网络安全 全球网络安全前瞻调研报告第4版 的前景 增强网络安全韧性 提升变革价值 筑牢 网络安全 2 网络安全需求瞬息万变。新兴网络安全威胁、前沿技术以及业务需求的不断演进,正持续重塑各行各业组织的战略优先级和可能性。 打造价值引擎 精准理解并预测网络安全未来趋势是一项长期战略要务,它不仅可以让我们通过前瞻性思维敏锐地洞察和识别新兴风险,同时也将深度挖掘其中蕴藏的无限价值潜力。 EmilyMossburg 德勤第四版《全球网络安全前瞻调研》报告正式发布,为我们勾绘了一幅更加清晰、更加全面的网络安全蓝图。调研显示,网络安全与商业价值之间的关联持续增强。在推动技术驱动项目和实现业务成果的过程中,网络安全扮演着更加举足轻重的角色。同时,随着企业对网络安全的重视程度与日俱增,包括首席信息安全官(CISO)在内C级高管的角色正发生转变,他们的影响力和职责范围也在不断扩大。 我们很高兴与您分享本次调研的主要发现,并邀您一同探究相关成果。接下来的内容中,我们结合德勤在全球网络安全领域的丰富经验和深刻理解,为您呈现一系列由数据驱动的专业洞察。此外,报告还梳理了受访者的直接反馈和观点,旨在提供更加全面的多元化视角。诚邀您阅览本报告,如需进一步探讨相关内容,欢迎随时与我们联系。 德勤全球网络安全服务主管合伙人 3 报告内容概览 1 高层视角 网络安全战略转型的新时代4 2 调研方法 我们是如何得出这些见解的8 关键发现 3 网络安全影响战略价值9 •网络安全在战略商业价值中的作用10 •首席信息安全官CISO在领导层中的影响力与日俱增16 •网络安全与技术驱动的转型的 融合19 •网络安全成熟度、信心和收益 之间的联系25 展望未来 4 洞悉网络安全未来31 5 迈向新征程 未来已至制胜有方33 高层视角 网络安全战略转型 的新时代 专注于商业价值和韧性 4 全球范围内的组织在面对持续的业务复杂性和变化,以及各种新兴威胁和风险的同时,网络安全与商业价值的紧密联系始终如一。对于各行各业的组织而言,网络安全始终是其持续实现其所期望成果的核心所在。 德勤发布的《全球网络安全前瞻调研》第四版,对近1,200位全球各行业领导者进行了深度访谈,聚焦于他们对网络安全威胁、企业活动及未来趋势的看法。受访者包括企业高管及IT、安全、风险和业务领域的其他高层管理者。报告深刻揭示了网络安全与企业影响的紧密关联。 对商业价值导向的聚焦日益增强 在我们先前的报告,即第三版调查中,德勤深刻洞察到网络安全正逐步演变为企业的独立功能领域,它超越了传统的IT范畴,成为推动实现业务成果的关键组成部分。 在本次的第四版调查中,我们观察到,网络安全战略不仅对于释放更大的商业价值至关重要,而且网络安全实践已深度融入技术转型实践。同时,网络安全领导层的声音,尤其是首席信息安全官(CISO)的影响力显著提升,同时对网络安全有深入洞察的企业高层也越来越多。 尽管对网络安全的重视程度持续提升,但仅有约半数(52%)的受访者对企业高层(C-suite)和董事会在网络安全领域的驾驭能力充满信心,认为他们能够妥善应对网络安全挑战。尤其在 然而,当我们聚焦于网络安全成熟度分类为高 (以德勤标准)的组织时,我们发现了两个关键点:网络安全在高层得到了认可,且组织的网络安全成熟度与其在应对网络安全问题时的信心之间存在显著的正相关性。实际上,在高网络安全成熟度的组织中,对企业高层(C-suite)和董事会在网络安全领域驾驭能力的信心跃升至82%,相比之下,网络安全成熟度为中和低的组织中,这一比例分别为52%和39%。 调查结果表明,平均而言,86%的受访者正在中等或大规模地采取行动,以增强网络安全策略和行动,将网络安全视为企业不可或缺的组成部分。同时,平均而言,85%的受访者预计能够中等或大规模地实现其期望的业务成果。这凸显了网络安全在推动实施成功的策略中, 52% 受访者对企业高层C-suite和董事会在充分应对网络安全问题方面的能力非常有信心 那些关注网络安全的企业高层(C-suite)受访者中,仅有34%的人表示非常有信心,这暗示 他们对自己的能力持有较低的自信度,甚至低 起到核心作用,但并非所有组织都能同样地从 中获益。 于外界的预期。 组织的网络安全成熟度越高,其潜在影响越大。调查发现,在具有较高网络安全成熟度的组织中,预期业务将取得积极成果的受访者数量几乎是其同行的两倍。这些高网络安全成熟度组织如何看待网络安全,以及他们采取的行动,为其他寻求提升自身网络安全成熟度的组织提供了借鉴和潜在路径。 在具有高网络安全成熟度的组织中,预期商业价值将取得积极成果的受访者数量几乎是其同行的两倍。 网络安全成熟型组织准备更加充分且更具韧性 更高的网络安全成熟度并不能使组织完全免受威胁,但它能增强组织在威胁发生时的韧性,从而确保关键业务的持续运行。 在本期的调查中,德勤基于多个因素识别了具有高网络安全成熟度的组织。与上一期调查一样,我们评估了这些组织的网络安全战略规划水平、特定的网络安全活动,以及董事会层面的网络安全参与度。根据这些因素,我们发现,在这些网络安全成熟度更高的组织中,网络安全在支持和塑造技术驱动项目中的影响力增长了三个百分点。 然而,鉴于人工智能(AI)技术的迅速发展,跨国组织正面临更加复杂的攻击。与此同时,投资AI驱动的工具和网络安全解决方案的机会也应运而生。因此,我们更新了德勤的网络安全成熟度指数,以纳入受访者在网络安全计划中使用AI能力的程度(见第25页的“网络安全成熟度”)。 在这些高网络安全成熟度的组织中,首席信息安全官(CISO)和其他网络安全领导者作为专家受到邀请,帮助指导针对云驱动的业务计划、AI赋能活动、企业资源规划(ERP)现代化以及其他数字转型优先事项的投资。换句话说,网络安全在帮助企业获得技术能力方面的资金中发挥着重要作用。对网络安全的高度重视也意味着首席信息安全官(CISO)更多地参与了与数字转型相关的战略对话。 这些高网络安全成熟度的组织实施了一系列的基础的网络安全行动,如制定战略和运行计划、监控网络风险等,最值得注意的是,组织在遭受网络攻击后能够迅速恢复的能力。更高的网络安全成熟度并不能使这些组织完全免受威胁,但它使它们在威胁发生时更具韧性,从而确保关键业务的连续性。 与总体调查受访者相比,高网络安全成熟度的组织预计平均能多实现27个百分点的业务成果。尽管他们报告在过去一年中遭受了11次或更多的网络攻击(比总体受访者高出8个百分点),并也承担了负面后果(平均比总体受访者高出 7个百分点),但他们仍保持了这些预期。这可能是因为高网络安全成熟度的组织更善于识别到网络攻击,因此报告的攻击次数更多,并不一定意味着他们遭受的攻击就更多。 高网络安全成熟度的组织领导者们深刻认识到,关键在于为不可避免的网络攻击做好响应与恢复准备,确保业务迅速恢复运行,持续为客户提供服务。 随着组织韧性增强,组织准备应对或希望避免的挑战有哪些变化?与上一版调查相比,对技术完整性(即系统和数据的可靠性、准确性和可用性)丧失信心,已跃升至网络安全事件或数据泄露带来的负面影响之首,这在组织加速数字化转型的背景下变得日益重要。 运营中断,包括供应链或合作伙伴生态系统的中断,依然高居列表第二位,凸显了在合作伙伴和基础设施中保持业务连续性的重要性。然而,也出现了一个显著的变化,因为在上一版调查中,这是首要的担忧。声誉损失则上升至第三位(图1)。 组织今天采取的措施应聚焦于如何通过网络安全投资优化、保存、保护和创造组织价值。这包括通过确保数字产品和基础设施的数据安全和完整性,为未来的增长奠定坚实的网络安全实践基础。这一基础还应融入具备响应能力的基础设施和数字生态系统的基本要素,以促进未来的增长和业务韧性。本版调查显示出一个明显的趋势,即网络安全计划和首席信息安全官(CISO)在所有这些价值流中通过更加集成的技术转型策略获得更大的战略影响力,尤其是在最成熟的网络安全组织中。 有效的网络安全策略应当不局限于传统的事件响应,而应深入探讨企业如何将网络风险、安全与信任融入其整体战略的核心。采取全面且以业务为导向的视角,使你能够将更广泛的业务目标与运营需求相连接。这种方法确保网络安全不仅是被动的应对措施,而是成为组织战略、技术和运营框架中主动且不可或缺的组成部分。此外,德勤的研究表明,市场上最成熟的网络安全组织正通过类似以业务为导向的方法获得显著价值。 组织痛点所在:(图1) 网络安全事件和数据泄露正给调查受访者带来以下主要的负面影响。 由网络安全事件和数据泄露引发的负面后果 第三版 第三版 第四版 第四版 (排名) (占比) (排名) (占比) 对技术完整性的信心丧失 6 55% 1 66% 运营中断(包括供应链或合作伙伴生态系统) 1 58% 2 66% 声誉损失 4 55% 3 65% 人才招聘/留用的负面影响 7 54% 4 64% 收入损失 2 56% 5 64% 客户信任丧失/品牌负面影响 3 56% 6 63% 知识产权受到侵害 8 54% 7 63% 监管罚款 10 52% 8 63% 股价下跌 9 52% 9 63% 战略计划的资金削减 5 55% 10 63% 我们的威胁面正在迅速扩大。随着我们使用新技术连接工厂,新的风险也随之出现。一旦我们将供应商的机器人与制造商的维护服务连接起来,或者向生产线组件推送软件包,情况就会变得复杂得多。” ——KevinTierney,通用汽车首席网络安全官 调研方法 我们是如何得出 这些见解的 研究背后 德勤还对来自不同行业和地区的高级网络安全决策者进行了深入访谈,以获取更详细的信息洞察,并帮助验证我们的观察结果。我们的研究方法涵盖了与网络安全未来相关的每一个方面,从战略到战术,从文化到技术实施。 8 我们所调查的各组织的总部所在地 30% 美洲 北美、南美 29% APAC 亚太地区 41% EMEA 欧洲/中东/非洲 本次研究的核心,我们致力于探索自上一份报告发布以来,网络安全领域发生的变化,同时采用前瞻性的视角,以期更清晰地描绘出网络安全的未来图景。我们还力求更深入地了解当今企业高层(C-suite)对网络安全的敏锐度。在整个调查过程中,我们力求揭示洞察,以更好地理解企业正在经历的与网络安全相关活动给企业带来的商业价值和影响,以及领先企业为增加价值而采取的特别行动。 德勤根据当今商业与技术环境的复杂性,设计了《全球网络安全前瞻调研》报告的第四版,重点关注那些已经认识到网络安全重要性,但在实际中却不知如何发挥其价值的企业领导者的需求。 德勤的这项研究基于对近1,200名网络安全决策者的调查,这些决策者至少在董事级别,包括企业高层(C-suite)及其直级下属,涵盖了不同的业务和IT职能。调查反映的数据来自43个国家和六个行业,且拥有至少1,000名员工和每年5亿美元收入的组织。 关键发现 网络安全影响战略价值 努力扩大业务影响 9 我们将探讨如何做到.. 展望网络安全的未来,通往网络安全成熟度的路径正变得日益清晰。那些沿着这条路径前行的组织,将网络安全风险策略、安全实践和信任构建措施深度融入其业务与技术转型中,这一切得益于具备高度网络安全意识的企业高层 (C-suite)和具有重大影响力的首席信息安全官(CISO)的支持和推动。这些组织预期会取得显著的成功,从而在快速变化的数字环境中,更有效地推动业务转型。 随着组织不断的提升网络安全成熟度,它们可以在业务活动、技术运营中优先考虑网络安全事项并与得到管理层支持,从而与同行拉开差距。通过优先考虑这些网络安全与业务活动和技术运营的关联度,它们将能够更有效地实现我们在上一版调查中看到的优先战略成果。这种方法不仅加强了它们的网络韧性,还确保了网络安全工作与整体业务目标的协调一致,确保它们能够以安全和可持续的方式实现战略目标。 在本报告中,我们将基于调查数据、网络安全