收藏本页 打印 放大 缩小
0

安永全球信息安全调查:增强企业风险管理 实现网络弹性建设

发布时间:2017-04-19 18:41:20    作者:袁婉珺    来源:中国保险报·中保网

中国保险报/中保网讯【记者 袁婉珺】4月18日,《安永第19届全球信息安全调查报告(GISS)》正式发布,今年的主题是“网络弹性之路:感知、抵御、应对”。该报告是安永持续第19年发布的全球信息安全调查报告,旨在保障企业在开拓创新、拓展业务的同时,维护其网络安全,并向其提供建议和帮助。报告采访了1735位来自全球知名的国际企业的首席信息官、首席信息安全官以及其他高管,覆盖72个国家,几乎涉及所有行业。安永对调查结果和数据进行了深入分析,并结合了安永与全球客户在网络安全解决方案中的广泛合作经验,从感知、抵御和应对三个维度,全面探讨了企业在应对网络安全上的挑战与对策。

安永亚太区信息安全服务主管Richard Watson表示:在网络安全全球化的时代,网络弹性之路必将助力全球网络安全健康发展,增强企业感知、抵御、应对的能力。

为了应对网络威胁格局的日新月异,企业历经数十载的学习,已经学会从采取基本措施和应急响应到建立更为复杂、健壮和规范的流程。然而,一系列重大变革的发生,如数字化创新的加剧、互联网+的盛行、监管环境的变化和网络犯罪的爆炸式增长,以及我国网络安全顶层设计的逐步展开,都促使企业更加积极主动地升级保护措施。网络弹性之路应运而生,通过感知、抵御和应对三个组成部分,系统化地构建企业应对网络威胁的安全能力。

根据调查,87%的董事会成员和企业高管都表示对其公司层面的网络安全缺乏信心。安永大中华区风险主管王海瑛表示,“这个结果表明信息安全现状令人堪忧,急需将信息安全议题整合到企业风险管理的议程上。”

安永大中华区信息安全主管阮祺康先生表示,“为了持续促进网络弹性的建设,企业应继续关注其对威胁的感知能力,增加对安全防御措施的投入,积极主动地进行安全事件的应对,即使是对无害的安全事件,也应引起足够的重视,从而系统性的地增强网络安全信心。”

感知——发现逼近的威胁,保护企业生态

调查结果显示,近些年,企业极大地提升了威胁感知能力,借助网络威胁情报建立了网络威胁的预测和持续监控机制。如今企业在预测与侦查复杂网络攻击的能力上愈发自信,今年有50%的企业认为其有能力实现威胁的预测与侦查,这是2013年以来的最高水平。但是,依然有很多企业在最基本的感知能力上存在差距:44%的企业没有安全运营中心(SOC),64%的企业没有或只有非正式的威胁情报计划,62%的企业在经历了看似无害的安全事件后,并不会增加其信息安全支出。与此同时,物联网的发展与互联设备的爆炸式增长也将逼迫企业进一步提升网络威胁感知能力。2016年11月7日,全国人大常委会通过了《网络安全法》,也明确提出了针对网络安全的监测预警要求。

抵御——构建企业护盾,关注网络风险,而不仅仅是网络安全

总体而言,企业在抵御攻击的能力方面已经获得了不小的进步,然而攻击的形式多种多样而且日益复杂,86%的受访者表示其网络安全职能不能完全满足企业的需求,接近半数(48%)的受访者称其落后的信息安全管控已经成为风险的高发地带。员工粗心或缺乏安全意识(55%)、恶意软件(52%)成为调查中排名最高的漏洞与威胁。企业也需要从防故障导向转变为安全需求导向,构建一个强健的、坚固的、具有弹性的安全操作机制,将攻击的影响最小化并加强企业的抵御能力。

调查显示,今年有53%的受访者表示其网络安全预算在过去12个月内有所上浮,61%的受访者认为预算限制是挑战企业信息安全运营贡献和价值的最主要的原因。同时,69%的受访者认为需要再增加50%的预算。

应对——快速恢复,调整与重塑

调查报告认为在网络漏洞层出不穷的数字化时代,建立一个强大、集中的响应架构,并将其纳入企业整体风险管理战略中尤为重要。不仅要关注快速恢复,同时需要灵活、敏捷地调整业务流程和保护机制。企业若要增加其安全性和可持续性,需要重新构建以改善其弹性和运营机制。调查发现,业务连续性管理(BCM)已经连续多年成为企业应对威胁、攻击或其他破坏能力的核心。今年,仍然有57%的企业将BCM与数据防泄漏/丢失并列为最高优先级。安全事故与事件管理(SIEM)与安全运营中心(SOC)并列第六位。46%的受访者称,未来的12个月将会在这两项上投入更多的资金,仅次于安全意识和培训。

安永大中华区信息安全主管顾卿华先生表示,“GISS报告也能为中国企业带来诸多启示,随着中国网络安全立法进程的开始与将来的不断完善,中国企业必须坚持信息化创新发展与网络安全的并重,尤其是业务与核心资产的安全防护、数据泄露的监测与防范、以及隐私保护等领域将成为企业关注的焦点,也将促使企业不断提升其网络弹性防御能力。”

根据报告的调查结果,安永建议,企业应深入了解业务和运营状况,规划并评估企业在网络生态中的生态关系,识别存在的风险,确定重要资产,确定风险因素,凭借卓越的领导力和积极的员工参与,构建一个应变自如的企业文化,实现“整个企业”的网络弹性。

阮祺康表示,“网络弹性的建设能够促进企业网络安全和信息化发展,提升组织生存力,使得企业在当前的生态环境中游刃有余。安永能够助力企业建设定制化的网络弹性之路,从感知、抵御到应对,帮助企业在商业变革的浪潮中稳健发展。”