字和网络成熟度评估中调查的航空公司,银行,消费者零售,保险,非营利性和财富部门的公司(n=18)。 2包括欧洲,北美和英国的航空航天,银行,保险,零售,教育和消费品包装公司(n=25)。来源:麦肯锡数字和网络成熟度评估 麦肯锡公司 附件4 澳大利亚和新西兰的公司外包网络安全工作的速度高于全球基准。 外包和内部网络安全全职等价物(FTE)的平均细分,% 32 68 43 57 内部外包 澳大利亚和新西兰全球基准 平均值2 基准平均值1 问题:外包和内部网络安全FTE之间的平均百分比细分是多少? 1包括在麦肯锡数字和网络成熟度评估中调查的航空公司,银行,消费者零售,保险,非营利性和财富部门的公司(n=18)。 2包括北美,欧洲和英国的航空航天,银行,保险,零售,教育和消费品包装公司(n=25)。来源:麦肯锡数字和网络成熟度评估 麦肯锡公司 Exhibit5 澳大利亚和新西兰的公司在两个领域将一半以上的工作外包。 将工作负载外包给网络域的托管服务,%(澳大利亚和新西兰基准平均值1) 57 人身安全和安全 54 安全操作和响应 32 身份和访问管理 29 建筑与工程 27 网络弹性和恢复 26 25 治理、风险和合规性 战略、项目管理和绩效 23 数据保护和隐私 问题:您是否为任何网络域利用托管服务(例如,专用供应商团队)?如果是,请指出外包工作负载的百分比。 1包括在麦肯锡数字和网络成熟度评估中调查的航空公司,银行,消费者零售,保险,非营利性和财富部门的公司(n=18)。 来源:麦肯锡数字和网络成熟度评估 麦肯锡公司 5.云安全是一个挑战 云安全实践的成熟度与全球同行平均水平大致一致,但 远远落后于前四分之一。这是特别令人担忧的,因为根据评估,组织已经在云中托管了50%以上的工作负载 ,并打算在未来三年内迁移更多。 然而,许多组织尚未建立符合领先标准的云安全实践云安全方面的最佳实践包括: —通过定义的运营模型在整个组织中部署安全即代码实践,以确保明确表达关键管理决策的角色和责任(例如策略创作的权限) —部署自动化的安全即代码实践,包括提供和监控确保在每个实例中实施云安全控制 —转移在整个安全开发生命周期中仍然存在的安全性 ,并嵌入安全人员(例如具有安全知识的人才) ,以确保生产高度自动化的安全产品 6.需要改进数据安全和隐私风险管理 在技术和网络风险方面,组织最担心的是数据滥用、数据 访问中断以及关键和敏感信息的丢失。 与近年来该市场中数据泄露事件的激增有关。这些组织与所有数据保护和隐私子领域的全球基准平均值之间存在相当大的成熟度差距。澳大利亚和新西兰公司之间的差距和前四分之一的全球同行基准更加重要。一流的组织 正在采取端到端的方法来了解业务使用的数据范围(以及与该数据相关的相对风险和价值),以加强相关的治理实践 数据并改进访问管理策略、实践和安全工具。 在技术和网络风险方面,组织最关心的是数据滥用、数据访问中断以及关键和敏感信息的丢失。 7.不断增加的保险费和不一致的保险 在不断变化的威胁环境中,几乎所有接受调查的 组织(约95%)都购买了网络保险。大多数拥有全面的覆盖范围,涵盖数据 违规,业务中断和数字资产更换。但是,只有大约一半的人可以承担声誉损失和勒索付款。组织表示,在过去的12个月中,保费平均增长了约20%。 8.AI对网络安全的重要影响应用AI对网络安全的影响 是一个令人担忧的问题——即人工智能工具可能会泄漏敏感数据。网络威胁行为者使用人工智能来改进他们的黑客攻击方法的可能性也越来越大,例如通过进行更复杂的网络钓鱼攻击(图表6)。 Exhibit6 澳大利亚和新西兰的公司最关注的是应用人工智能对网络安全的威胁。 关注新兴技术趋势对网络安全的威胁,%的受访者1(澳大利亚和新西兰基准平均值2) 应用AI 72 云计算和边缘计算 61 下一代软件开发 50 信任架构和数字身份 44 量子技术 33 机器学习产业化 22 沉浸式现实技术 11 高级连接 6 Web3 6 Other3 6 问题:由于对网络安全的潜在影响,哪些新兴技术趋势使您晚上无法入睡? 1问题允许受访者给出多个答案。 2包括在麦肯锡数字和网络成熟度评估中调查的航空公司,银行,消费者零售,保险,非营利性和财富部门的公司(n=18)。 3包括AI、量子计算以及对金融机构的全行业外部攻击。来源:麦肯锡数字和网络成熟度评估 麦肯锡公司 网络安全成熟度区分组织和领导者 Theassessmentretainedacoresetofdimensionsandcapabilitiesthatseparatethe“great”organization-tionsandleadersfromthe“good”inthemanagementofdigital-relatedrisks.Whilehigh-performingorganizationsdemonstratestrengersintablestitabilitysuchas 报告、通信、网络保险, 和安全风险管理,在边缘和物联网安全,业务关系管理 ,威胁搜寻和主动防御,数据丢失保护以及加密和密钥管理方面表现不佳。成熟度矩阵还揭示了领导者表现优异的活动,以及组织面临的一些最具挑战性的活动(图表7) 。 Exhibit7 成熟度矩阵显示了公司最努力和表现最好的活动。 按活动集群划分的网络安全成熟度的标准偏差 A 所有组织都能很好地开展这些活动 B 领导者在这些网络安全活动中表现出色 A 表赌注能力 1.端点安全 2.度量和报告 3.通信管理 4.网络保险 5.安全风险管理 B 活动领导者的表现优于 1.供应链安全 2.第三方安全风险管理 3.访问管理 4.威胁建模 5.取证和调查 C 最具挑战性的活动 1.云安全 2.隐私操作 3.内部威胁计划 4.加密和令牌化 5.数据生命周期管理 所有组织都