普华永道会计事务所(PwC)10月发布2018年全球信息安全状况调查,调查对象包括122个国家,超过75个行业9500名企业高管,包括首席执行官(CEO)、首席财务官(CFO)、首席信息官(CIO)和首席信息安全官(CISO)。38%的调查对象来自北美地区,29%来自欧洲,18%来自亚太地区,14%来自南美,还有1%来自中东和非洲。
普华永道今年分批发布调查结果,最先发布的报告为“加强数字社会应对网络冲击”(Strengthening Digital Society Against Cyber Shocks,报告下载地址见文末),其反映出组织机构、各地区和国家的网络安全、网络风险监督和网络弹性状况。
全球信息安全状况调查的主要发现
这份安全调查的主要结果可分为三类:
取得进展的方面(乐观)
继续影响全球组织机构的负面因素(不尽人意)
使网络生态系统朝更糟糕、更混乱、更危险方向发展的问题(最差)
乐观:网络安全承诺愈发体现
普华永道这份安全调查提到国际电信联盟(ITU)发布的2017年全球网络安全指数(GCI)报告,报告显示新加坡在网络安全承诺方面排第一,第二为美国。
组织机构在网络安全承诺方面有提升体现在:首席信息安全官向CEO汇报工作(40%),或直接向董事会(27%)汇报。但是,这份报告也指出,24%的首席信息安全官仍向首席信息官汇报工作。
不尽人意:安全意识滞后
普华永道这份调查报告指出,在日益复杂的数字社会中,全球许多组织机构仍在努力理解和管理新兴网络风险。只有31%的董事参与审视当前的安全与隐私风险工作,仅44%的董事参与制定总体安全策略。问题从这里开始变得糟糕。
糟糕:破坏迫在眉睫
调查体现出太多不尽人意的结果。例如:48%的调查对象未制定安全意识培训计划;54%的调查对象称缺乏事件响应计划。
从技术方面来看,只有45%的调查对象表示进行了漏洞评估,42%的调查对象则表示在进行渗透测试。 这4个方面代表组织机构未采用的基本的网络安全控制。
报告还引用了美国国家情报委员会(NIC)2017年1月发布的“全球趋势报告”。NIC这份报告警告称,网络攻击等各种问题使社会面临迫在眉睫的破坏。随着远程精准武器、网络和机器人系统从远处瞄准基础设施,再加上制造大规模毁灭性武器的技术越来越容易获取,扰乱社会的现象变得越来越普遍。
据NIC这份报告推测,新兴技术能使网络犯罪分子进行大规模破坏性、潜在致命行动,例如关闭电气系统。普华永道的调查结果也反映出了这些问题:使用机器人或自动化组织机构的领导人中,40%认为最可能对运营/制造带来破坏,而29%的领导人认为最可能造成物质财产损失,而22%的领导人则认为会危害人的生命。
企业应当怎么做?
虽然ITU的报告发现,全球的政府正在改进并强化网络安全议程,但普华永道的报告指出,企业还有很长的路要走。
普华永道这份报告反映出:提升的风险应变能力会带来更强劲的经济表现。各个行业、各个地区、各种规模的组织机构需审视机构内部,评估自己管理网络风险的方法,并开始着力提升网络应变能力。这就意味着,组织机构应将打造网络安全文化和关注网络弹性作为企业经营的一部分。
时间紧迫,组织机构需从开始整装出发。对于首席信息安全官而言,这就意味着要拓宽对业务和影响范围的理解,并传达网络风险对企业的影响。对首席执行官和董事会成员而言,这意味着参与其中,提出棘手的问题,并仔细研究组织机构的安全策略和预算。