第四版《全球網(wǎng)絡(luò)安全前瞻調(diào)研報告》

增強網(wǎng)絡(luò)安全韌性提升變革價值網(wǎng)絡(luò)安全的前景全球網(wǎng)絡(luò)安全前瞻調(diào)研報告第4版2精準理解并預測網(wǎng)絡(luò)安全未來趨勢是一項長期戰(zhàn)略要務(wù)，它不僅可以讓我們通過前瞻性思維敏銳地洞察和識別新興風險，同時也將深度挖掘其中蘊藏的無限價值潛力。德勤第四版《全球網(wǎng)絡(luò)安全前瞻調(diào)研》報告正式發(fā)布，為我們勾繪了一幅更加清晰、更加全面的網(wǎng)絡(luò)安全藍圖。調(diào)研顯示，網(wǎng)絡(luò)安全與商業(yè)價值之間的關(guān)聯(lián)持續(xù)增強。在推動技術(shù)驅(qū)動項目和實現(xiàn)業(yè)務(wù)成果的過程中，網(wǎng)絡(luò)安全扮演著更加舉足輕重的角色。同時，隨著企業(yè)對網(wǎng)絡(luò)安全的重視程度與日俱增，包括首席信息安全官（CISO）在內(nèi)C級高管的角色正發(fā)生轉(zhuǎn)變，他們的影響力和職責范圍也在不斷擴大。我們很高興與您分享本次調(diào)研的主要發(fā)現(xiàn)，并邀您一同探究相關(guān)成果。接下來的內(nèi)容中，我們結(jié)合德勤在全球網(wǎng)絡(luò)安全領(lǐng)域的豐富經(jīng)驗和深刻理解，為您呈現(xiàn)一系列由數(shù)據(jù)驅(qū)動的專業(yè)洞察。此外，報告還梳理了受訪者的直接反饋和觀點，旨在提供更加全面的多元化視角。誠邀您閱覽本報告，如需進一步探討相關(guān)內(nèi)容，歡迎隨時與我們聯(lián)系。Emily

Mossburg德勤全球網(wǎng)絡(luò)安全服務(wù)主管合伙人筑牢網(wǎng)絡(luò)安全打造價值引擎網(wǎng)絡(luò)安全需求瞬息萬變。新興網(wǎng)絡(luò)安全威脅、前沿技術(shù)以及業(yè)務(wù)需求的不斷演進，正持續(xù)重塑各行各業(yè)組織的戰(zhàn)略優(yōu)先級和可能性。31高層視角網(wǎng)絡(luò)安全戰(zhàn)略轉(zhuǎn)型的新時代2調(diào)研方法我們是如何得出這些見解的48報告內(nèi)容概覽3關(guān)鍵發(fā)現(xiàn)網(wǎng)絡(luò)安全影響戰(zhàn)略價值 9網(wǎng)絡(luò)安全在戰(zhàn)略商業(yè)價值中的作用 10首席信息安全官CISO在領(lǐng)導層中的影響力與日俱增 16網(wǎng)絡(luò)安全與技術(shù)驅(qū)動的轉(zhuǎn)型的融合 19網(wǎng)絡(luò)安全成熟度、信心和收益之間的聯(lián)系 254展望未來洞悉網(wǎng)絡(luò)安全未來5邁向新征程未來已至制勝有方3133高層視角4網(wǎng)絡(luò)安全戰(zhàn)略轉(zhuǎn)型的新時代專注于商業(yè)價值和韌性全球范圍內(nèi)的組織在面對持續(xù)的業(yè)務(wù)復雜性和變化，以及各種新興威脅和風險的同時，網(wǎng)絡(luò)安全與商業(yè)價值的緊密聯(lián)系始終如一。對于各行各業(yè)的組織而言，網(wǎng)絡(luò)安全始終是其持續(xù)實現(xiàn)其所期望成果的核心所在。德勤發(fā)布的《全球網(wǎng)絡(luò)安全前瞻調(diào)研》第四版，對近1,200位全球各行業(yè)領(lǐng)導者進行了深度訪談，聚焦于他們對網(wǎng)絡(luò)安全威脅、企業(yè)活動及未來趨勢的看法。受訪者包括企業(yè)高管及IT、安全、風險和業(yè)務(wù)領(lǐng)域的其他高層管理者。報告深刻揭示了網(wǎng)絡(luò)安全與企業(yè)影響的緊密關(guān)聯(lián)。5高層視角在具有高網(wǎng)絡(luò)安全成熟度的組織中，預期商業(yè)價值將取得積極成果的受訪者數(shù)量幾乎是其同行的兩倍。52%受訪者對企業(yè)高層C-suite和董事會在充分應(yīng)對網(wǎng)絡(luò)安全問題方面的能力非常有信心對商業(yè)價值導向的聚焦日益增強在我們先前的報告，即第三版調(diào)查中，德勤深刻洞察到網(wǎng)絡(luò)安全正逐步演變?yōu)槠髽I(yè)的獨立功能領(lǐng)域，它超越了傳統(tǒng)的IT范疇，成為推動實現(xiàn)業(yè)務(wù)成果的關(guān)鍵組成部分。在本次的第四版調(diào)查中，我們觀察到，網(wǎng)絡(luò)安全戰(zhàn)略不僅對于釋放更大的商業(yè)價值至關(guān)重要，而且網(wǎng)絡(luò)安全實踐已深度融入技術(shù)轉(zhuǎn)型實踐。同時，網(wǎng)絡(luò)安全領(lǐng)導層的聲音，尤其是首席信息安全官（CISO）的影響力顯著提升，同時對網(wǎng)絡(luò)安全有深入洞察的企業(yè)高層也越來越多。盡管對網(wǎng)絡(luò)安全的重視程度持續(xù)提升，但僅有約半數(shù)（52%）的受訪者對企業(yè)高層（C-suite）和董事會在網(wǎng)絡(luò)安全領(lǐng)域的駕馭能力充滿信心，認為他們能夠妥善應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。尤其在那些關(guān)注網(wǎng)絡(luò)安全的企業(yè)高層（C-suite）受訪者中，僅有34%的人表示非常有信心，這暗示他們對自己的能力持有較低的自信度，甚至低于外界的預期。然而，當我們聚焦于網(wǎng)絡(luò)安全成熟度分類為高（以德勤標準）的組織時，我們發(fā)現(xiàn)了兩個關(guān)鍵點：網(wǎng)絡(luò)安全在高層得到了認可，且組織的網(wǎng)絡(luò)安全成熟度與其在應(yīng)對網(wǎng)絡(luò)安全問題時的信心之間存在顯著的正相關(guān)性。實際上，在高網(wǎng)絡(luò)安全成熟度的組織中，對企業(yè)高層（C-suite）和董事會在網(wǎng)絡(luò)安全領(lǐng)域駕馭能力的信心躍升至82%，相比之下，網(wǎng)絡(luò)安全成熟度為中和低的組織中，這一比例分別為52%和39%。調(diào)查結(jié)果表明，平均而言，86%的受訪者正在中等或大規(guī)模地采取行動，以增強網(wǎng)絡(luò)安全策略和行動，將網(wǎng)絡(luò)安全視為企業(yè)不可或缺的組成部分。同時，平均而言，85%的受訪者預計能夠中等或大規(guī)模地實現(xiàn)其期望的業(yè)務(wù)成果。這凸顯了網(wǎng)絡(luò)安全在推動實施成功的策略中，起到核心作用，但并非所有組織都能同樣地從中獲益。

組織的網(wǎng)絡(luò)安全成熟度越高，其潛在影響越大。調(diào)查發(fā)現(xiàn)，在具有較高網(wǎng)絡(luò)安全成熟度的組織中，預期業(yè)務(wù)將取得積極成果的受訪者數(shù)量幾乎是其同行的兩倍。這些高網(wǎng)絡(luò)安全成熟度組織如何看待網(wǎng)絡(luò)安全，以及他們采取的行動，為其他尋求提升自身網(wǎng)絡(luò)安全成熟度的組織提供了借鑒和潛在路徑。6高層視角更高的網(wǎng)絡(luò)安全成熟度并不能使組織完全免受威脅，但它能增強組織在威脅發(fā)生時的韌性，從而確保關(guān)鍵業(yè)務(wù)的持續(xù)運行。網(wǎng)絡(luò)安全成熟型組織準備更加充分且更具韌性在本期的調(diào)查中，德勤基于多個因素識別了具有高網(wǎng)絡(luò)安全成熟度的組織。與上一期調(diào)查一樣，我們評估了這些組織的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃水平、特定的網(wǎng)絡(luò)安全活動，以及董事會層面的網(wǎng)絡(luò)安全參與度。根據(jù)這些因素，我們發(fā)現(xiàn)，在這些網(wǎng)絡(luò)安全成熟度更高的組織中，網(wǎng)絡(luò)安全在支持和塑造技術(shù)驅(qū)動項目中的影響力增長了三個百分點。然而，鑒于人工智能（AI）技術(shù)的迅速發(fā)展，跨國組織正面臨更加復雜的攻擊。與此同時，投資AI驅(qū)動的工具和網(wǎng)絡(luò)安全解決方案的機會也應(yīng)運而生。因此，我們更新了德勤的網(wǎng)絡(luò)安全成熟度指數(shù)，以納入受訪者在網(wǎng)絡(luò)安全計劃中使用AI能力的程度（見第25頁的“網(wǎng)絡(luò)安全

成熟度”）。在這些高網(wǎng)絡(luò)安全成熟度的組織中，首席信息安全官（CISO）和其他網(wǎng)絡(luò)安全領(lǐng)導者作為專家受到邀請，幫助指導針對云驅(qū)動的業(yè)務(wù)計劃、AI賦能活動、企業(yè)資源規(guī)劃（ERP）現(xiàn)代化以及其他數(shù)字轉(zhuǎn)型優(yōu)先事項的投資。換句話說，網(wǎng)絡(luò)安全在幫助企業(yè)獲得技術(shù)能力方面的資金中發(fā)揮著重要作用。對網(wǎng)絡(luò)安全的高度重視也意味著首席信息安全官（CISO）更多地參與了與數(shù)字轉(zhuǎn)型相關(guān)的戰(zhàn)略對話。這些高網(wǎng)絡(luò)安全成熟度的組織實施了一系列的基礎(chǔ)的網(wǎng)絡(luò)安全行動，如制定戰(zhàn)略和運行計劃、監(jiān)控網(wǎng)絡(luò)風險等，最值得注意的是，組織在遭受網(wǎng)絡(luò)攻擊后能夠迅速恢復的能力。更高的網(wǎng)絡(luò)安全成熟度并不能使這些組織完全免受威脅，但它使它們在威脅發(fā)生時更具韌性，從而確保關(guān)鍵業(yè)務(wù)的連續(xù)性。與總體調(diào)查受訪者相比，高網(wǎng)絡(luò)安全成熟度的組織預計平均能多實現(xiàn)27個百分點的業(yè)務(wù)成果。盡管他們報告在過去一年中遭受了11次或更多的網(wǎng)絡(luò)攻擊（比總體受訪者高出8個百分點），并也承擔了負面后果（平均比總體受訪者高出7個百分點），但他們?nèi)员３至诉@些預期。這可能是因為高網(wǎng)絡(luò)安全成熟度的組織更善于識別到網(wǎng)絡(luò)攻擊，因此報告的攻擊次數(shù)更多，并不一定意味著他們遭受的攻擊就更多。7高層視角組織痛點所在：（圖1）網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露正給調(diào)查受訪者帶來以下主要的負面影響。我們的威脅面正在迅速擴大。隨著我們使用新技術(shù)連接工廠，新的風險也隨之出現(xiàn)。一旦我們將供應(yīng)商的機器人與制造商的維護服務(wù)連接起來，或者向生產(chǎn)線組件推送軟件包，情況就會變得復雜得多。”——Kevin

Tierney，通用汽車首席網(wǎng)絡(luò)安全官由網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露引發(fā)的負面后果第三版（排名）第三版（占比）第四版（排名）第四版（占比）對技術(shù)完整性的信心喪失655%166%運營中斷（包括供應(yīng)鏈或合作伙伴生態(tài)系統(tǒng)）158%266%聲譽損失455%365%人才招聘/留用的負面影響754%464%收入損失256%564%客戶信任喪失/品牌負面影響

356%663%知識產(chǎn)權(quán)受到侵害854%763%監(jiān)管罰款1052%863%股價下跌952%963%戰(zhàn)略計劃的資金削減555%1063%高網(wǎng)絡(luò)安全成熟度的組織領(lǐng)導者們深刻認識到，關(guān)鍵在于為不可避免的網(wǎng)絡(luò)攻擊做好響應(yīng)與恢復準備，確保業(yè)務(wù)迅速恢復運行，持續(xù)為客戶提供服務(wù)。隨著組織韌性增強，組織準備應(yīng)對或希望避免的挑戰(zhàn)有哪些變化？與上一版調(diào)查相比，對技術(shù)完整性（即系統(tǒng)和數(shù)據(jù)的可靠性、準確性和可用性）喪失信心，已躍升至網(wǎng)絡(luò)安全事件或數(shù)據(jù)泄露帶來的負面影響之首，這在組織加速數(shù)字化轉(zhuǎn)型的背景下變得日益重要。運營中斷，包括供應(yīng)鏈或合作伙伴生態(tài)系統(tǒng)的中斷，依然高居列表第二位，凸顯了在合作伙伴和基礎(chǔ)設(shè)施中保持業(yè)務(wù)連續(xù)性的重要性。然而，也出現(xiàn)了一個顯著的變化，因為在上一版調(diào)查中，這是首要的擔憂。聲譽損失則上升至第三位（圖1）。組織今天采取的措施應(yīng)聚焦于如何通過網(wǎng)絡(luò)安全投資優(yōu)化、保存、保護和創(chuàng)造組織價值。這包括通過確保數(shù)字產(chǎn)品和基礎(chǔ)設(shè)施的數(shù)據(jù)安全和完整性，為未來的增長奠定堅實的網(wǎng)絡(luò)安全實踐基礎(chǔ)。這一基礎(chǔ)還應(yīng)融入具備響應(yīng)能力的基礎(chǔ)設(shè)施和數(shù)字生態(tài)系統(tǒng)的基本要素，以促進未來的增長和業(yè)務(wù)韌性。本版調(diào)查顯示出一個明顯的趨勢，即網(wǎng)絡(luò)安全計劃和首席信息安全官（CISO）在所有這些價值流中通過更加集成的技術(shù)轉(zhuǎn)型策略獲得更大的戰(zhàn)略影響力，尤其是在最成熟的網(wǎng)絡(luò)安全組織中。有效的網(wǎng)絡(luò)安全策略應(yīng)當不局限于傳統(tǒng)的事件響應(yīng)，而應(yīng)深入探討企業(yè)如何將網(wǎng)絡(luò)風險、安全與信任融入其整體戰(zhàn)略的核心。采取全面且以業(yè)務(wù)為導向的視角，使你能夠?qū)⒏鼜V泛的業(yè)務(wù)目標與運營需求相連接。這種方法確保網(wǎng)絡(luò)安全不僅是被動的應(yīng)對措施，而是成為組織戰(zhàn)略、技術(shù)和運營框架中主動且不可或缺的組成部分。此外，德勤的研究表明，市場上最成熟的網(wǎng)絡(luò)安全組織正通過類似以業(yè)務(wù)為導向的方法獲得顯著價值。8調(diào)研方法我們是如何得出這些見解的研究背后德勤根據(jù)當今商業(yè)與技術(shù)環(huán)境的復雜性，設(shè)計了《全球網(wǎng)絡(luò)安全前瞻調(diào)研》報告的第四版，重點關(guān)注那些已經(jīng)認識到網(wǎng)絡(luò)安全重要性，但在實際中卻不知如何發(fā)揮其價值的企業(yè)領(lǐng)導者的需求。德勤的這項研究基于對近1,200名網(wǎng)絡(luò)安全決策者的調(diào)查，這些決策者至少在董事級別，包括企業(yè)高層（C-suite）及其直級下屬，涵蓋了不同的業(yè)務(wù)和IT職能。調(diào)查反映的數(shù)據(jù)來自43個國家和六個行業(yè)，且擁有至少1,000名員工和每年5億美元收入的組織。德勤還對來自不同行業(yè)和地區(qū)的高級網(wǎng)絡(luò)安全決策者進行了深入訪談，以獲取更詳細的信息洞察，并幫助驗證我們的觀察結(jié)果。我們的研究方法涵蓋了與網(wǎng)絡(luò)安全未來相關(guān)的每一個方面，從戰(zhàn)略到戰(zhàn)術(shù)，從文化到技術(shù)實施。本次研究的核心，我們致力于探索自上一份報告發(fā)布以來，網(wǎng)絡(luò)安全領(lǐng)域發(fā)生的變化，同時采用前瞻性的視角，以期更清晰地描繪出網(wǎng)絡(luò)安全的未來圖景。我們還力求更深入地了解當今企業(yè)高層（C-suite）對網(wǎng)絡(luò)安全的敏銳度。在整個調(diào)查過程中，我們力求揭示洞察，以更好地理解企業(yè)正在經(jīng)歷的與網(wǎng)絡(luò)安全相關(guān)活動給企業(yè)帶來的商業(yè)價值和影響，以及領(lǐng)先企業(yè)為增加價值而采取的特別行動。我們所調(diào)查的各組織的總部所在地30%美洲北美、南美41%EMEA歐洲/中東/非洲29%APAC亞太地區(qū)9關(guān)鍵發(fā)現(xiàn)1網(wǎng)絡(luò)安全影響戰(zhàn)略價值努力擴大業(yè)務(wù)影響展望網(wǎng)絡(luò)安全的未來，通往網(wǎng)絡(luò)安全成熟度的路徑正變得日益清晰。那些沿著這條路徑前行的組織，將網(wǎng)絡(luò)安全風險策略、安全實踐和信任構(gòu)建措施深度融入其業(yè)務(wù)與技術(shù)轉(zhuǎn)型中，這一切得益于具備高度網(wǎng)絡(luò)安全意識的企業(yè)高層（C-suite）和具有重大影響力的首席信息安全官（CISO）的支持和推動。這些組織預期會取得顯著的成功，從而在快速變化的數(shù)字環(huán)境中，更有效地推動業(yè)務(wù)轉(zhuǎn)型。隨著組織不斷的提升網(wǎng)絡(luò)安全成熟度，它們可以在業(yè)務(wù)活動、技術(shù)運營中優(yōu)先考慮網(wǎng)絡(luò)安全事項并與得到管理層支持，從而與同行拉開差距。通過優(yōu)先考慮這些網(wǎng)絡(luò)安全與業(yè)務(wù)活動和技術(shù)運營的關(guān)聯(lián)度，它們將能夠更有效地實現(xiàn)我們在上一版調(diào)查中看到的優(yōu)先戰(zhàn)略成果。這種方法不僅加強了它們的網(wǎng)絡(luò)韌性，還確保了網(wǎng)絡(luò)安全工作與整體業(yè)務(wù)目標的協(xié)調(diào)一致，確保它們能夠以安全和可持續(xù)的方式實現(xiàn)戰(zhàn)略目標。在本報告中，我們將基于調(diào)查數(shù)據(jù)、網(wǎng)絡(luò)安全成熟度指數(shù)以及全球領(lǐng)導者們的見解，深入探討高階洞察。我們將展示那些表現(xiàn)卓越的組織是如何在網(wǎng)絡(luò)安全領(lǐng)域脫穎而出的，并為全球的網(wǎng)絡(luò)安全從業(yè)人士提供指導，幫助他們提升其工作的網(wǎng)絡(luò)安全的成熟度。我們將探討如何做到..網(wǎng)絡(luò)安全仍然是戰(zhàn)略業(yè)務(wù)價值的關(guān)鍵要素，而且關(guān)注度正在加強。2隨著企業(yè)高層（C-suite）對網(wǎng)絡(luò)安全的認識不斷提高，首席信息安全官（CISO）的影響力正在與日俱增。3網(wǎng)絡(luò)安全與技術(shù)驅(qū)動的項目和數(shù)字化業(yè)務(wù)轉(zhuǎn)型深度融合。4具有更高網(wǎng)絡(luò)安全成熟度的組織對其網(wǎng)絡(luò)安全實踐和投資更有信心，并從中獲得了更大的收益。10關(guān)鍵發(fā)現(xiàn)網(wǎng)絡(luò)安全仍然是戰(zhàn)略業(yè)務(wù)價值的關(guān)鍵要素——且關(guān)注度正在加強在當今深度互聯(lián)的數(shù)字環(huán)境中，網(wǎng)絡(luò)安全的基礎(chǔ)重要性毋庸置疑。企業(yè)可以通過各種活動/行動和戰(zhàn)略手段來加強網(wǎng)絡(luò)安全的準備程度，從而提高業(yè)務(wù)價值。采取行動僅為第一步大多數(shù)受訪者都認真審視網(wǎng)絡(luò)安全行動的必要性，其中86%的受訪者在中等或較大程度上實施了具體活動/行動，以提高網(wǎng)絡(luò)安全。這種水平的行動表明，絕大多數(shù)組織都了解開展這些活動和實施強有力的網(wǎng)絡(luò)安全計劃的必要性。這也表明，隨著他們需要開展的網(wǎng)絡(luò)安全活動清單不斷增加，他們正在保持網(wǎng)絡(luò)安全水平的同步提升。這些受訪者正在集中精力開展各種網(wǎng)絡(luò)安全管理活動，包括但不限于：降低風險、加強網(wǎng)絡(luò)安全控制、改進事件響應(yīng)、提高員工意識以及有策略的實施網(wǎng)絡(luò)安全計劃。當我們從網(wǎng)絡(luò)成熟度的角度對這些活動進行觀察，我們會發(fā)現(xiàn)，與網(wǎng)絡(luò)成熟度較低的組織相比，網(wǎng)絡(luò)成熟度高的組織采取這些行動的程度更高（圖2，另見網(wǎng)絡(luò)成熟度，第25頁）。網(wǎng)絡(luò)安全活動及其與成熟度的關(guān)系（圖2）與網(wǎng)絡(luò)成熟度較低的組織相比，網(wǎng)絡(luò)成熟度高的組織參與這些關(guān)鍵網(wǎng)絡(luò)安全活動的程度更高。（百分比）86%受訪者報告在中等或較大程度上開展了具體活動/行動，以加強網(wǎng)絡(luò)安全。這實際上是關(guān)于做好基礎(chǔ)工作，并持續(xù)提升這些基礎(chǔ)工作的成熟度，每天都保持卓越，持之以恒。比如基礎(chǔ)控制、資產(chǎn)管理、漏洞管理等。在這些方面，你必須達到幾乎無需思考就能做好的程度，它們必須自然而然地發(fā)生。”——來自生命科學與醫(yī)療保健組織的某位CISO2932282828282724252627234845484545444444454041424280757474777574746669747173網(wǎng)絡(luò)成熟度低（n=421）網(wǎng)絡(luò)成熟度中（n=612）網(wǎng)絡(luò)成熟度高（n=163）共計（n=1,196）網(wǎng)絡(luò)安全戰(zhàn)略計劃，包括組織的未來愿景和如何實現(xiàn)目標的操作計劃每年對所有員工進行網(wǎng)絡(luò)安全意識培訓每年更新和測試網(wǎng)絡(luò)安全事件響應(yīng)計劃全面計劃，評估我們?nèi)绾卧跀?shù)據(jù)存儲、處理和傳輸過程中保護數(shù)據(jù)維護軟件組件（如應(yīng)用程序接口）清單加強控制和措施，保護客戶/消費者身份、訪問權(quán)限并減少身份欺詐行為保持完整并最新的資產(chǎn)和關(guān)鍵性清單在公司高層進行網(wǎng)絡(luò)安全演習，對響應(yīng)計劃、通信和恢復戰(zhàn)略進行壓力測試維護基本安全控制的行動計劃（例如，IT資產(chǎn)清單、數(shù)據(jù)分類、補丁和漏洞管理）購買網(wǎng)絡(luò)安全保險第三方網(wǎng)絡(luò)安全風險管理，監(jiān)控和跟蹤合作伙伴和供應(yīng)商的安全狀況不斷聽取客戶意見，了解網(wǎng)絡(luò)安全和數(shù)據(jù)隱私偏好我們的網(wǎng)絡(luò)安全實踐以行業(yè)特定標準和實踐為指導39404040

2941414243434344444511關(guān)鍵發(fā)現(xiàn)制定網(wǎng)絡(luò)安全戰(zhàn)略計劃（圖3）受訪者表示正在采取的加強和改善網(wǎng)絡(luò)安全的具體戰(zhàn)略措施。在戰(zhàn)略指導下，網(wǎng)絡(luò)安全的執(zhí)行在整個業(yè)務(wù)中更加一體化絕大多數(shù)組織還在采取一系列戰(zhàn)略性網(wǎng)絡(luò)安全行動，包括：制定基準和衡量標準、與可信賴的供應(yīng)商合作、加入信息共享聯(lián)盟以及建立由高級業(yè)務(wù)和IT領(lǐng)導人組成的管理機構(gòu)，以監(jiān)督網(wǎng)絡(luò)安全能力和投資?？傮w而言，83%的受訪者同意或完全同意這些措施是其整體網(wǎng)絡(luò)安全戰(zhàn)略的組成部分。這種共識的程度表明，網(wǎng)絡(luò)安全戰(zhàn)略將繼續(xù)融入業(yè)務(wù)中。83%受訪者總體上同意這些措施是其整體網(wǎng)絡(luò)安全戰(zhàn)略的組成部分。11232333341515131612 4512 464415 4315 434548454139393938373634我們有一個由高級業(yè)務(wù)和IT領(lǐng)導人組成的管理機構(gòu)，負責監(jiān)督網(wǎng)絡(luò)安全能力和投資。我們與可信賴的供應(yīng)商合作，提供特定的網(wǎng)絡(luò)安全成果或運營關(guān)鍵的網(wǎng)絡(luò)安全能力。我們采用定性風險評估來衡量網(wǎng)絡(luò)安全投資的回報。我們使用網(wǎng)絡(luò)安全成熟度評估來指導我們的網(wǎng)絡(luò)安全投資決策。我們采用風險量化工具來衡量網(wǎng)絡(luò)安全投資的回報。我們的網(wǎng)絡(luò)安全活動以其他行業(yè)領(lǐng)先者為基準。我們將我們的網(wǎng)絡(luò)安全支出與一組確定的同行進行對比。我們加入了信息共享聯(lián)盟。完全不同意不同意 既不同意也不反對 同意（n=1,196）注：由于四舍五入，百分比相加可能不等于100%。完全同意12關(guān)鍵發(fā)現(xiàn)4854336386253615657面對日益增長的網(wǎng)絡(luò)安全威脅加大網(wǎng)絡(luò)安全投資，全球超過半數(shù)的受訪者（57%）預計在未來12至24個月內(nèi)增加其網(wǎng)絡(luò)安全預算。同時，58%的受訪者表示，他們預期開始將網(wǎng)絡(luò)安全支出與其它項目的預算進行整合，例如數(shù)字化轉(zhuǎn)型計劃、IT項目和云投資。這種投資水平和預算整合凸顯了網(wǎng)絡(luò)安全活動與企業(yè)運營日益交織的特性。這也強調(diào)了一個現(xiàn)實，即網(wǎng)絡(luò)安全資金往往被視為零和游戲，在轉(zhuǎn)型項目中，網(wǎng)絡(luò)安全常常被忽視，以在零和環(huán)境中節(jié)省成本。持續(xù)優(yōu)先考慮網(wǎng)絡(luò)安全，并在業(yè)務(wù)和技術(shù)運營以及領(lǐng)導層之間建立網(wǎng)絡(luò)安全連接能力，對于組織脫穎而出并成功實現(xiàn)戰(zhàn)略成果至關(guān)重要。一個網(wǎng)絡(luò)安全成熟的組織明白，網(wǎng)絡(luò)安全不僅僅是一個信息技術(shù)問題，而是一個業(yè)務(wù)成功的關(guān)鍵所在，需要在組織的所有職能和層級中進行整合。通過培養(yǎng)這種強大的網(wǎng)絡(luò)安全連接能力，組織可以增強與網(wǎng)絡(luò)安全相關(guān)的協(xié)作、信息共享和決策制定。這種方法使領(lǐng)導者能夠根據(jù)業(yè)務(wù)目標做出明智的戰(zhàn)略決策，并有效降低網(wǎng)絡(luò)安全風險。最終，那些優(yōu)先考慮網(wǎng)絡(luò)安全并構(gòu)建強大網(wǎng)絡(luò)安全連接能力的組織，即將網(wǎng)絡(luò)安全納入組織職能和領(lǐng)導角色的組織，能夠在日益數(shù)字化的世界中更好地保護其資產(chǎn)、聲譽和整體韌性。支出在增加（圖4）57%的受訪者預計在未來12-24個月內(nèi)增加網(wǎng)絡(luò)安全預算。（單位：美元和百分比）5億至10億美元（n=314）2 3610億至50億美元（n=378）50億至100億美元（n=253）6 33超過100億美元（n=251）所有受訪者（n=1,196）減少保持不變增加57%受訪者預計在未來12-24個月內(nèi)增加網(wǎng)絡(luò)安全預算。我們發(fā)現(xiàn)，平均而言，受訪者每年在IT方面的總體支出在1.47億美元到2.66億美元之間。其中，19%（3,900萬美元）用于網(wǎng)絡(luò)安全相關(guān)活動，而受訪者預計在未來12至24個月內(nèi)，這一比例將增加3%。由于公司的規(guī)模、擁有的數(shù)據(jù)類型、在線業(yè)務(wù)和供應(yīng)鏈實踐等因素各不相同，因此它們的威脅特征也各不相同。每家公司都必須制定強有力的威脅情報戰(zhàn)略，包括了解誰在關(guān)注他們、為什么，以及他們是如何運作的。了解潛在攻擊者的動機和策略對于制定有效的安全措施至關(guān)重要?！薄狦ary

Harbison，強生公司首席信息安全官13關(guān)鍵發(fā)現(xiàn)1–56–1011–1516or

moreNone32224661112421418272418131311877

634282117攻擊現(xiàn)實日益嚴峻，包括與生成式人工智能（GenAI）相關(guān)的新威脅和網(wǎng)絡(luò)風險隨著各組織所面臨的網(wǎng)絡(luò)威脅日益增多且多樣化，預計投資也將隨之增加。與上一期調(diào)查類似，網(wǎng)絡(luò)犯罪分子和恐怖分子是最主要的威脅行為者。42%的受訪者表示，上述威脅行為者中，他們最關(guān)注的是黑客活動分子（旨在發(fā)表與政治或社會事業(yè)有關(guān)的聲明的威脅行為者）、網(wǎng)絡(luò)罪犯分子（為牟取經(jīng)濟利益而實施惡意活動）和內(nèi)部人員（個人恩怨和利益相關(guān)）。在網(wǎng)絡(luò)攻擊者使用的工具和技術(shù)方面，釣魚攻擊、惡意軟件和勒索軟件的組合被34%的受訪者報告為最主要的威脅來源。這一比例比上一次調(diào)查下降了8個百分點，與此同時，與數(shù)據(jù)丟失相關(guān)的威脅報告卻大幅上升，從上次調(diào)查的14%上升到本次調(diào)查的28%。同時，40%的受訪者表示，他們在過去一年中公開報告了六到十起網(wǎng)絡(luò)安全事件，這一比例相比上一次調(diào)查增加了兩個百分點。攻擊事件持續(xù)上升的趨勢并不令人驚訝。對威脅行為者來說，可利用的攻擊面很大，并且還在持續(xù)擴大。調(diào)查還追蹤了受訪者如何應(yīng)對因生成式人工智能（GenAI）出現(xiàn)而產(chǎn)生的新網(wǎng)絡(luò)安全風險。分析顯示，與不太成熟的組織相比，網(wǎng)絡(luò)成熟度高的組織對這些風險的認識更為明顯。在網(wǎng)絡(luò)安全成熟度最高的組織中，受訪者認為會影響其網(wǎng)絡(luò)安全戰(zhàn)略的四大GenAI相關(guān)風險如下：GenAI輸出的可解釋性（82%）GenAI算法帶來信息完整性風險（81%）為GenAI和人類協(xié)同工作制定有效的控制措施（81%）數(shù)據(jù)投毒（例如，通過破壞訓練數(shù)據(jù)集來影響GenAI輸出）（80%）隨著越來越多的組織實現(xiàn)流程自動化，并與供應(yīng)商和其他第三方共享數(shù)據(jù)，新的安全漏洞也隨之出現(xiàn)。這些日益復雜的數(shù)字基礎(chǔ)設(shè)施和生態(tài)系統(tǒng)帶來了新的攻擊機會。正在突破防御的威脅（圖5）網(wǎng)絡(luò)安全漏洞的來源，以及有多少組織正在遭遇這些漏洞。（百分比，第三版Vs第四版）40%受訪者表示，在過去一年中公開報告了六至十起網(wǎng)絡(luò)安全漏洞事件。攻

擊者/來源

工具/技術(shù)

漏

洞事件次數(shù) 42%一切事物和每個人都如此緊密相連，風險正在成倍增加。考慮我們整個供應(yīng)鏈網(wǎng)絡(luò)。考慮所有公司安全能力的全面差異。我們對自己公司內(nèi)部和員工的安全措施感到相當自信。但問題是，我們?nèi)绾未_保與我們網(wǎng)絡(luò)接觸的每一個人都具備同等的安全防范和控制能力呢？”——Patrick

Milligan，福特汽車公司首席信息安全官1436

3438

40153

29

9網(wǎng)絡(luò)網(wǎng)絡(luò)員工善意可信第惡意有組黑客國家釣魚/惡數(shù)據(jù)丟APTs（高DoS（拒安全安全的非故意三方員工織犯分子意軟件/失相關(guān)級持續(xù)性絕服務(wù)犯罪恐怖行為導致罪勒索軟件威脅威脅）攻擊）分子的負面事件第3版（n=1,110）第4版（n=1,196人）14關(guān)鍵發(fā)現(xiàn)56555252585454555556646363636364656663收益損失取消一項戰(zhàn)略舉措的資金股價下跌監(jiān)管罰款運營中斷生態(tài)系統(tǒng)，包括供應(yīng)鏈/合作伙伴生態(tài)系統(tǒng)知識產(chǎn)權(quán)受到侵害對人才招聘/留用產(chǎn)生負面影響聲譽損失對技術(shù)完整性喪失信心失去客戶信任/負面品牌影響因為人們對網(wǎng)絡(luò)安全計劃所帶來的效益期望越來越高，技術(shù)完整性是受訪者最關(guān)心的問題。在持續(xù)不斷的網(wǎng)絡(luò)威脅下，企業(yè)正在經(jīng)歷一系列負面影響，包括對財務(wù)、運營和品牌三個領(lǐng)域的影響（圖6）。總體而言，在所有這三個領(lǐng)域中，最受關(guān)注的兩個問題是對技術(shù)完整性喪失信心和運營中斷（圖1，第7頁）。這種持續(xù)的關(guān)注強調(diào)了制定強有力的網(wǎng)絡(luò)安全戰(zhàn)略計劃的重要性，該計劃能夠維護關(guān)鍵技術(shù)和運營，并增強組織的韌性。受訪者經(jīng)歷的所有負面影響比前一版報告中的程度更高。在第三版報告中，平均56%的受訪者在中等和較大程度上經(jīng)歷了所有這些后果，而在第四版中，這一比例上升到了64%。這一增長表明了兩個潛在的現(xiàn)實。首先，組織可能更全面地報告了網(wǎng)絡(luò)攻擊的影響，這表明了意識的增強。其次，由于生成式人工智能（GenAI）和其他先進技術(shù)的出現(xiàn)，攻擊面和頻率已經(jīng)增加，這凸顯了網(wǎng)絡(luò)安全在未來日益增長的重要性，并明確要求采取行動，制定強有力的網(wǎng)絡(luò)安全戰(zhàn)略計劃。通過三個視角更深入地了解網(wǎng)絡(luò)安全事件的負面影響（圖6）受訪者認為在財務(wù)、運營和品牌領(lǐng)域，網(wǎng)絡(luò)安全事件影響最大的方面。（百分比）

財務(wù)

運營

66

品牌

第3版（n=1,110）第4版（n=1,196）15關(guān)鍵發(fā)現(xiàn)12 1 2 2 2122 3 2 21121213121112151315141213144142424344444344434346454546444443434241414040404040實現(xiàn)我

避免監(jiān)

增加收

確保韌

為試驗

提高客們的使

管罰款

入

性（組

和創(chuàng)新

戶忠誠命/目標

織、供

提供信

度，實應(yīng)鏈等）

心

現(xiàn)業(yè)務(wù)價值和增長戶留存

性的信

譽率 心能力保護知

提高威 提高效

提高客

加強對提高品

增加信識產(chǎn)權(quán)

脅檢測 率和敏

戶滿意

技術(shù)/數(shù)

牌信任

息透明和響應(yīng) 捷性 度和客

據(jù)完整

度和聲 度網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露的這些負面影響，與組織期望通過其網(wǎng)絡(luò)安全舉措實現(xiàn)的效益（積極的業(yè)務(wù)成果）形成了鮮明對比。調(diào)查顯示，網(wǎng)絡(luò)安全舉措預期的三大成果是：（1）保護知識產(chǎn)權(quán)；（2）提升威脅檢測與響應(yīng)能力；（3）提高效率和敏捷性（圖7）。這些預期效益表明，許多受訪者從網(wǎng)絡(luò)安全投資中看到了運營韌性的增強，但各行業(yè)之間存在一定差異：網(wǎng)絡(luò)安全的預期成果（圖7）受訪者預期從網(wǎng)絡(luò)安全舉措中獲得的益處，以及他們期望這些益處實現(xiàn)的程度。（百分比）人們對網(wǎng)絡(luò)安全的期望顯然非常高。作為網(wǎng)絡(luò)安全職能的主要負責人，這些期望主要指向了首席信息安全官（CISO），他們面臨著艱巨的任務(wù)，即管理并實現(xiàn)業(yè)務(wù)的預期。對于任何組織而言，網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露都是不可避免的，但網(wǎng)絡(luò)安全的承諾在于最小化風險和負面影響，并盡可能實現(xiàn)利益最大化——最終目標是使組織更加安全、更具韌性，并利用可信數(shù)據(jù)推動業(yè)務(wù)增長。完全沒有中等程度在很大程度上在很小程度上（n=1,196）消費者增強對技術(shù)/數(shù)據(jù)完整性的信心金融服務(wù)業(yè)（FSI）政府與公服務(wù)（GPS）生命科學與醫(yī)療（LSHC）提高客戶滿意度和客戶留存率能源、資源與工業(yè)（ER&I）提高效率和敏捷性改進威脅檢測和響應(yīng)，同時保護知識產(chǎn)權(quán)保護知識產(chǎn)權(quán)科技、傳媒和電信（TMT）提高效率和敏捷性16關(guān)鍵發(fā)現(xiàn)11133343 1342 152 3

1 2 3665181818202322212423242426274544454241424544414439374034343433333230292928292827首席信息安全官CISO的在領(lǐng)導層中的影響力與日俱增受訪者表示，在他們的組織中，首席信息安全官（CISO）往往對我們調(diào)查中詢問的大多數(shù)網(wǎng)絡(luò)安全活動負主要責任，首席信息官（CIO）也發(fā)揮著關(guān)鍵作用。這些CISO通常向首席信息官或首席技術(shù)官（CTO）匯報工作。但調(diào)查顯示，約有五分之一的CISO直接向首席執(zhí)行官（CEO）匯報工作。這是業(yè)務(wù)一致性的一個重要信號，以及在企業(yè)高層（C-suite）和執(zhí)行領(lǐng)導層中的影響力。首席信息安全官（CISO）在其他方面的影響力似乎也在增長。首席信息安全官（CISO）或同等職位的領(lǐng)導者，越來越多地參與到有關(guān)技術(shù)能力的戰(zhàn)略性業(yè)務(wù)對話中，這反映出技術(shù)能力在推動業(yè)務(wù)價值方面日益重要。首席信息安全官（CISO）的參與不再是可有可無。大約三分之一的受訪者表示，在過去一年中，首席信息安全官（CISO）在以下技術(shù)能力相關(guān)的戰(zhàn)略對話中的參與度顯著提高：云計算、人工智能/認知計算、GenAI、數(shù)據(jù)分析、5G以及客戶身份和訪問管理（圖8）。將首席信息安全官（CISO）納入戰(zhàn)略對話（圖8）首席信息安全官（CISO）參與討論的業(yè)務(wù)關(guān)鍵型技術(shù)能力領(lǐng)域，以及他們參與的程度。（百分比）物聯(lián)網(wǎng)

區(qū)塊鏈

元宇宙

物理/加密

機器人貨幣運營 企業(yè)資 量子技術(shù) 源規(guī)劃 計算（ERP）計劃5G

客戶身份和訪問管理（CIAM）生成式 數(shù)據(jù)AI

分析云計算

人工智能/認知計算參與度明顯降低減少無變化（n=1,196）增加參與度大幅提高17關(guān)鍵發(fā)現(xiàn)2018118722211152434

1隨著首席信息安全官（CISO）在領(lǐng)導層中的影響力與日俱增，以及組織努力提升其在網(wǎng)絡(luò)安全方面的知識和技能，我們預計首席信息安全官（CISO）將成為一個重要的合作伙伴，負責向董事會和企業(yè)高層（C-suite）提供關(guān)于安全漏洞、風險場景以及提升韌性的必要措施的指導和教育。未來，首席信息安全官（CISO）不僅要領(lǐng)導組織的整體網(wǎng)絡(luò)安全戰(zhàn)略，還要提供戰(zhàn)略指導，與其它企業(yè)高層（C-suite）緊密協(xié)作，確保安全措施與業(yè)務(wù)目標相協(xié)調(diào)。在關(guān)注網(wǎng)絡(luò)安全的企業(yè)高層（C-suite）高管中，只有34%非常有信心企業(yè)高層（C-suite）和董事會能夠充分駕馭網(wǎng)絡(luò)安全。這一比例比所有受訪者的平均信心水平低18個百分點（圖9）分析表明，網(wǎng)絡(luò)安全成熟型組織明白，首席信息安全官重要的職責就是讓企業(yè)高層（C-suite）和董事會參與進來，也是有效解決網(wǎng)絡(luò)安全風險的關(guān)鍵。他們認識到，通過扮演更具影響力的角色，首席信息安全官可以提供有價值的見解和指導，并確保網(wǎng)絡(luò)安全作為需要持續(xù)關(guān)注和投資的戰(zhàn)略性業(yè)務(wù)問題而得到應(yīng)有的重視和資源。德勤認為，鑒于網(wǎng)絡(luò)威脅、技術(shù)能力以及網(wǎng)絡(luò)安全與業(yè)務(wù)整合的不斷發(fā)展，CISO角色的重要性正在逐漸提升，但我們建議各組織加快行動，提升CISO的角色重要性。盡管大多數(shù)人認為首席信息安全官（CISO）的角色正在演變，且他們已經(jīng)在企業(yè)高層（C-Suite）中占有一席之地，但仍缺乏對企業(yè)高層能夠自信地駕馭當前復雜網(wǎng)絡(luò)環(huán)境的信心。這種較低的信心水平可能表明，隨著CISO有效地向企業(yè)高層溝通提示有關(guān)的風險/威脅以及組織應(yīng)對風險的能力，企業(yè)高層對當前網(wǎng)絡(luò)環(huán)境的復雜性有了清醒的認識。同時，這也可能反映出受訪者整體上對組織的網(wǎng)絡(luò)安全成熟度和韌性存在過度自信，即他們可能高估了組織在網(wǎng)絡(luò)安全方面的準備程度和恢復能力。企業(yè)高層（C-suite）的網(wǎng)絡(luò)安全意識及首席信息安全官（CISO）報告的一致性（圖9）了解領(lǐng)導者對企業(yè)高層（C-suite）的信任程度，并總體概述首席信息安全官（CISO）的匯報對象。（百分比）對我們來說，最大的轉(zhuǎn)變是在構(gòu)建解決方案之前，而不是之后，引入安全討論。我們希望真正實現(xiàn)“設(shè)計中的安全”，而不是經(jīng)常發(fā)生的“評估中的安全”。前者往往要求安全成為企業(yè)整體戰(zhàn)略中更為關(guān)鍵的組成部分?！薄獊碜阅痴凸卜?wù)機構(gòu)的網(wǎng)絡(luò)和IT安全總監(jiān)首席首席 首席信息官 執(zhí)行官 技術(shù)官（CIO）（CEO）

（CTO）首席首席首席首席董事會 首席戰(zhàn)略官 安全官 運營官 財務(wù)官 數(shù)據(jù)官 風險官 安全官（CSO）（CSO）（COO）（CFO）（CDO）

（CRO）

（BISO）首席 業(yè)務(wù)信息 首席合規(guī)官（n=1,196）對企業(yè)高層（C-suite）和董事會在網(wǎng)絡(luò)安全領(lǐng)域有效應(yīng)對的信心首席信息安全官/網(wǎng)絡(luò)安全負責人向以下領(lǐng)導匯報工作27（n=1,196）非常有信心有一點信心保持中立有點不自信18關(guān)鍵發(fā)現(xiàn)雖然網(wǎng)絡(luò)安全是大多數(shù)組織董事會議程上的常規(guī)話題，88%的受訪者表示他們的董事會每季度甚至更頻繁地討論與網(wǎng)絡(luò)相關(guān)的問題，但顯然還需要加強意識教育，首席信息安全官（CISO）需就戰(zhàn)略風險和相應(yīng)措施方面提供建議。在這一點上，德勤的《Tech-ForwardBoardroom》報告建議，為了提升董事會的討論水平，技術(shù)領(lǐng)導者可以將技術(shù)術(shù)語轉(zhuǎn)化為業(yè)務(wù)需求，與首席財務(wù)官（CFO）更緊密地合作以闡明業(yè)務(wù)影響，持續(xù)進行結(jié)構(gòu)化報告和基準測試，共同向董事會匯報，通過深入的技術(shù)研討會進行研討，創(chuàng)建反饋循環(huán)，并在小型董事會會議中推廣這些活動。盡管大多數(shù)人認為首席信息安全官（CISO）的角色正在轉(zhuǎn)變，且已具有一定話語權(quán)，但對于企業(yè)高層（C-suite）能否駕馭當今復雜的網(wǎng)絡(luò)環(huán)境仍然缺乏信心88%受訪者表示他們的董事會每季度甚至更頻繁地討論與網(wǎng)絡(luò)相關(guān)的問題我們每季度都會向董事會匯報標準的最新情況，而這在幾年前是不存在的。我認為，不僅僅是討論的頻率，討論也更有深度了。我們對董事會現(xiàn)在有疑問的關(guān)鍵議題進行了更多的深入探討。我們最終會安排更多時間進行深入探討?！薄辰鹑诜?wù)公司首席信息安全官19關(guān)鍵發(fā)現(xiàn)網(wǎng)絡(luò)安全已與技術(shù)驅(qū)動型項目和數(shù)字化業(yè)務(wù)轉(zhuǎn)型深度融合。網(wǎng)絡(luò)安全的邊界正在變得模糊，就像數(shù)字化轉(zhuǎn)型的界限一樣。隨著組織與合作伙伴和其他第三方共享數(shù)據(jù)和系統(tǒng)訪問權(quán)限，安全和隱私問題變得至關(guān)重要。最終，業(yè)務(wù)、客戶、數(shù)據(jù)和數(shù)字信任的增長都取決于網(wǎng)絡(luò)安全。因此，許多組織正在將網(wǎng)絡(luò)安全整合到業(yè)務(wù)和技術(shù)職能中（圖10）。將網(wǎng)絡(luò)安全整合到整個業(yè)務(wù)中各組織不僅在加強和保護其技術(shù)能力，而且還在改變創(chuàng)造新產(chǎn)品的方式。例如，超過80%的受訪者表示，他們正在將隱私元素融入產(chǎn)品開發(fā)的早期階段，這有助于保護客戶數(shù)據(jù)并提高數(shù)字信任度。這些考慮因素表明，DevSecOps流程的成熟度正在達到一個新水平，網(wǎng)絡(luò)安全領(lǐng)導者已成功融合進產(chǎn)品設(shè)計和開發(fā)團隊（圖10）。優(yōu)先考慮隱私、信任和道德（圖10）大多數(shù)受訪者正在采取措施將網(wǎng)絡(luò)安全與產(chǎn)品開發(fā)、保護客戶數(shù)據(jù)等關(guān)鍵領(lǐng)域的需求進行整合。（百分比）我一直將網(wǎng)絡(luò)安全視為一種助推器。如果你想在高速公路上快速行駛，你需要確保你有保險杠和制動器，而且你知道你的車有很多部件都在正常工作，否則你將無法在路上行駛。網(wǎng)絡(luò)安全可以充當這些保險杠或制動器，為汽車提供支撐（以便您能以正常速度行駛）?！薄猇ivek

Khindria，Loblaw網(wǎng)絡(luò)安全、網(wǎng)絡(luò)和技術(shù)風險高級副總裁133233239151513141714 4416 43473944 393845 373747 3638 33在產(chǎn)品或服務(wù)開發(fā)的初始階段就考慮隱私問題。1

2 14 43 40保持有效執(zhí)行網(wǎng)絡(luò)安全戰(zhàn)略所需的人才和技能。努力了解客戶需求、提供無縫體驗的同時保護客戶/消費者數(shù)據(jù)，并利用這些知識釋放業(yè)務(wù)價值和實現(xiàn)增長。積極主動地發(fā)現(xiàn)和解決網(wǎng)絡(luò)安全系統(tǒng)中的漏洞。將道德因素（如公平性、透明度、問責制、包容性）作為制定網(wǎng)絡(luò)安全戰(zhàn)略的前三大優(yōu)先事項。在過去一年中，我們增加了對數(shù)字信任的關(guān)注，作為網(wǎng)絡(luò)安全戰(zhàn)略的一部分。去年實施了新的流程，以改進我們在收集個人數(shù)據(jù)前征求用戶同意的方式。感到難以應(yīng)對遵守網(wǎng)絡(luò)安全法律法規(guī)的需求。完全不同意不同意既不同意也不反對（n=1,196）同意完全同意20關(guān)鍵發(fā)現(xiàn)將網(wǎng)絡(luò)安全融入業(yè)務(wù)的更多方面也體現(xiàn)在支出方面。如前所述，大多數(shù)受訪者（58%）預計，網(wǎng)絡(luò)安全支出將開始與數(shù)字化轉(zhuǎn)型、IT計劃和云投資等其他計劃預算進行整合。與此同時，大多數(shù)受訪者（55%）也認為網(wǎng)絡(luò)安全支出將保持獨立（圖11）。這兩種觀點并不矛盾；在被問及網(wǎng)絡(luò)安全支出的未來時，25%的受訪者選擇了兩個選項——既包括整合支出，也包括獨立支出。這種雙重性反映了德勤在各組織中的觀察結(jié)果，即網(wǎng)絡(luò)安全支出通常來自專門的網(wǎng)絡(luò)安全預算以及IT、數(shù)字化轉(zhuǎn)型、業(yè)務(wù)領(lǐng)域和產(chǎn)品的預算。換句話說，網(wǎng)絡(luò)安全支出的規(guī)模涉及許多優(yōu)先事項，這就要求領(lǐng)導者探索不同的、往往是并行的模式來為其提供資金。58%受訪者預計網(wǎng)絡(luò)安全支出將與其他預算相結(jié)合。網(wǎng)絡(luò)安全支出與數(shù)字化轉(zhuǎn)型的交叉點（圖11）您認為不斷變化的數(shù)字化環(huán)境會如何影響貴組織的網(wǎng)絡(luò)安全支出？請選擇所有適用選項。（百分比）5855支出將開始與其他預算（如數(shù)字化轉(zhuǎn)型、IT、云投資）相結(jié)合支出將保持獨立，并與其他預算（如數(shù)字化轉(zhuǎn)型、IT、云投資）分開支出將成為優(yōu)先事項，并首次擁有自己的專項預算37預算所有權(quán)將從單一所有者（如CISO、CIO）轉(zhuǎn)變?yōu)槎鄠€所有者（如IT和風險等）18（n=1,196）注：由于四舍五入，百分比相加可能不等于100%。25%

約25%的受訪者同時選擇了這兩個選項，即在某些領(lǐng)域整合支出，而在另一些領(lǐng)域保持獨立。21關(guān)鍵發(fā)現(xiàn)云計算 生成式AI數(shù)據(jù)分析人工智能/認知運營技術(shù)5G物聯(lián)網(wǎng)客戶身 企業(yè)資份和訪 源規(guī)劃量子 元宇宙計算區(qū)塊鏈/加密貨物理機器人計算問管理

（ERP）幣（CIAM）網(wǎng)絡(luò)安全預算整合的趨勢與另一個新現(xiàn)象緊密相關(guān)：網(wǎng)絡(luò)安全是推動業(yè)務(wù)目標的關(guān)鍵因素。我們的調(diào)查結(jié)果顯示，網(wǎng)絡(luò)安全在確保組織對技術(shù)能力的投資方面發(fā)揮著重要作用，尤其是在云計算（48%）、GenAI（41%）和數(shù)據(jù)分析（41%）等優(yōu)先領(lǐng)域（圖12）。網(wǎng)絡(luò)安全在保障技術(shù)投資中的作用（圖12）網(wǎng)絡(luò)安全如何影響技術(shù)能力預算決策。（百分比）對于我們這家在全球運營的集團來說，加強安全是推動數(shù)字化轉(zhuǎn)型的一項至關(guān)重要的活動。我們建立了一個名為‘JFE-安全整合與響應(yīng)團隊’的內(nèi)部組織，分配預算和人員等資源，并在人力、技術(shù)和物理方面實施了必要的措施。我們的目標是在各種業(yè)務(wù)活動中增強網(wǎng)絡(luò)安全措施，包括產(chǎn)品、系統(tǒng)和服務(wù)的開發(fā)、設(shè)計、制造和提供。通過這些措施，我們不僅加強了整個供應(yīng)鏈的網(wǎng)絡(luò)安全，并最終為在全球范圍內(nèi)全面提高社會的網(wǎng)絡(luò)安全做出貢獻?！薄狝kira

Nitta，JFE

Steel首席信息安全官131515132433344338111091616171518171817203739404142404145433937404048414139393939393634323130完全沒有作用 小作用 中等作用（n=1,196）注：由于四舍五入，百分比相加可能不等于100%。大作用22關(guān)鍵發(fā)現(xiàn)為降低云生態(tài)系統(tǒng)的復雜性而采取的網(wǎng)絡(luò)安全措施（圖13）您的組織正在采取哪些網(wǎng)絡(luò)安全措施來減少云生態(tài)系統(tǒng)的復雜性？（百分比）在云技術(shù)方面，網(wǎng)絡(luò)安全作為推動者發(fā)揮著重要作用，不僅有助于提高安全性，還能簡化組織的整體云環(huán)境。為降低云生態(tài)系統(tǒng)的復雜性，受訪者采取的首要網(wǎng)絡(luò)安全措施包括：定期進行安全審計和評估（44%）、實施一致的安全政策和程序（45%），以及在多方/多個解決方案中使用云生態(tài)系統(tǒng)監(jiān)控技術(shù)（46%）（圖13）。46%受訪者表示在多方/多個解決方案中采用了云生態(tài)系統(tǒng)監(jiān)控技術(shù)。4645444343403634跨多方/多個實施統(tǒng)一的在生態(tài)系統(tǒng)部署身份建立明確的利用自動化實施零信任與他人共享解決方案采安全政策和內(nèi)定期進行和訪問管協(xié)議和治理工具執(zhí)行安安全模式威脅情報用云生態(tài)系程序安全審計和理控制措施全任務(wù)統(tǒng)監(jiān)控技術(shù)評估（n=1,196）23關(guān)鍵發(fā)現(xiàn)關(guān)注人工智能網(wǎng)絡(luò)安全解決方案鑒于人工智能在當今的重要性，我們在本次調(diào)查中將其納入了網(wǎng)絡(luò)成熟度指數(shù)。各組織關(guān)注的利用人工智能提高網(wǎng)絡(luò)安全能力的主要方式包括數(shù)字基礎(chǔ)設(shè)施監(jiān)控、高級模擬和自動化安全。人工智能生成的內(nèi)容使攻擊者能夠以更低的時間投入定制內(nèi)容的創(chuàng)建。目前，人工智能生成內(nèi)容的浪潮正以企業(yè)為目標，通過冒充可信來源來利用漏洞。這一問題正在迅速加劇。但這并不意味著企業(yè)在面對即將到來的人工智能生成內(nèi)容的浪潮時無能為力。領(lǐng)先企業(yè)正在采取積極措施，確保自己不會成為受害者。（來源：Deloitte2024TechTrends:Defending

reality:Truth

in

an

age

of

synthetic

media）。隨著人工智能在未來不斷發(fā)展，網(wǎng)絡(luò)安全的未來也在演變。兩者正在共同進化，因為組織正在利用新型人工智能解決方案來減輕網(wǎng)絡(luò)安全負擔。在受訪者中，平均有39%的人正在其網(wǎng)絡(luò)安全項目中大量使用人工智能功能。同時，受訪者也表達了對人工智能的擔憂，表示需要更新網(wǎng)絡(luò)安全戰(zhàn)略，以跟上技術(shù)不斷創(chuàng)新的步伐（圖14）。39%受訪者表示正在其網(wǎng)絡(luò)安全項目中大量使用人工智能功能。人工智能能力成為關(guān)注焦點（圖14）受訪者處于何種階段處以及如何看待人工智能在其網(wǎng)絡(luò)安全計劃中成為一種工具。（百分比）當然，重點是防止惡意入侵。但我們還必須關(guān)注這些新技術(shù)（如AI）的影響，以及它們將如何改變我們的環(huán)境。我們?nèi)绾未_保以安全可靠的方式應(yīng)用和使用AI，并利用AI在我們的網(wǎng)絡(luò)安全框架中更好地提供安全保障？”——GPS機構(gòu)，網(wǎng)絡(luò)和信息技術(shù)安全總監(jiān)222122214141415141512 474645464544 4045 393939383838部署基于人工智能的工具，持續(xù)監(jiān)控組織的數(shù)字基礎(chǔ)設(shè)施1 13 44 42生成高級網(wǎng)絡(luò)安全模擬利用人工智能實現(xiàn)網(wǎng)絡(luò)監(jiān)控、異常檢測和威脅響應(yīng)等安全流程的自動化加快對潛在安全威脅的響應(yīng)速度實時分析網(wǎng)絡(luò)安全數(shù)據(jù)，了解復雜關(guān)系并識別新型攻擊載體啟用自動安全響應(yīng)打造動態(tài)防御系統(tǒng)利用人工智能分析歷史數(shù)據(jù)，識別潛在的網(wǎng)絡(luò)安全威脅和漏洞完全沒有在較小程度內(nèi)（n=1,196）中等程度在很大程度上24關(guān)鍵發(fā)現(xiàn)量子計算（圖15）各組織如何看待即將到來的量子計算時代以及量子網(wǎng)絡(luò)安全就緒的必要性。（百分比）迎接下一波新興技術(shù)浪潮隨著組織繼續(xù)應(yīng)對與人工智能相關(guān)的風險和機遇，其他顛覆性技術(shù)也在不斷發(fā)展，并穩(wěn)步邁向廣泛應(yīng)用。隨著量子計算逐漸成為現(xiàn)實（預計在未來幾年內(nèi)成為主流），并為網(wǎng)絡(luò)攻擊者破解密碼提供了一個強大的新工具，量子計算網(wǎng)絡(luò)安全準備工作正成為許多組織更加關(guān)注的焦點。數(shù)據(jù)顯示，近83%的受訪者正在評估與量子計算有關(guān)的風險或采取某種行動，無論是制定戰(zhàn)略、實施試點解決方案，還是大規(guī)模實施解決方案。雖然大多數(shù)受訪者（52%）仍在評估他們所面臨的風險并制定與量子計算相關(guān)的風險戰(zhàn)略，但其他受訪者（30%）正在采取果斷行動，作為早期采用者實施解決方案。這些數(shù)據(jù)表明，這一問題的發(fā)展勢頭非常明顯，領(lǐng)導者可以通過了解潛在風險、審查數(shù)據(jù)和系統(tǒng)管理、優(yōu)先處理與業(yè)務(wù)運營相關(guān)的漏洞以及制定加密算法、更新路線圖來應(yīng)對挑戰(zhàn)。這樣做可以讓他們在往往需要多年時間的計劃中搶占先機，并在更廣泛的企業(yè)轉(zhuǎn)型過程中以及通過更新合同機制有序地引入新算法。30%受訪者正在采取果斷行動，作為早期采用者實施解決方案。41327251812目前不關(guān)注與量子計算有關(guān)的風險意識到量子計算威脅，但尚未采取行動評估我們面臨的與量子計算有關(guān)的風險制定應(yīng)對量子計算相關(guān)風險的戰(zhàn)略實施測試版解決方案，減輕/避免與量子計算有關(guān)的風險大規(guī)模實施解決方案，應(yīng)對與量子計算有關(guān)的風險（n=1,196）30%25關(guān)鍵發(fā)現(xiàn)網(wǎng)絡(luò)成熟度較高的組織更有信心，并能從其網(wǎng)絡(luò)安全實踐和投資中獲得更大的收益。網(wǎng)絡(luò)成熟度指數(shù)德勤借鑒了我們與全球數(shù)千家組織合作的經(jīng)驗，將高網(wǎng)絡(luò)安全成熟度的組織與低網(wǎng)絡(luò)安全成熟度的同行區(qū)分開來。為了識別這一獨特的網(wǎng)絡(luò)安全領(lǐng)導階層，并更全面地了解網(wǎng)絡(luò)安全對企業(yè)成功和價值的支持程度，我們采用了四套領(lǐng)先實踐來對組織進行評級或指數(shù)化：健全的網(wǎng)絡(luò)安全計劃，包括防御和應(yīng)對網(wǎng)絡(luò)威脅的戰(zhàn)略、運營和戰(zhàn)術(shù)計劃（規(guī)劃戰(zhàn)略的完整清單，見圖3，第11頁）。關(guān)鍵的網(wǎng)絡(luò)安全活動，例如定性和定量風險評估、行業(yè)基準測試和事件響應(yīng)情景規(guī)劃（網(wǎng)絡(luò)安全活動的完整清單，請參見圖2，

第10頁）。董事會的有效參與，例如組織的董事會定期處理網(wǎng)絡(luò)安全相關(guān)問題。在網(wǎng)絡(luò)安全計劃中部署人工智能能力，重點關(guān)注那些在很大程度上采取了八項網(wǎng)絡(luò)人工智能相關(guān)行動中至少五項行動的組織（完整的行動清單請參見圖14，第23頁）。本次調(diào)查新增了最后一項標準——人工智能能力，旨在反映技術(shù)和業(yè)務(wù)的演變，以及對于變得網(wǎng)絡(luò)成熟意味著什么。當我們僅使用前三個標準（與上一版相同的指數(shù)）時，我們會發(fā)現(xiàn)網(wǎng)絡(luò)成熟型組織增加了三個百分點——從21%的組織增加到24%——這是一個可觀的增長。不過，通過將人工智能因素納入本版的網(wǎng)絡(luò)成熟度指數(shù)，我們可以定義出更精英的組織群體，這些組織處于塑造網(wǎng)絡(luò)安全未來前沿。在本次調(diào)查中，高網(wǎng)絡(luò)成熟度組織占調(diào)查對象的14%。與中和低網(wǎng)絡(luò)成熟度組織相比，高網(wǎng)絡(luò)成熟度組織是如何對待網(wǎng)絡(luò)安全問題的，這為企業(yè)領(lǐng)導者提供了重要經(jīng)驗，可用于提升組織的網(wǎng)絡(luò)和業(yè)務(wù)價值。德勤借鑒了我們與全球數(shù)千家組織合作的經(jīng)驗，將高網(wǎng)絡(luò)安全成熟度的組織與低網(wǎng)絡(luò)安全成熟度的同行區(qū)分開來。14%網(wǎng)絡(luò)成熟度低（n=421）網(wǎng)絡(luò)成熟度中等（n=612）網(wǎng)絡(luò)成熟度高（n=163）35網(wǎng)絡(luò)成熟度分類（百分比）5126關(guān)鍵發(fā)現(xiàn)對網(wǎng)絡(luò)安全職能寄予厚望高網(wǎng)絡(luò)成熟度組織的受訪者高度關(guān)注網(wǎng)絡(luò)安全措施可能帶來的潛在效益。平均而言，高網(wǎng)絡(luò)成熟度組織的受訪者期望其網(wǎng)絡(luò)安全措施帶來積極成果的可能性是低網(wǎng)絡(luò)成熟度組織受訪者的2.4倍（是中網(wǎng)絡(luò)成熟度組織受訪者的1.6倍）（圖16）。這些積極成果包括：確保組織韌性（76%）、改進威脅檢測和響應(yīng)（74%）以及保護知識產(chǎn)權(quán)地位（74%）

——在這些方面，高網(wǎng)絡(luò)安全成熟度組織的受訪者的期望與低網(wǎng)絡(luò)安全成熟度組織的受訪者相比有顯著差異。這種情況反映了網(wǎng)絡(luò)的挑戰(zhàn)和前景。最具有網(wǎng)絡(luò)安全成熟度的組織在所有指標上的期望值都顯著更高。雖然他們認識到網(wǎng)絡(luò)安全應(yīng)發(fā)揮的重要作用，但這種認識也給他們帶來了更大的壓力，要求他們必須做好各項工作。網(wǎng)絡(luò)安全驅(qū)動成果（圖16）組織期望從其網(wǎng)絡(luò)安全工作中獲得的收益。（顯示所有三個網(wǎng)絡(luò)成熟度組別的百分比）高成熟度和低成熟度部分之間的差異302932312628302730272725294847454347464242414339434074746970696169696663766867共計（n=1,196）網(wǎng)絡(luò)成熟度低（n=421）網(wǎng)絡(luò)成熟度中等（n=612）網(wǎng)絡(luò)成熟度高（n=163）保護提高威脅提高效率和提高客戶加強對技術(shù)提高品牌提高實現(xiàn)我們的避免增加收入確保韌性為試驗和提高客戶知識產(chǎn)權(quán)檢測和敏捷性滿意度和/數(shù)據(jù)完整信任度信息透明度使命/目標監(jiān)管罰款（組織的、創(chuàng)新忠誠度，響應(yīng)能力客戶留存率性的信心和聲譽供應(yīng)鏈的）提供信心實現(xiàn)業(yè)務(wù)價值和增長40404040414141424343444445%百分點+44%百分點+45%百分點+37%百分點+39%百分點+43%百分點+33%百分點+39%百分點+42%百分點+36%百分點+36%百分點+49%百分點+43%百分點+3827關(guān)鍵發(fā)現(xiàn)272323222322222119173331313230282727283437353330

303437373633共計（n=1,196）網(wǎng)絡(luò)成熟度低（n=421）網(wǎng)絡(luò)成熟度中等（n=612）網(wǎng)絡(luò)成熟度高（n=163）聲譽損失 運營中斷生態(tài)對技術(shù)完整性收益損失失去客戶信任/對人才招聘/取消一項戰(zhàn)略知識產(chǎn)權(quán) 股價下跌 監(jiān)管罰款系統(tǒng)，包括供喪失信心負面品牌影響留用產(chǎn)生負面舉措的資金受到侵害應(yīng)鏈/合作伙伴影響生態(tài)系統(tǒng)31威脅檢測和響應(yīng)方法不斷發(fā)展任何組織都無法避免網(wǎng)絡(luò)安全數(shù)據(jù)泄露和網(wǎng)絡(luò)安全事件的負面影響，即使是那些在網(wǎng)絡(luò)安全方面成熟度較高的組織也不例外。平均而言，我們的分析表明，高網(wǎng)絡(luò)安全成熟度的組織在檢測網(wǎng)絡(luò)威脅和遵守相關(guān)報告要求方面的能力更強。例如