“根据调查,87% 的董事会成员和企业高管都表示对其公司层面的网络安全缺乏信心”。4月18日,特地从澳大利亚赶来的安永亚太区信息安全服务主管Richard Watson对中国媒体表示。
当天,作为4大国际咨询机构之一的安永全球正式发布了《第19届全球信息安全调查报告(GISS)》中文版, 主题是“网络弹性之路:感知、抵御、应对”。报告采访了1735位来自全球知名的国际企业的首席信息官、首席信息安全官以及其他高管,覆盖72个国家,几乎涉及所有行业。
一系列重大变革的发生,如数字化创新的加剧、“互联网+”的盛行、监管环境的变化和网络犯罪的爆炸式增长,以及我国网络安全顶层设计的逐步展开,都促使企业更加积极主动的升级保护措施。
2016年11月7日,全国人大常委会通过了《网络安全法》草案,也明确提出了针对网络安全的监测预警要求。近些年,企业极大地提升了威胁感知能力,借助网络威胁情报建立了网络威胁的预测和持续监控机制。
调查显示,如今企业在预测与侦查复杂网络攻击的能力上愈发自信,2017年有50%的企业认为其有能力实现威胁的预测与侦查,这是2013年以来的最高水平。但是,依然有很多企业在最基本的感知能力上存在差距:44%的企业没有安全运营中心(SOC),64%的企业没有或只有非正式的威胁情报计划,62%的企业在经历了看似无害的安全事件后,并不会增加其信息安全支出。与此同时,物联网的发展与互联设备的爆炸式增长也将逼迫企业进一步提升网络威胁感知能力。
同时,86%的受访者表示其网络安全职能不能完全满足企业的需求,接近半数(48%)的受访者称其落后的信息安全管控已经成为风险的高发地带。员工粗心或缺乏安全意识(55%)、恶意软件(52%)成为调查中排名最高的漏洞与威胁。这表明,企业迫切需要从防故障导向转变为安全需求导向,构建一个强健的、坚固的、具有弹性的安全操作机制,将攻击的影响最小化并加强企业的抵御能力。
调查还显示,61%的受访者认为预算限制是挑战企业信息安全运营贡献和价值的最主要的原因。同时,69%的受访者认为需要再增加50%的预算。
作为网络安全行业的专家,安永大中华区信息安全主管阮祺康对笔者表示,“为了持续促进网络弹性的建设,企业应继续关注其对威胁的感知能力,增加对安全防御措施的投入,积极主动的进行安全事件的应对,即使是对无害的安全事件,也应引起足够的重视,从而系统性地增强网络安全信心。”
据了解,这是安永全球第19次发布安全形势报告,报告对中国企业的影响和作用日趋增加。随着中国网络安全立法进程的开始与将来的不断完善,中国企业必将坚持信息化创新发展与网络安全的并重,也将促使企业不断提升其网络弹性防御能力。
本刊记者:姜红德
E-mail: [email protected]