普華永道會計(jì)事務(wù)所(PwC)10月發(fā)布2018年全球信息安全狀況調(diào)查,調(diào)查對象包括122個(gè)國家,超過75個(gè)行業(yè)9500名企業(yè)高管,包括首席執(zhí)行官(CEO)、首席財(cái)務(wù)官(CFO)、首席信息官(CIO)和首席信息安全官(CISO)。38%的調(diào)查對象來自北美地區(qū),29%來自歐洲,18%來自亞太地區(qū),14%來自南美,還有1%來自中東和非洲。
普華永道今年分批發(fā)布調(diào)查結(jié)果,最先發(fā)布的報(bào)告為“加強(qiáng)數(shù)字社會應(yīng)對網(wǎng)絡(luò)沖擊”(Strengthening Digital Society Against Cyber Shocks,報(bào)告下載地址見文末),其反映出組織機(jī)構(gòu)、各地區(qū)和國家的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)督和網(wǎng)絡(luò)彈性狀況。
全球信息安全狀況調(diào)查的主要發(fā)現(xiàn)這份安全調(diào)查的主要結(jié)果可分為三類:
取得進(jìn)展的方面(樂觀)
繼續(xù)影響全球組織機(jī)構(gòu)的負(fù)面因素(不盡人意)
使網(wǎng)絡(luò)生態(tài)系統(tǒng)朝更糟糕、更混亂、更危險(xiǎn)方向發(fā)展的問題(最差)
樂觀:網(wǎng)絡(luò)安全承諾愈發(fā)體現(xiàn)普華永道這份安全調(diào)查提到國際電信聯(lián)盟(ITU)發(fā)布的2017年全球網(wǎng)絡(luò)安全指數(shù)(GCI)報(bào)告,報(bào)告顯示新加坡在網(wǎng)絡(luò)安全承諾方面排第一,第二為美國。
組織機(jī)構(gòu)在網(wǎng)絡(luò)安全承諾方面有提升體現(xiàn)在:首席信息安全官向CEO匯報(bào)工作(40%),或直接向董事會(27%)匯報(bào)。但是,這份報(bào)告也指出,24%的首席信息安全官仍向首席信息官匯報(bào)工作。
不盡人意:安全意識滯后普華永道這份調(diào)查報(bào)告指出,在日益復(fù)雜的數(shù)字社會中,全球許多組織機(jī)構(gòu)仍在努力理解和管理新興網(wǎng)絡(luò)風(fēng)險(xiǎn)。只有31%的董事參與審視當(dāng)前的安全與隱私風(fēng)險(xiǎn)工作,僅44%的董事參與制定總體安全策略。問題從這里開始變得糟糕。
糟糕:破壞迫在眉睫調(diào)查體現(xiàn)出太多不盡人意的結(jié)果。例如:48%的調(diào)查對象未制定安全意識培訓(xùn)計(jì)劃;54%的調(diào)查對象稱缺乏事件響應(yīng)計(jì)劃。
從技術(shù)方面來看,只有45%的調(diào)查對象表示進(jìn)行了漏洞評估,42%的調(diào)查對象則表示在進(jìn)行滲透測試。 這4個(gè)方面代表組織機(jī)構(gòu)未采用的基本的網(wǎng)絡(luò)安全控制。
報(bào)告還引用了美國國家情報(bào)委員會(NIC)2017年1月發(fā)布的“全球趨勢報(bào)告”。NIC這份報(bào)告警告稱,網(wǎng)絡(luò)攻擊等各種問題使社會面臨迫在眉睫的破壞。隨著遠(yuǎn)程精準(zhǔn)武器、網(wǎng)絡(luò)和機(jī)器人系統(tǒng)從遠(yuǎn)處瞄準(zhǔn)基礎(chǔ)設(shè)施,再加上制造大規(guī)模毀滅性武器的技術(shù)越來越容易獲取,擾亂社會的現(xiàn)象變得越來越普遍。
據(jù)NIC這份報(bào)告推測,新興技術(shù)能使網(wǎng)絡(luò)犯罪分子進(jìn)行大規(guī)模破壞性、潛在致命行動(dòng),例如關(guān)閉電氣系統(tǒng)。普華永道的調(diào)查結(jié)果也反映出了這些問題:使用機(jī)器人或自動(dòng)化組織機(jī)構(gòu)的領(lǐng)導(dǎo)人中,40%認(rèn)為最可能對運(yùn)營/制造帶來破壞,而29%的領(lǐng)導(dǎo)人認(rèn)為最可能造成物質(zhì)財(cái)產(chǎn)損失,而22%的領(lǐng)導(dǎo)人則認(rèn)為會危害人的生命。
企業(yè)應(yīng)當(dāng)怎么做?雖然ITU的報(bào)告發(fā)現(xiàn),全球的政府正在改進(jìn)并強(qiáng)化網(wǎng)絡(luò)安全議程,但普華永道的報(bào)告指出,企業(yè)還有很長的路要走。
普華永道這份報(bào)告反映出:提升的風(fēng)險(xiǎn)應(yīng)變能力會帶來更強(qiáng)勁的經(jīng)濟(jì)表現(xiàn)。各個(gè)行業(yè)、各個(gè)地區(qū)、各種規(guī)模的組織機(jī)構(gòu)需審視機(jī)構(gòu)內(nèi)部,評估自己管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的方法,并開始著力提升網(wǎng)絡(luò)應(yīng)變能力。這就意味著,組織機(jī)構(gòu)應(yīng)將打造網(wǎng)絡(luò)安全文化和關(guān)注網(wǎng)絡(luò)彈性作為企業(yè)經(jīng)營的一部分。
時(shí)間緊迫,組織機(jī)構(gòu)需從開始整裝出發(fā)。對于首席信息安全官而言,這就意味著要拓寬對業(yè)務(wù)和影響范圍的理解,并傳達(dá)網(wǎng)絡(luò)風(fēng)險(xiǎn)對企業(yè)的影響。對首席執(zhí)行官和董事會成員而言,這意味著參與其中,提出棘手的問題,并仔細(xì)研究組織機(jī)構(gòu)的安全策略和預(yù)算。