互聯(lián)網(wǎng)行業(yè)2021網(wǎng)絡(luò)安全前瞻調(diào)研報告：網(wǎng)絡(luò)安全- 為未來賦能您的員工

2021網(wǎng)絡(luò)安全前瞻調(diào)研報告網(wǎng)絡(luò)安全|為未來賦能您的員工Deloitte.

德勤摘要洞悉網(wǎng)絡(luò)安全的復(fù)雜性數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全及轉(zhuǎn)型挑戰(zhàn)客戶體驗個性化體驗甚或侵犯權(quán)益？合乎道德地使用個人數(shù)據(jù)零信任保護(hù)沒有邊界的網(wǎng)絡(luò)世界新興技術(shù)連接新興技術(shù)領(lǐng)域著眼行業(yè)網(wǎng)絡(luò)安全沒有萬能的解決方案結(jié)語深度洞見調(diào)研方法德勤2021網(wǎng)絡(luò)安全前

瞻調(diào)研報告由德勤與

Wakefield

Research于

2021年6月6日至8月24

日間聯(lián)合開展，采用

線上方式就網(wǎng)絡(luò)安全

問題訪問了近600位首

席高管，其中包括約

200位首席信息安全官、

100位首席信息官、100位首席執(zhí)行官、100位首席財務(wù)官和100位首席營銷官，他

們均來自年收入不低

于5億美元的公司。23—45—67—910—1112—1314—1516—17網(wǎng)絡(luò)安全前瞻調(diào)研報告當(dāng)前情況當(dāng)下，企業(yè)為保持競爭力，采用融合自建基礎(chǔ)

設(shè)施與混合IT架構(gòu)，并與第三方云供應(yīng)商開展合

作等一系列信息技術(shù)舉措。這些復(fù)雜的集成環(huán)

境需要不同于傳統(tǒng)內(nèi)部IT架構(gòu)的新型管理形式。

受訪的大多數(shù)首席信息官和首席信息安全官（41%）表示，如何轉(zhuǎn)型以及了解日益復(fù)雜的

混合生態(tài)系統(tǒng)是其面臨的最大挑戰(zhàn)。新冠疫情不僅造成市場壓力，還宣告著遠(yuǎn)程辦

公時代的到來。無論大型還是小型企業(yè)，都在

迅速變革工作環(huán)境，隨之而來的就是網(wǎng)絡(luò)攻擊

面大大增加，但企業(yè)往往很少甚至沒有時間考

慮安全問題。毫無意外，攻擊事件頻繁發(fā)生。69%的受訪者稱在2020年初至2021年5月的期間，

其企業(yè)受到的威脅有所增加或顯著增加，各行

業(yè)和各地區(qū)均是如此。在受訪的全球首席高管

中，有32%表示運(yùn)營中斷是最大的影響，其次是

知識產(chǎn)權(quán)盜竊（22%）和股價下跌（19%）。持續(xù)驗證，從不輕信在被問及管理企業(yè)網(wǎng)絡(luò)安全的最大障礙時，受

訪者將跨越復(fù)雜邊界的數(shù)據(jù)管理排在首位（44%），其次是更好地劃定企業(yè)網(wǎng)絡(luò)風(fēng)險的

優(yōu)先順序（31%）。所幸的是現(xiàn)在部署零信任

方案（ZeroTrust）已然可行，使用基于持續(xù)風(fēng)險評估的實時訪問決策替換簡單的實體驗證。

在實施過程中，它是對當(dāng)今網(wǎng)絡(luò)生態(tài)系統(tǒng)網(wǎng)絡(luò)

邊界模糊的有效應(yīng)對，認(rèn)為架構(gòu)內(nèi)每個組件都

有弱點(diǎn)，每一層設(shè)施均需要保護(hù)。得益于近期計算能力的提升，企業(yè)中零信任

架構(gòu)的出現(xiàn)和采用到企業(yè)中廣泛的文化變革，

揭示了網(wǎng)絡(luò)安全的角色如何轉(zhuǎn)變，其重要性

如何提升。零信任不僅僅是一種技術(shù)修復(fù)，它是一套相互交織、洞悉敵對活動及相關(guān)業(yè)

務(wù)風(fēng)險、并變革于消減風(fēng)險的方案集合。這

種洞察需要IT部門和業(yè)務(wù)部門之間的協(xié)調(diào)，以及整個企業(yè)的安全意識提升和培訓(xùn)。85%年收入在5億到300億

美金之間87%在1到20個國家運(yùn)營公司總部40%

位于美洲28%

位于歐洲、非洲和

中東地區(qū)32%位于亞太地區(qū)網(wǎng)絡(luò)事件的最大影響*

22%

知識產(chǎn)權(quán)盜竊名譽(yù)損失對人才留用的負(fù)面影響客戶信任流失/負(fù)面的品牌效應(yīng)摘要洞悉復(fù)雜性當(dāng)下，我們生活在一個網(wǎng)絡(luò)無處不

在的世界，其中，數(shù)字化轉(zhuǎn)型持續(xù)

加速，遠(yuǎn)程辦公日趨普及。科技創(chuàng)

新及其驅(qū)動的創(chuàng)新文化，似乎已遠(yuǎn)

遠(yuǎn)超出我們能夠認(rèn)知、衡量并應(yīng)對

這些成倍增長的風(fēng)險的能力。盡管風(fēng)險環(huán)境日益嚴(yán)峻，數(shù)字化轉(zhuǎn)型和遷移

上云仍是客戶的首要任務(wù)。數(shù)據(jù)在企業(yè)內(nèi)的流動，它不僅僅能提高效率，

還能推動新的

價值創(chuàng)造方式，連通各業(yè)務(wù)線并豐富客戶體

驗。我們的調(diào)查數(shù)據(jù)凸顯了數(shù)據(jù)遷移的特點(diǎn)-

-94%的受訪首席財務(wù)官表示他們正考慮將其財務(wù)系統(tǒng)或企業(yè)資源規(guī)劃（ERP）系統(tǒng)遷移上云。*受訪者最多可選擇兩項答案，

因此各選項的百分比加總超過100%。領(lǐng)導(dǎo)層變更股價下跌運(yùn)營中斷監(jiān)管罰款收入減少17%14%32%16%17%17%19%其他3%3重構(gòu)網(wǎng)絡(luò)防御黑客變得越來越老練，也越來越了解資產(chǎn)的市場價值——無論

是醫(yī)藥知識產(chǎn)權(quán)、工程和產(chǎn)品專利、客戶或其他關(guān)鍵數(shù)據(jù)

——

企業(yè)將繼續(xù)增加其網(wǎng)絡(luò)防御預(yù)算。在總年收入超過300億美元

的受訪者中，近75%表示，今年在網(wǎng)絡(luò)安全方面的投入將超過

1億美元。隨之而來的挑戰(zhàn)即是，如何確保這些投入能夠提高在日益復(fù)雜的混合網(wǎng)絡(luò)

生態(tài)系統(tǒng)中被放大的風(fēng)險的透明度。除獲得技術(shù)和經(jīng)驗外，還要求企業(yè)進(jìn)

行組織變革，以推動從企業(yè)到合作伙伴和第三方供應(yīng)商的有計劃的治理。技術(shù)在發(fā)展，首席信息安全官的職責(zé)也在改變。隨著網(wǎng)絡(luò)在企業(yè)中蔓延滲

透，必須重新定位首席信息安全官在企業(yè)架構(gòu)中的位置。除簡化匯報線外，

增進(jìn)與首席執(zhí)行官的關(guān)系也有利于加強(qiáng)首席信息官對業(yè)務(wù)優(yōu)先事項的理解

并及時捕捉創(chuàng)新

。

首席信息安全官，

這一新的運(yùn)營角色在企業(yè)內(nèi)更高的參

與度，能夠確保網(wǎng)絡(luò)安全團(tuán)隊將必須滿足的要求、技術(shù)方案和控制措施完

全嵌入到創(chuàng)新舉措中。

這不僅在一開始就將風(fēng)險降到最低，

還能將產(chǎn)品和

服務(wù)開發(fā)的整體風(fēng)險降到最低。鑒于網(wǎng)絡(luò)安全對企業(yè)深度文化影響，因此我們今年將調(diào)研范圍從直接監(jiān)管

網(wǎng)絡(luò)安全的負(fù)責(zé)人擴(kuò)大到網(wǎng)絡(luò)安全的最廣大的擁護(hù)群體：

首席執(zhí)行官、首

席財務(wù)官、首席營銷官、首席信息官以及首席信息安全官。他們的觀點(diǎn)彼

此相似，但在不同地區(qū)和行業(yè)還是存在差異。展望未來盡管沒有簡單的組織或技術(shù)解決方案能夠洞察支撐現(xiàn)代企業(yè)日益復(fù)雜的集

成網(wǎng)絡(luò)生態(tài)，但是

，卻有許多組織、文化和運(yùn)營方面的措施，

一旦結(jié)合使

用，可以促使企業(yè)將網(wǎng)絡(luò)安全嵌入其業(yè)務(wù)舉措和企業(yè)文化的核心，

嵌入其

不斷發(fā)展的技術(shù)生態(tài)系統(tǒng)。下一代技術(shù)發(fā)展將繼續(xù)打造更加互聯(lián)互通的世界，

在此次報告中，

我們探

索了其中部分措施并強(qiáng)調(diào)了企業(yè)洞悉現(xiàn)時技術(shù)復(fù)雜性和未來技術(shù)變革能力

的重要性。“我們正處在轉(zhuǎn)型和快速發(fā)展

的時期。企業(yè)面臨的最大兩項

挑戰(zhàn)分別是混合IT架構(gòu)和轉(zhuǎn)型。

這將創(chuàng)造一個更加多元和復(fù)雜

的環(huán)境。如何實現(xiàn)更多的可見

性，尤其是對云部署，是企業(yè)

的當(dāng)務(wù)之急。”—德勤全球網(wǎng)絡(luò)安全服務(wù)領(lǐng)導(dǎo)人

EMILYMOSSBURG摘要4服務(wù)并推向市場。創(chuàng)新型業(yè)務(wù)模式不僅僅是簡單地將現(xiàn)有

流程數(shù)字化，其正在覆蓋供應(yīng)鏈并打造

新穎的客戶體驗。這種轉(zhuǎn)型也使企業(yè)面

臨新的網(wǎng)絡(luò)風(fēng)險，要求企業(yè)采用新的網(wǎng)

絡(luò)戰(zhàn)略保護(hù)不斷發(fā)展的業(yè)務(wù)模式。為管

理這些風(fēng)險，公司高管和董事會成員需

擁抱變革，實施跨業(yè)務(wù)線的有效治理，并演進(jìn)風(fēng)險管理流程以實現(xiàn)對所有新接

入業(yè)務(wù)的端到端可見度洞察，

也包括由第三方承接運(yùn)營的業(yè)務(wù)領(lǐng)域

。

能否成功

取決于企業(yè)高級管理層的承諾，

以及在

網(wǎng)絡(luò)安全方面有效投入的同時，他們理

解網(wǎng)絡(luò)安全風(fēng)險的能力。在被問及如何對其未來一年的數(shù)字化轉(zhuǎn)

型舉措進(jìn)行排序時，

16%的受訪者將數(shù)

據(jù)分析列為首要任務(wù)，15%選擇云技術(shù)，

另有15%選擇新購或升級ERP系統(tǒng)。在今

年的調(diào)研中，

增加了OT/ICS（運(yùn)營技術(shù)

/工業(yè)控制系統(tǒng)）

的問題以及回應(yīng)選項（14%認(rèn)為其是首要任務(wù)），這表明整

個行業(yè)正在努力實現(xiàn)工廠和運(yùn)營技術(shù)環(huán)

境的數(shù)字化和現(xiàn)代化。真正具有顛覆性的是變革的速度和規(guī)模。

新冠疫情爆發(fā)后，整個世界都轉(zhuǎn)向線上活

動，這種顛覆立刻變得更加明顯。隨著企

業(yè)大量員工遠(yuǎn)程協(xié)作，所有企業(yè)部門幾乎

立刻轉(zhuǎn)型。所幸大部分所需的生態(tài)系統(tǒng)，

從云到Shadow

IT

(影子IT設(shè)施)

到

ICS（工業(yè)控制系統(tǒng)），均已就位并準(zhǔn)備好迅

速擴(kuò)張。但不太明顯的是這種轉(zhuǎn)變背后存

在著網(wǎng)絡(luò)風(fēng)險，目前很少有企業(yè)掌握識別

并緩釋網(wǎng)絡(luò)風(fēng)險至可接受水平的的方法。企業(yè)數(shù)字化專項舉措優(yōu)先級排序16%1%其他15%12%區(qū)塊鏈/加密貨幣15%新購或升級ERP

系統(tǒng)14%人工智能/認(rèn)知計算“公司高管和董事會成員的主要目標(biāo)必須是充分了解數(shù)字化轉(zhuǎn)型給公司帶來的實際風(fēng)險，能夠與所有其他類型的風(fēng)險一樣同等地管理此種風(fēng)險?！薄虑诰W(wǎng)絡(luò)安全服務(wù)全球網(wǎng)

絡(luò)戰(zhàn)略及轉(zhuǎn)型領(lǐng)導(dǎo)人MATTHEW

HOLT認(rèn)知網(wǎng)絡(luò)風(fēng)險由于網(wǎng)絡(luò)威脅會影響整個企業(yè)，可能使業(yè)務(wù)癱瘓并迅速摧毀來之不易的聲譽(yù)，因此董事會務(wù)必要以他們能夠理解的方式評估網(wǎng)絡(luò)

風(fēng)險。他們需要將網(wǎng)絡(luò)威脅與其擅長處理的風(fēng)險進(jìn)行比較，熟練

分析網(wǎng)絡(luò)風(fēng)險情況，就像其了解資產(chǎn)負(fù)債表的健康情況一樣。一旦他們能夠理解其所面臨的網(wǎng)絡(luò)風(fēng)險的性質(zhì)和規(guī)模，他們才知

道如何分配資源才能最好地減輕風(fēng)險。此次調(diào)研發(fā)現(xiàn)，41%的受訪者使用網(wǎng)絡(luò)成熟度評估指導(dǎo)網(wǎng)絡(luò)投資

決策；

35%使用風(fēng)險量化工具；

23%稱其依賴于公司網(wǎng)絡(luò)領(lǐng)導(dǎo)層

的經(jīng)驗。當(dāng)被問及對新的和/或現(xiàn)有應(yīng)用程序進(jìn)行風(fēng)險分析/威脅

建模的頻率時，

37%的首席信息官和首席信息安全官表示他們每

季度進(jìn)行一次，

29%每月進(jìn)行一次。盡管這些評估通常屬于首席

信息官和首席信息安全官的職責(zé)范疇，但更多的利益相關(guān)者也務(wù)

必要了解這些工作的相關(guān)性和重要性。數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全及轉(zhuǎn)型挑戰(zhàn)在任何行業(yè)，保持競爭力都需要快速開發(fā)新產(chǎn)品和14%運(yùn)營技術(shù)/工業(yè)控

制系統(tǒng)13%物聯(lián)網(wǎng)數(shù)據(jù)分析云技術(shù)5這在面對首席財務(wù)官時很難說清楚，因為對大筆網(wǎng)絡(luò)安全投資的結(jié)果通常是毫無結(jié)果。這也意味著零網(wǎng)絡(luò)事件是花費(fèi)很多的。那么，首席信息安全官該如何規(guī)劃其網(wǎng)絡(luò)安全預(yù)算？

2019年，

首席信息安全官和首席信息官表示

他們的網(wǎng)絡(luò)預(yù)算平均分配給各個網(wǎng)絡(luò)安全項

目。2021年，

這一情況并未改變，

受訪者再

次表示網(wǎng)絡(luò)安全預(yù)算進(jìn)行了類似的平均分配。

首席高管應(yīng)認(rèn)識到，管理網(wǎng)絡(luò)風(fēng)險沒有一勞永逸的解決方案。因此，

網(wǎng)絡(luò)安全預(yù)算正在增加，著重傾向于

威脅情報

、監(jiān)測和監(jiān)控、網(wǎng)絡(luò)轉(zhuǎn)型以及數(shù)據(jù)

安全。在全球范圍內(nèi)，首席信息安全官和首

席信息官正不斷投資于云上規(guī)模化網(wǎng)絡(luò)解決

方案；網(wǎng)絡(luò)/技術(shù)韌性；人工智能驅(qū)動的威脅

評估和識別，以構(gòu)建企業(yè)的網(wǎng)絡(luò)防線。全速前進(jìn)？面對規(guī)模競爭的壓力，

企業(yè)領(lǐng)導(dǎo)人

通常過于關(guān)注數(shù)字化轉(zhuǎn)型的結(jié)果，

而無法充分考慮網(wǎng)絡(luò)安全的風(fēng)險。

這種情況下，

就算擊敗競爭對手，

也會產(chǎn)生具有明顯盲點(diǎn)的隧道視野

效應(yīng)。隨著網(wǎng)絡(luò)安全問題滲透到從客戶觸點(diǎn)到智能工廠以及員工的遠(yuǎn)程設(shè)備的各

個角落，

IT部門的職責(zé)不再局限于管

理防病毒軟件和密碼安全，

它不僅要

保持網(wǎng)絡(luò)運(yùn)行，

更需要更廣泛、更深

入的思考。目前，首席信息安全官需要獲得授權(quán)去影響所有業(yè)務(wù)線、收集整個企業(yè)范

圍內(nèi)的信息并與董事會和高級管理層構(gòu)建合適的網(wǎng)絡(luò)安全團(tuán)隊期望董事會成員或首席高管成為網(wǎng)

絡(luò)安全專家并不現(xiàn)實

。

但他們卻可

作出招聘決策，組建網(wǎng)絡(luò)團(tuán)隊，幫

助其了解網(wǎng)絡(luò)安全問題，

并以其能

理解的方式提供相關(guān)信息。直接對話，還要投入資源和人力充分保障企業(yè)最重要的戰(zhàn)略重點(diǎn)和資產(chǎn)。13%威脅探測與監(jiān)控12%數(shù)據(jù)安全企業(yè)以近乎平均的網(wǎng)絡(luò)安

全預(yù)算分配應(yīng)對各領(lǐng)域的

風(fēng)險10%事件響應(yīng)/災(zāi)

難恢復(fù)10%云遷移與整合11%應(yīng)用程序安全數(shù)字化轉(zhuǎn)型12%網(wǎng)絡(luò)轉(zhuǎn)型10%物聯(lián)網(wǎng)基礎(chǔ)設(shè)施

安全身份解決

方案11%11%6客戶體驗個性化體驗甚或侵犯權(quán)益？

合乎道德地使用個人數(shù)據(jù)我們都期望個性化、有針對性的體驗，從食品配送到出差旅行和醫(yī)療保健的

一切都能基于我們過往的互動軌跡。我們不希望自己總有被營銷人員跟蹤的

感覺，無休止的硬塞一些我們不感興趣的優(yōu)惠券。公司如何管理客戶數(shù)據(jù)，

在保護(hù)隱私的同時實現(xiàn)在線連接和個人體驗，可能是盈利或虧損，乃至能否長期存續(xù)的差異因素。隱私設(shè)計對于每一個面向客戶的項目，務(wù)必要在項目最初

考慮隱私和安全。反思與客戶建立這種程度的接

觸度對業(yè)務(wù)模式的重要性，并仔細(xì)思考提供恰當(dāng)

服務(wù)水平所需的信息類型以及此等信息誰可以訪

問、如何儲存和保護(hù)方式。在問到首席營銷官是

否能夠衡量并證明對全球數(shù)據(jù)隱私條例的遵守情

況時，絕大多數(shù)受訪者（85%）回答可以。避免數(shù)據(jù)膨脹僅僅收集大量數(shù)據(jù)希望未來有用，這是對資源的浪

費(fèi)并可能導(dǎo)致失敗。若客戶沒有看到明顯的好處

，

他們是反感提供個人信息的。

收集并有效使用個人

數(shù)據(jù)打造真實、個性化和人性化的體驗將推動企業(yè)發(fā)展。但另一方面，所擁有的數(shù)據(jù)越多，面臨的風(fēng)

險也越多。關(guān)鍵在于如何平衡。在被問及是否收集

個人數(shù)據(jù)時，受訪的首席營銷官中有一半表示收集

數(shù)據(jù)打造個性化客戶體驗更為重要，另一半則表示

不收集個人數(shù)據(jù)以防數(shù)據(jù)泄露更為重要。您是否能衡量并證明對全球數(shù)據(jù)隱

私條例的遵守情況？85%是不知道/不確定11%4%否7價值與信任如今，人們意識到其個人數(shù)據(jù)擁有內(nèi)在價值。

他們將交出個人數(shù)據(jù)視為一種投資，并想要

知道有何回報：提供個人數(shù)據(jù)應(yīng)使生活更加

便利。像任何有價值的東西一樣，

個人數(shù)據(jù)

必須安全可靠。同時，人們對機(jī)構(gòu)提出更多

要求，謀求選擇如何及何時使用其個人數(shù)據(jù)。

當(dāng)公司可信的兌現(xiàn)他們的承諾時，

客戶關(guān)系

會加深。客戶行為反映出他們對公司的信任程度。高

信任分?jǐn)?shù)與回頭客密切相關(guān)——當(dāng)客戶認(rèn)為

公司誠實可靠，他們的復(fù)購率會上升540%，

此外，還會在社交媒體上強(qiáng)烈支持。因此，受信任企業(yè)的表現(xiàn)大大優(yōu)于其他企業(yè)，

例如，

受信任企業(yè)在過去一年的抗風(fēng)險能力高出兩倍。根據(jù)我們的調(diào)研，91%的首席營銷官認(rèn)為其

企業(yè)“極好”或“還行”地平衡了收集數(shù)據(jù)

和建立信任。如此高的信任度讓人不禁要問，

其他首席高管也這么認(rèn)為嗎？

這當(dāng)然表明首

席高管間需采用協(xié)同方式，

以確保盲點(diǎn)不會

被忽視。道德監(jiān)管消費(fèi)者越來越愿意購買有綠色環(huán)保產(chǎn)品公司的

產(chǎn)品，并積極響應(yīng)社會問題。同時，他們也擔(dān)

憂公司如何使用其個人數(shù)據(jù)。傳統(tǒng)而言，公司聽從監(jiān)管機(jī)構(gòu)的指引哪些該做

哪些不該做。雖然遵守世界各地的各種法律至

關(guān)重要，但如果無法解釋分享數(shù)據(jù)的目的，僅

僅假設(shè)人們愿意分享個人數(shù)據(jù)已遠(yuǎn)遠(yuǎn)不夠。另

外，解釋要使用通俗易懂的語言。無論公司處于哪個地區(qū)，

那些將信任植入公司DNA并清楚地傳達(dá)愿意遵守客戶隱私權(quán)保護(hù)的

公司將得到客戶的忠實擁護(hù)。

公司應(yīng)編制簡潔明了的用戶協(xié)議，便于用戶訪問、刪除或遷移

其個人數(shù)據(jù)。

當(dāng)客戶看到公司認(rèn)真考慮數(shù)據(jù)政

策并公開數(shù)據(jù)足跡時，他們更愿意與公司分享

數(shù)據(jù)。

您認(rèn)為貴公司營銷部門在收集數(shù)據(jù)和建立客戶信任之間的平衡如何？

51%

40%

,

9%極好

還行

有待提高讓信任成為指明燈闡述您試圖打造的客戶體驗場景，以及為此所需（和不需要）的數(shù)據(jù)。企業(yè)中

的相關(guān)主體都對建立客戶信任負(fù)有責(zé)任。 05如果/當(dāng)發(fā)

生數(shù)據(jù)漏

洞，則利

用這個契

機(jī)從錯誤

中學(xué)習(xí)并

建立更多打破孤島，使信息變

得可訪問

并可在企

業(yè)中自由

流動使用所收集的數(shù)據(jù)，

不收集不

需要的數(shù)

據(jù) 06讓公共

關(guān)系部

門參與

所有工

作04建立無

縫體驗

并堅守

誠信 01以隱私

設(shè)計開

始*Deloitte

HX

TrustID

research

，2020年10月至2021年6月客戶體驗02038打破數(shù)據(jù)孤島首席營銷官和首席體驗官往往先根據(jù)品牌和營銷要求制定決策，最后才與首

席信息安全官確認(rèn)數(shù)據(jù)收集得當(dāng)與否（通常答案為“否”）。不同團(tuán)隊對數(shù)

據(jù)收集持不同看法。一個團(tuán)隊認(rèn)為其工作需要收集盡可能多的數(shù)據(jù)，而另

一

團(tuán)隊認(rèn)為只需收集必要的數(shù)據(jù)并加以保護(hù)。而最佳實踐是協(xié)力研究如何在收

集用以提供無縫體驗所需信息的同時，盡可能地降低公司及其客戶所擔(dān)風(fēng)險。

在利用數(shù)據(jù)將客戶體驗點(diǎn)連接起來之前，企業(yè)應(yīng)有將數(shù)據(jù)孤島鏈接的人才。反之，在設(shè)計隱私政策和溝通機(jī)制時，企業(yè)也應(yīng)引入市場營銷人才。這對品

牌營銷和信息傳遞而言日益重要，

而他們可以提供幫助。您多久參與一次貴企業(yè)的網(wǎng)絡(luò)安全事件響應(yīng)計劃和測試？

關(guān)于數(shù)據(jù)泄露盡管各企業(yè)采取了最高級的防范措施，

數(shù)據(jù)泄露事件

仍層出不窮。明智的做法是警惕數(shù)據(jù)泄露隨時可能發(fā)

生，并未雨綢繆。措手不及只會讓情況變得更糟。您

的事件響應(yīng)態(tài)度將詮釋貴司品牌的聲譽(yù)。

您應(yīng)與您的

網(wǎng)絡(luò)安全團(tuán)隊一起開展事件響應(yīng)計劃演練和數(shù)據(jù)泄露

場景測試，并協(xié)力制定恢復(fù)計劃和相關(guān)溝通策略。根據(jù)我們的調(diào)查，各首席營銷官表示正全力協(xié)作其網(wǎng)

絡(luò)安全團(tuán)隊，

其中46%表示他們會每季度參與一次此

等計劃和測試。全球響應(yīng)程度不一，較之于其他國家，

阿根廷、德國和澳大利亞的首席營銷官與其網(wǎng)絡(luò)安全

團(tuán)隊的協(xié)作程度更高。“客戶不會像企業(yè)那樣從隱私、安全和身份等方面擔(dān)憂其數(shù)據(jù)使用，而是會想‘該公司是否考慮到了我的最大利益？他們使用我的數(shù)據(jù)是對我有利還是對他們有利？他們是否在竭盡所能地保護(hù)我的個人信息？’

”——德勤網(wǎng)絡(luò)安全服務(wù)全球數(shù)據(jù)與隱私保護(hù)領(lǐng)導(dǎo)人ANNIKASPONSELEE當(dāng)發(fā)生泄露事件時，您有義務(wù)將所發(fā)生情形充分告知客戶。清楚地向客戶簡述您所采取的響應(yīng)舉措，

并選擇最恰當(dāng)?shù)男畔鬟f方式：是否有必要由首席執(zhí)行官親自致函，

公司提供禮品或給予其他補(bǔ)償？即使事態(tài)嚴(yán)峻，溝通得宜也可以加深與客戶的關(guān)系。將客戶利益放在首位，處理好棘手情況，可以幫助您的聲譽(yù)迅速反彈，

并取得客

戶更深的信任。澳大利亞巴西中國法國德國印度日本英國75%

25%10%

40%67%33%50%38%

13%62%33%5%100%100%42%

47%33%11%

56%

21%

75%

5%客戶體驗 每半年一次

每年一次 從不參與每季度一次阿根廷不定期美國每次50%9實時訪問控制終于，我們有計算能力和技術(shù)進(jìn)行基于風(fēng)險的訪問控制實時動態(tài)

決策。實時訪問控制不再采用二元法：

允許或拒絕。每個連接請求都將根據(jù)一組上下文因素進(jìn)行驗證，從而得出基于風(fēng)險的訪問決策：?源連接是否來自經(jīng)認(rèn)證和授權(quán)的用戶？?

它是否來自已知且安全的設(shè)備？?該用戶是否經(jīng)常從該地理位置進(jìn)行連接？?

連接時間與該用戶歷史記錄是否一致？?

是否存在其他應(yīng)在授予訪問權(quán)限之前加“當(dāng)前存在一種誤解，即認(rèn)

為采用零信任理念需實施大規(guī)模的‘淘汰和取代’計劃。

其實退一步，戰(zhàn)略性地考慮

采取迭代和增量法來實現(xiàn)你

的目標(biāo)狀態(tài)，這點(diǎn)至關(guān)重要。

”——德勤網(wǎng)絡(luò)安全服務(wù)美國零信任安全架構(gòu)領(lǐng)導(dǎo)人ANDREWRAFLA零信任保護(hù)沒有邊界的網(wǎng)絡(luò)世界在傳統(tǒng)環(huán)境中，IT資源均包含在明確的網(wǎng)絡(luò)邊界內(nèi)。外部流量

不得信任，而所有內(nèi)部流量得以信任。現(xiàn)在呢？

我們生活在

一個高度互聯(lián)的世界，

一切事物的聯(lián)系都日益緊密。對于大

多數(shù)現(xiàn)代企業(yè)而言，

網(wǎng)絡(luò)邊界基本上已經(jīng)消失。72%的受訪者表示，

其所在企業(yè)僅在去年就經(jīng)歷了1至10起網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件。

如今企業(yè)面臨的挑戰(zhàn)是

“如何才能完全消除固有的信任”？這對我們?nèi)绾谓F(xiàn)代安

全架構(gòu)而言是一次顛覆性變革。幸運(yùn)的是，零信任安全架構(gòu)能夠滿足要求。是什么推動了向零信任的轉(zhuǎn)變？數(shù)字化的快如今，移動辦數(shù)字產(chǎn)品和服對更優(yōu)質(zhì)便攻擊方變得更速發(fā)展導(dǎo)致IT公人士日益希務(wù)的發(fā)展轉(zhuǎn)向捷的業(yè)務(wù)協(xié)加老練，能夠的復(fù)雜性和望能夠不受地云端。作和供應(yīng)鏈入侵當(dāng)前的網(wǎng)成本提高。方和設(shè)備限制

開展工作。集成的需求。絡(luò)防御系統(tǒng)。關(guān)于零信任零信任并非一種技術(shù)或單一的解決方案，而是一套基于“持續(xù)驗證，從不輕信”這一

基本原則的安全架構(gòu)策略。其理念是將傳統(tǒng)的基于邊界或“城堡與護(hù)城河式”

的安

全管理方式，轉(zhuǎn)變?yōu)榘葱柙趩蝹€資源與客戶之間構(gòu)建信任的安全管理方式。在零信任

模式下，用戶將基于經(jīng)不斷重新驗證的內(nèi)外部因素建立可信連接。以重視的信號或威脅情報？

04

0201

05

0310

現(xiàn)狀本報告概述了首席信息官和首席信息安全官在企業(yè)網(wǎng)絡(luò)風(fēng)險管理

方面所面臨的挑戰(zhàn)。其中最大的挑戰(zhàn)是轉(zhuǎn)型與IT混合架構(gòu)中的網(wǎng)

絡(luò)安全清潔、

人才限制和影子IT設(shè)施時代的到來。

隨著數(shù)字化轉(zhuǎn)

型加速，這些挑戰(zhàn)只會變得愈發(fā)復(fù)雜。我們必須重新構(gòu)建能夠支

持加速數(shù)字化轉(zhuǎn)型的安全架構(gòu)。現(xiàn)在是行動的時候了！以下哪項是貴企業(yè)在基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全管理方面所面臨的最大挑戰(zhàn)？踏上零信任之旅大多數(shù)企業(yè)已經(jīng)有意或無意地走上了“零信任”之旅，所采用

方法因戰(zhàn)術(shù)、架構(gòu)或戰(zhàn)略的主導(dǎo)程度而不同。雖然零信任適用

于所有行業(yè)和領(lǐng)域，但并不能提供一個

“萬能”的解決方案。

零信任是一項歷時多年的倡議，是一次打破業(yè)務(wù)、IT和各網(wǎng)絡(luò)

領(lǐng)域之間數(shù)據(jù)孤島的變革。任何零信任之旅都將面臨荊棘阻礙，

需要整個企業(yè)給予強(qiáng)有力的領(lǐng)導(dǎo)層支持、投資和認(rèn)同才能確保成功。您需要考量與企業(yè)相關(guān)的業(yè)務(wù)驅(qū)動因素、現(xiàn)有功能和用例。牢

記網(wǎng)絡(luò)安全基本原理至關(guān)重要：您想要保護(hù)哪些資產(chǎn)？這些資

產(chǎn)在哪里？誰（身份）和哪些（設(shè)備）

應(yīng)能夠訪問這些資產(chǎn)，且須滿足哪些條件？要回答這些問題

，企業(yè)需確定執(zhí)行IT資產(chǎn)管

理和數(shù)據(jù)治理功能的優(yōu)先順序，以了解自身資產(chǎn)和數(shù)據(jù)的類別

和重要性……并由此創(chuàng)建訪問控制策略

。然后確定您的目標(biāo)并

將其嵌入端到端策略，

這是實現(xiàn)所期望業(yè)務(wù)成果的最可靠方法。

然而，這并非易事。受訪者紛紛表示“數(shù)據(jù)管理/邊界和復(fù)雜性

加劇”是在企業(yè)在網(wǎng)絡(luò)安全管理中面臨的最大挑戰(zhàn)。零信任不僅僅是一項技術(shù)解決方案，更是一次文化變革。其對

整個企業(yè)的影響不可小覷。溝通、員工專業(yè)培訓(xùn)、認(rèn)知和運(yùn)營

流程調(diào)整等軟因素是取得成功的關(guān)鍵要素。總而言之，此等計

劃需要結(jié)合所有利益相關(guān)者的承諾以制定與業(yè)務(wù)契合的戰(zhàn)略，

以及強(qiáng)有力的領(lǐng)導(dǎo)、專用架構(gòu)、技術(shù)工作組和可落地試點(diǎn)計劃

的支持。前行之路科技巨頭正引領(lǐng)零信任的成熟度之旅，并應(yīng)用這些原則開發(fā)、運(yùn)營和提供安全服務(wù)。其他領(lǐng)先企業(yè)正采用零信任戰(zhàn)略以支持

業(yè)務(wù)優(yōu)先事項、數(shù)字化轉(zhuǎn)型和企業(yè)風(fēng)險戰(zhàn)略。在對自身架構(gòu)進(jìn)

行現(xiàn)代化升級時，了解領(lǐng)先企業(yè)如何創(chuàng)新及實現(xiàn)規(guī)?；渴鹨?/p>

有助于您加速數(shù)字化轉(zhuǎn)型。毋庸置疑，變革已然開始。您越早

開始向零信任過渡，此次旅途就越安全。最好是坐在駕駛座里，

決定您的目的地……實現(xiàn)零信任正當(dāng)時宜。26%

網(wǎng)絡(luò)衛(wèi)生轉(zhuǎn)型與混合IT20%

安全人才限制網(wǎng)絡(luò)巨大優(yōu)勢通過降低運(yùn)營復(fù)雜性和簡化生

態(tài)系統(tǒng)集成，它可以：?

改善客戶體驗?

提高業(yè)務(wù)敏捷性?

提升業(yè)務(wù)彈性?

減少威脅面?實現(xiàn)成本節(jié)約?優(yōu)化與業(yè)務(wù)合作伙伴的協(xié)作?

加速上云之旅“是時候充分利用零信任原則，構(gòu)建能夠跟上

并實現(xiàn)數(shù)字化轉(zhuǎn)型的現(xiàn)

代安全架構(gòu)了。

”——德勤網(wǎng)絡(luò)安全服務(wù)全球零信任安全架構(gòu)領(lǐng)導(dǎo)人MARIUSVON

SPRETI41%零信任13%影子IT11連接新興技術(shù)領(lǐng)域大眾目光往往聚焦于量子計算、

5G和數(shù)字孿生等前

沿技術(shù)，但在制造業(yè)應(yīng)用了數(shù)十年的既有技術(shù)（如

運(yùn)營技術(shù)）也屬于新興技術(shù)范疇。無論一項技術(shù)是全新問世或是部署已久，

“新興”是指它與互聯(lián)網(wǎng)的連接，

也指現(xiàn)實世界與數(shù)字世界以幾乎任何可以想象到的方式實現(xiàn)互聯(lián)。我們正

見證一場徹底顛覆醫(yī)療設(shè)備、交通運(yùn)輸及農(nóng)業(yè)等各個行業(yè)的數(shù)字化轉(zhuǎn)型。數(shù)字化轉(zhuǎn)型不僅改變了幾乎所有事物的制造及使用方式，也帶來了前所未有的安全風(fēng)險。首席信息官和首席信息安全官對未來三年將推動其采用新興技術(shù)的因素進(jìn)

行了排名，提升安全能力位居榜首（64%），

其次是加強(qiáng)數(shù)據(jù)隱私能力（59%）和合規(guī)遵從能力（50%）。以下哪項因素將推動您采用新興技術(shù)？“許多企業(yè)忽視了連接其環(huán)境中現(xiàn)有技術(shù)設(shè)備

所帶來的風(fēng)險。整個生

態(tài)系統(tǒng)的受攻擊面正在增加。

”——德勤網(wǎng)絡(luò)安全服務(wù)全球網(wǎng)絡(luò)新

興技術(shù)領(lǐng)導(dǎo)人DANASPATARU加強(qiáng)隱私能力合規(guī)遵從能力內(nèi)部業(yè)務(wù)考量64%59%50%45%31%*

受訪者可多選適用答案，

因此各選項的百分比加總超過100%。服務(wù)和功能的可用性新興技術(shù)提升安全能力12雖不見，但相連小型全數(shù)字化實體仍可從單一視角監(jiān)控網(wǎng)絡(luò)風(fēng)險。但在短期內(nèi)，此舉對于擁有復(fù)雜互聯(lián)生態(tài)系統(tǒng)的大型實體而言已不可取。對此，

解決辦法是讓各方明確其權(quán)限下運(yùn)營流程的安全責(zé)任和問責(zé)機(jī)制。

即使沒有整體視角，

但當(dāng)各方均高效負(fù)責(zé)其生態(tài)系統(tǒng)的一環(huán)，

提

高其安全性，則整體風(fēng)險自然降低。各企業(yè)達(dá)成整體安全目標(biāo)的速度因技術(shù)類型及其復(fù)雜性而異，

但

核心理念是有效涵蓋安全基本要素并安全地共享信息?，F(xiàn)在，

解

決辦法很簡單。從長遠(yuǎn)來看，企業(yè)應(yīng)牢記，各區(qū)域之間若能保持

流程一致，將大大提高效率和效果。越早達(dá)成一致性，就能越快

達(dá)到更高的安全成熟度。集中式和分散式模型均能奏效，

但它們

最終應(yīng)該合并為一個綜合網(wǎng)絡(luò)風(fēng)險視圖。業(yè)務(wù)核心從治理角度來看，新興技術(shù)?；?qū)⑹謴?fù)雜，應(yīng)委任安全事宜的

負(fù)責(zé)人

，得到董事會的認(rèn)可和支持，不僅有助于獲取和管理技術(shù)，

還有助于建立正確的戰(zhàn)略合作伙伴關(guān)系。與傳統(tǒng)IT不同的是，新

興技術(shù)與核心業(yè)務(wù)緊密相連

，得到高管支持將變得更加容易。舉例而言，如果一家制造企業(yè)的OT設(shè)施遭遇網(wǎng)絡(luò)攻擊，人們很容

易看出該問題將很快超出首席信息安全官的解決范疇。隨著生產(chǎn)

陷入停滯，運(yùn)營主管即刻便感到擔(dān)憂，

收入損失會令首席財務(wù)官

和首席執(zhí)行官感到頭疼，負(fù)面報導(dǎo)亦會令首席營銷官感到困擾等

等。安全即資產(chǎn)互聯(lián)互通不斷加速傳統(tǒng)上與互聯(lián)網(wǎng)隔絕的運(yùn)營技術(shù)（OT）領(lǐng)域最近經(jīng)歷了一波又一波的勒索軟件

攻擊。隨著越來越多的公司選擇遠(yuǎn)程管理廠房和設(shè)備，此等攻擊對生產(chǎn)的直接

影響引起了人們對互聯(lián)脆弱性的關(guān)注，而新冠疫情更是使得這一情況加劇。重要的是要清楚

，所有的互聯(lián)生態(tài)系統(tǒng)——醫(yī)療設(shè)備、汽車乃至整個城市——都

有類似的風(fēng)險特征。醫(yī)療設(shè)備可能是基于醫(yī)院原有的內(nèi)部平臺而造，而現(xiàn)在借助

互聯(lián)網(wǎng)便可在家使用。經(jīng)互聯(lián)賦能的電動汽車有望在全球范圍內(nèi)迅速取代化石燃

料汽車。互聯(lián)汽車需要分散于各地的眾多供應(yīng)商提供零部件，

但這些供應(yīng)商可能

并未在其零部件中內(nèi)置安全機(jī)制。隨著城市大力推動服務(wù)與關(guān)鍵基礎(chǔ)設(shè)施互聯(lián)，

其與云服務(wù)供應(yīng)商、平臺所有者等眾多第三方合作亦是勢在必行。上述情形均會

導(dǎo)致互聯(lián)生態(tài)系統(tǒng)的受攻擊面增大、風(fēng)險倍增以及責(zé)任不明等情況發(fā)生。新興技術(shù)

的四大支柱上述情況說明，

新興技術(shù)使企業(yè)業(yè)務(wù)管理者對網(wǎng)絡(luò)安全的影響顯著提升。

當(dāng)前市場環(huán)境日益互聯(lián)，若首席執(zhí)行官想要提升產(chǎn)品銷量，

構(gòu)建安全機(jī)制可令其產(chǎn)品更

具競爭力。企業(yè)應(yīng)將對安全機(jī)制的關(guān)注重點(diǎn)從成本增加轉(zhuǎn)向價值創(chuàng)造，

這將開啟

如何減少業(yè)務(wù)中斷以推進(jìn)改進(jìn)流程的對話。當(dāng)然，

安全機(jī)制是必要的，盡管它是

討論基礎(chǔ)，但它也是次要論題。“盡管人們普遍認(rèn)

為，近期發(fā)生的重

大網(wǎng)絡(luò)攻擊事件是

復(fù)雜性日益提高所導(dǎo)致的結(jié)果，

但實際上大多數(shù)網(wǎng)絡(luò)攻

擊的發(fā)生都是由于

缺乏基本的安全控

制和網(wǎng)絡(luò)安全清潔計劃。

這并不復(fù)雜。

”——德勤網(wǎng)絡(luò)安全服務(wù)全球網(wǎng)絡(luò)新興技術(shù)領(lǐng)導(dǎo)人DANASPATARU德勤網(wǎng)絡(luò)專注于以下

新興技術(shù)特定領(lǐng)域：這四大領(lǐng)域涵蓋了我

們在實踐中遇到的絕大多數(shù)場景運(yùn)營技術(shù)

（OT）5G網(wǎng)絡(luò)安全新興技術(shù)互聯(lián)產(chǎn)品智慧城市13沒有萬能的解決方案董事會、管理層以及網(wǎng)絡(luò)風(fēng)險管理者紛紛表示，網(wǎng)絡(luò)風(fēng)

險一直是各行業(yè)中排名前三的企業(yè)風(fēng)險。所有行業(yè)愈發(fā)

意識到知識產(chǎn)權(quán)和客戶信任的脆弱性。各行各業(yè)正紛紛踏上數(shù)字化轉(zhuǎn)型之路，而圍繞網(wǎng)絡(luò)安全和諸多地域及其他因

素的監(jiān)管成熟度仍有參差。雖然疫情期間涌現(xiàn)出許多共同主題，如供應(yīng)鏈安

全和遠(yuǎn)程辦公加速了對零信任安全架構(gòu)的需求，但目前尚無可適用于所有行

業(yè)解決網(wǎng)絡(luò)挑戰(zhàn)的萬能解決方案。無論企業(yè)路在何方，保持對某些日益關(guān)鍵的領(lǐng)域的關(guān)注至關(guān)重要。為應(yīng)對無

處不在的網(wǎng)絡(luò)威脅，許多政府正加大監(jiān)管力度，部署前沿安全措施已是勢在

必行。在法規(guī)還沒有涉及的領(lǐng)域，技術(shù)的日益互聯(lián)和個性化也迫使生態(tài)系統(tǒng)

在安全基礎(chǔ)上重新構(gòu)建。最后，意識到所有行業(yè)的脆弱性可以促進(jìn)信息共享——適應(yīng)和學(xué)習(xí)其他行業(yè)的做法將變得愈發(fā)重要。監(jiān)管激增網(wǎng)絡(luò)攻擊已經(jīng)導(dǎo)致某些行業(yè)的監(jiān)管部門頻繁出臺新政。2021年5月，美國東

海岸最大的成品油管道運(yùn)營商Colonial

Pipeline遭遇勒索軟件攻擊，該事件

催生出一項要求能源公司加強(qiáng)網(wǎng)絡(luò)安全的新行政指令。從Colonial

Pipeline遭遇

勒索軟件攻擊事件中汲

取的教訓(xùn)主動制定危機(jī)應(yīng)對計劃。為包括網(wǎng)絡(luò)事件在內(nèi)的技

術(shù)中斷情況做好準(zhǔn)備：?

確認(rèn)可能成為攻擊目標(biāo)且對運(yùn)營至關(guān)重要的資產(chǎn)?

對關(guān)鍵系統(tǒng)和運(yùn)營技術(shù)（OT）

網(wǎng)絡(luò)進(jìn)行劃分?

加速采用零信任安全架構(gòu)?

增加業(yè)務(wù)彈性：將安全響應(yīng)與安全防御及檢測并

重主動出擊。主動威脅追蹤、機(jī)器學(xué)習(xí)和自我修復(fù)系

統(tǒng)等現(xiàn)代安全原則可助力您主動出擊，對抗網(wǎng)絡(luò)安全威脅。在能源資源和工業(yè)（ER&I）領(lǐng)域，升級網(wǎng)絡(luò)防御的緊迫壓力與其他長期行政指令（如脫碳）并存。例如：由于時間緊迫，

美國近期修訂的2035年目標(biāo)——能源領(lǐng)域的轉(zhuǎn)型——將利用大規(guī)模的數(shù)字化加以實現(xiàn)。這包括

轉(zhuǎn)向5G和部署一系列互聯(lián)技術(shù)，而這些技術(shù)本身也對網(wǎng)絡(luò)安全提出更高

要求?！皩︻I(lǐng)導(dǎo)層而言，在計變革之初便將網(wǎng)絡(luò)安全入考量范圍至關(guān)重要。些數(shù)據(jù)和資產(chǎn)是變革的部分？企業(yè)需要哪些技來保護(hù)它們？

”——德勤全球客戶與行業(yè)領(lǐng)導(dǎo)人

SIMONOWEN著眼于行業(yè)網(wǎng)絡(luò)安全14著眼于行業(yè)網(wǎng)絡(luò)安全個性化服務(wù)越多，風(fēng)險越高在生命科學(xué)與醫(yī)療領(lǐng)域，一種與患者直接交互的新型醫(yī)療服務(wù)模式正推動加強(qiáng)網(wǎng)絡(luò)安全

的需求。醫(yī)療服務(wù)提供商為監(jiān)測患者的治療進(jìn)展，以及生命科學(xué)公司為提供以患者為中

心的服務(wù)，他們使用遠(yuǎn)程設(shè)備和應(yīng)用程序以改善健康結(jié)果，

此舉引發(fā)了人們對數(shù)據(jù)和隱

私保護(hù)的擔(dān)憂。這種對應(yīng)用程序的監(jiān)控和使用可以快速積累匯集數(shù)據(jù)，賦能企業(yè)創(chuàng)建基于云的數(shù)據(jù)湖以收

集有用信息，從而優(yōu)化研發(fā)、治療與支持以及產(chǎn)品發(fā)布流程并提升患者便利性。這些技術(shù)進(jìn)步均可能帶來網(wǎng)絡(luò)安全威脅。生態(tài)系統(tǒng)的設(shè)計和構(gòu)建需要考慮到數(shù)據(jù)的保護(hù)、加密、匿

名化處理以及防止泄露?？傮w而言，比起應(yīng)對各地區(qū)不同監(jiān)管要求這一難題，全球生命科學(xué)公司更擔(dān)心遭遇網(wǎng)絡(luò)

攻擊

。對于企業(yè)而言，與客戶溝通過程中建立并維持客戶信任非常重要；對于業(yè)務(wù)而言，保護(hù)知識產(chǎn)權(quán)亦是至關(guān)重要。知識共享無處不在的網(wǎng)絡(luò)威脅和疫情期間暴露出來的安全隱患改變了行內(nèi)的信息共享方式。盡管

遭遇網(wǎng)絡(luò)攻擊事件必然會導(dǎo)致聲譽(yù)受損，但有企業(yè)認(rèn)為主動公開事件詳情也具有價值和

意義，可以補(bǔ)救并修復(fù)品牌聲譽(yù)。企業(yè)已經(jīng)意識到，閉口不談網(wǎng)絡(luò)安全不僅不會帶來競

爭優(yōu)勢，甚至還可能危及整個行業(yè)。各國政府已經(jīng)認(rèn)識到采取集體防御的重要性，

并幫助建立了旨在共享信息的公共的/私人

的合作伙伴關(guān)系（如美國成立了信息共享與分析中心(ISACs)）。其次，各大企業(yè)首席信

息安全官期望相互學(xué)習(xí)。雖然他們更多是與同行交流，

但無論是金融服務(wù)、石油天然氣

行業(yè)，還是生命科學(xué)、制造業(yè)等行業(yè)，

均開始出現(xiàn)跨行業(yè)交流。此外，擁有豐富的經(jīng)驗

的首席信息安全官們也經(jīng)常從一個行業(yè)投身到另一行業(yè)。我們希望在不久的將來看到更

多跨行業(yè)和地域的交流與分享。“無論生命科學(xué)機(jī)構(gòu)

、

大型銀行還是能源

公司，

其真正面臨的難題是選擇關(guān)注重點(diǎn)。

絕對安全是不切實際的幻想

。

領(lǐng)導(dǎo)層必須

就如何劃分資產(chǎn)的保護(hù)優(yōu)先級做出基于風(fēng)

險的明智決策，

并果斷行事，

然后不斷地重新評估這些決策，

因為企業(yè)內(nèi)外的環(huán)境

并非一成不變

。

”——德勤全球客戶與行業(yè)領(lǐng)導(dǎo)人SIMON

OWEN15世界風(fēng)云變幻。

混合辦公模式正在成為“新常態(tài)”，

云部署對各大企業(yè)而言日益

重要，

設(shè)備和應(yīng)用程序互聯(lián)互通不斷加速。除了在網(wǎng)絡(luò)邊界不明的生態(tài)系統(tǒng)中爭取更大的可見度，我們別無選擇。無論是業(yè)務(wù)中斷、聲譽(yù)受損還是股票估值縮水，所引致的

風(fēng)險都過高。正如復(fù)雜性是問題所在，解決方案也絕不簡單。責(zé)任上達(dá)顯而易見的是，未將網(wǎng)絡(luò)安全納入業(yè)務(wù)的企業(yè)可能錯過數(shù)字化轉(zhuǎn)

型帶來的機(jī)遇，也更易遭受攻擊。對此，我們關(guān)鍵建議就是充分賦權(quán)首席信息安全官，這意味著其直接匯報對象為首席執(zhí)行官。此外，企業(yè)還必須確保首席信息安全官職責(zé)能夠覆蓋所有業(yè)務(wù)線。反之，首席信息安全官亦須以董事會易

于理解的方式提供風(fēng)險評估報告。但是，

首席信息安全官不僅僅是匯報職責(zé)上達(dá)，其還需自始參與新業(yè)務(wù)的發(fā)展，以確保落地的系統(tǒng)實施適當(dāng)?shù)木W(wǎng)絡(luò)安全治理。跨越孤島既然技術(shù)支持企業(yè)內(nèi)部信息可以自由流動，我們也應(yīng)展開信息交流。打破根深蒂固的數(shù)據(jù)孤島，使各業(yè)務(wù)部門在網(wǎng)絡(luò)安全領(lǐng)域展開合作

至關(guān)重要。推動戰(zhàn)略部、產(chǎn)品開發(fā)部、合規(guī)部、信息技術(shù)部以及營

銷部召開會議，從而在各項新計劃伊始便了解所需的數(shù)據(jù)資產(chǎn)以及

相關(guān)的安全和隱私要求

。

在計劃之初便考慮到安全和隱私問題，防患于未然，也是避免后續(xù)問題的最佳做法。16結(jié)語深度洞見隨著數(shù)字化轉(zhuǎn)型滲透到企業(yè)方方面面，

企業(yè)愈發(fā)清晰地

意識到，其雖能推動人才和流程創(chuàng)新，

卻也能放大和傳

播風(fēng)險。在企業(yè)被迫應(yīng)對前所未有的全球挑戰(zhàn)之際，德

勤所開展的網(wǎng)絡(luò)安全調(diào)研具有一定的借鑒意義。結(jié)語實施零信任安全架構(gòu)技術(shù)和組織復(fù)雜度高是既有事實。依靠過時方法驗證用戶和其他實體之舉實不明智，

很

容易被黑客利用并帶來可怕后果。幸運(yùn)的是，現(xiàn)在我們可以將風(fēng)險持續(xù)評估能力和訪問

控制實時審查能力集成于復(fù)雜的安全架構(gòu)。零信任既是一種技術(shù)創(chuàng)新，

也是一種文化創(chuàng)新。改變?nèi)祟愖陨硇袨殡x不開溝通與培訓(xùn)。

零信任能夠確保創(chuàng)新及業(yè)務(wù)戰(zhàn)略得以安全實施，

更令每個人都意識到其在推進(jìn)數(shù)字化

轉(zhuǎn)型方面可帶來持續(xù)益處。安全即資產(chǎn)數(shù)據(jù)是數(shù)字化轉(zhuǎn)型的命脈。認(rèn)識到數(shù)據(jù)的功能性（即業(yè)務(wù)成果和客戶體驗的驅(qū)動力）

固然重要，但了解其如何創(chuàng)造長期價值也同樣重要。具有出色數(shù)據(jù)治理、全面隱私政

策和強(qiáng)健的安全機(jī)制的公司更能贏得客戶和業(yè)務(wù)合作伙伴的信任。盡管企業(yè)很容易將

網(wǎng)絡(luò)安全預(yù)算僅僅看作一項開支，但在高度互聯(lián)的今天，

其對品牌和股東價值保值有

著舉足輕重的影響。實施安全管理并非一個項目，

而是一個謹(jǐn)慎處理數(shù)據(jù)、通訊和端

到端業(yè)務(wù)交互的承諾。知識共享雖然網(wǎng)絡(luò)安全管理并無萬能的解決方案，但企業(yè)在數(shù)字化轉(zhuǎn)型道路上面臨的許多威脅

具有共通性

。

隨著網(wǎng)絡(luò)攻擊日益常態(tài)化，各個行業(yè)或地區(qū)無一能夠幸免，但我們可就

如何在事件發(fā)生時進(jìn)行有效處理相互學(xué)習(xí)

。

因此，與同行分享經(jīng)驗和知識是全面改善

安全環(huán)境的關(guān)鍵。風(fēng)險與回報無論您的網(wǎng)絡(luò)安全預(yù)算多或少，

采用上述方法將有助于您更高效地利用自身資源。人們往往過于關(guān)注轉(zhuǎn)型所帶來的復(fù)雜性和大量風(fēng)險，其實認(rèn)識到其益處同樣重要。當(dāng)您

獲得轉(zhuǎn)型的全局視角，體驗到混合IT架構(gòu)為企業(yè)帶來的敏捷性，贏得客戶信任并從容應(yīng)

對復(fù)雜性時，您將收獲更大的回報。17薛梓源德勤中國網(wǎng)絡(luò)安全咨詢主管合伙人

電話:+86

1085207315電郵:tonxue@東區(qū)馮曄德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

21

61411575電郵:stefeng@江瑋德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

21

23127088電郵:davidjiang@deloitte.com.cn石沛恩德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

21

33138366電郵:

nathanshih@張震德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

21

61411505電郵:zhzhang@deloitte.com.cn閻光德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

21

23166282電郵:alexyan@北區(qū)薛梓源德勤中國網(wǎng)絡(luò)安全咨詢主管合伙人

電話:+86

1085207315電郵:tonxue@何曉明德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

1085125312電郵:the@肖騰飛德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

1085125858電郵:frankxiao@deloitte.com.cn林松祥德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

1085124888電郵:chaphylin@deloitte.com.cn南區(qū)大陸何微德勤中國網(wǎng)絡(luò)安全咨詢合伙人電話:+86

755

33538697電郵:vhe@deloitte.com.cn南區(qū)香港和澳門郭儀雅德勤中國網(wǎng)絡(luò)安全咨詢合伙人

電話:+852

28526304電郵:evakwok@deloitte.com.hkKukreja,

Puneet德勤中國網(wǎng)絡(luò)安全咨詢合伙人

電話:+852

27408898電郵:

puneetkukreja@.hk鄭若琳德勤中國網(wǎng)絡(luò)安全咨詢合伙人

電話:+852

22387119電郵:eicheng@deloitte.com.hk林普毅德勤中國網(wǎng)絡(luò)安全咨詢合伙人

電話:+852

21095353電郵:

bradlin@deloitte.com.hk王凱民德勤中國網(wǎng)絡(luò)安全咨詢合伙人

電話:+852

22387908電郵:

harrywang@.hk德勤中國網(wǎng)絡(luò)安全咨詢領(lǐng)導(dǎo)人18關(guān)於德勤Deloitte

（“德勤”）泛指一家或多家德勤有限公司，

以及其全球成員所網(wǎng)路和它們的關(guān)聯(lián)機(jī)構(gòu)（統(tǒng)稱為“德勤組織”）

。德勤有限公司（又稱“德勤全球”）

及其每一家成員所和它們的關(guān)聯(lián)機(jī)構(gòu)均為具有獨(dú)立

法律地位的法律實體，相互之間不因協(xié)力廠商而承擔(dān)任何責(zé)任或約束對方。德勤有限公司及其每一家成員所和它們的關(guān)聯(lián)機(jī)構(gòu)僅對自身行為及遺漏承擔(dān)責(zé)任，

而對相互的行為及遺漏不承擔(dān)任何法律責(zé)任。德勤

有限公司並不向客戶提供服務(wù)。請參閱

www.deloitte.com/cn/about

瞭解更多資訊。德勤是全球領(lǐng)先的專業(yè)服務(wù)機(jī)構(gòu)，為客戶提供審計及鑒證、管理諮詢、財務(wù)諮詢、風(fēng)險諮詢、稅務(wù)及相關(guān)服務(wù)。德勤透過遍及全球逾150個國家與地區(qū)的成員所網(wǎng)路及關(guān)聯(lián)機(jī)構(gòu)（統(tǒng)稱為“德勤組織”）

為財富

全球500強(qiáng)企業(yè)中約80%的企業(yè)提供專業(yè)服務(wù)。敬請訪問www.deloitte.com/cn/about

，瞭解德勤全球約345,000名專業(yè)人員致力成就不凡的更多資訊。德勤亞太有限公司（即一家擔(dān)保有限公司）是德勤有限公司的成員所。德勤亞太有限公司的每一家成員及其關(guān)聯(lián)機(jī)構(gòu)均為具有獨(dú)立法律地位的法律實體，在亞太地區(qū)超過100座城市提供專業(yè)服務(wù)，

包括奧克蘭、

曼谷、北京、河內(nèi)、香港、雅加達(dá)、吉隆玻、馬尼拉、墨爾本、大阪、首爾、上海、新加坡、悉尼、臺北和東京。德勤於1917年在上海設(shè)立辦事處，德勤品牌由此進(jìn)入中國。如今，德勤中國為中國本地和在華的跨國及高增長企業(yè)客戶提供全面的審計及鑒證、管理諮詢、財務(wù)諮詢、風(fēng)險諮詢和稅務(wù)服務(wù)。德勤中國持續(xù)致力

為中國會計準(zhǔn)則、稅務(wù)制度及專業(yè)人才培養(yǎng)作出重要貢獻(xiàn)。德勤中國是一家中國本土成立的專業(yè)服務(wù)機(jī)構(gòu)，

由德勤中國的合夥人所擁有。敬請訪問

www2.deloitte.com\cn\zh\social-media，通過我們的社交媒體

平臺，瞭解德勤在中國市場成就不凡的更多資訊。本通訊中所含內(nèi)容乃一般性資訊，任何德勤有限公司、其全球成員所網(wǎng)路或它們的關(guān)聯(lián)機(jī)構(gòu)（統(tǒng)稱為“德勤組織”）並不因此構(gòu)成提供任何專業(yè)建議或服務(wù)。在作出任何可能影響您的財務(wù)或業(yè)務(wù)的決策或採取

任何相關(guān)行動前，您應(yīng)諮詢合資格的專業(yè)顧問。我們並未對本通訊所含資訊的準(zhǔn)確性或完整性作出任何（明示或暗示）陳述、保證或承諾。任何德勤有限公司、其成員所、關(guān)聯(lián)機(jī)構(gòu)、員工或代理方均不對任何方因使用本通訊而直接或間接導(dǎo)致的任何損失或

損害承擔(dān)責(zé)任。德勤有限公司及其每一家成員所和它們的關(guān)聯(lián)機(jī)構(gòu)均為具有獨(dú)立法律地位的法律實體。?

2021

。欲瞭解更多資訊，

請聯(lián)繫德勤中國。Deloitte.

德勤Deloitte.

德勤2021

Futureof

Cyber

SurveyDeloitteCyber|

Empoweringyour

peopleforthefutureEXECUTIVE

SUMMARYGainingvisibility

into

complexityDIGITALTRANSFORMATIONCyberandthechallenge

oftransformationCUSTOMER

EXPERIENCEIndividualized

or

intrusive?

Using

personal

dataethicallyZEROTRUSTSecuringaworldwithout

boundariesEMERGINGTECHNOLOGIESConnectingtheemergingtechnologies

spectrumINDUSTRY-CENTRIC

CYBERNot

onesize

fits

allCONCLUSIONAclear

line

of

sightMethodologyThe

Deloitte2021Futureof

CyberSurvey,conducted

by

both

Deloitte

andWakefield

Research,

polled

nearly

600C-

level

executives

aboutcybersecurity

atcompanieswith

at

least

$500

million

inannual

revenue

includingnearly

200

CISOs,

100

CIOs,

100

CEOs,

100

CFOs,and

100

CMOs

betweenJune

6–August

24,

2021

using

anonline

survey.23—45—67—910—1112—1314—1516—17Future

of

Cyber

SurveyThestate

of

playIn

orderto

remain

competitive,

today’s

enterprises

runan

arrayoftechnologies

that

combine

on-premisesinfrastructure

with

hybrid

information

technology

(IT)and

an

assortment

ofthird-party

cloud

providers.These

sophisticated

integrated

environments

require

newforms

of

management

distinct

fromtraditional

in-house

ITarchitectures.

Aclear

plurality

ofthe

CIOsand

CISOswe

surveyed

(41%)

acknowledgethattransformation

and

gaining

visibility

across

increasingly

complex

hybridecosystems

isthe

greatest

challenge

theyface.Inaddition

tothe

pressures

ofthe

marketplace,thepandemic

heralds

the

arrival

of

remote

workas

apermanent

feature

of

employment.

Organizations,

large

and

small,

have

rapidly

transformed

workenvironments

and

in

doing

sodramatically

increased

their

attacksurfaces,

often

with

little

to

notimeto

consider

security

implications.

Not

surprisingly,

there’s

been

an

uptick

inattacks,

with

69%

of

respondents

reporting

an

increase

or

significant

increase

inthreats

totheir

business

betweenearly

2020

and

May

2021

–

this

was

consistent

acrossindustries

andgeographies.

32%

of

ourglobal

C-suite

respondents

indicated

operational

disruption

wasthe

greatest

impact,

followed

by

intellectual

property

(IP)theft

(22%)

and

drops

in

share

price

(19%)Never

trust.Always

verify.When

asked,

What

arethe

greatest

barrierstomanaging

cybersecurity

acrosstheir

organizations?Respondents

ranked

data

management

traversingcomplex

perimetersthe

highest

(44%),

followed

by

a

needfor

better

prioritization

of

cyber

risk

acrosstheenterprise

(31%).

Fortunately,

it’s

now

feasible

todeploy

ZeroTrust

architecture,

which

replaces

simple

verification

of

entities

with

real-time

access

decisions

based

on

continuous

risk

assessment.

Whenimplemented

it

is

an

effective

response

tothedissolution

of

perimeters

intoday’s

ecosystems,recognizing

that

everycomponent

in

an

architecture

is

vulnerable

and

every

layer

needs

protection.Made

possible

by

recent

advances

in

computational

power,ZeroTrust’s

emergence

and

adoptionpoint

to

wider

cultural

shifts

in

organizations

that

reveal

how

the

role

of

cyber

is

changing

and

its

importanceelevating.

Morethan

atechnological

fix,

ZeroTrust’s

set

of

interwoven

solutions

provide

visibility

intoadversarial

activity,

associated

business

risk,and

insight

into

changes

neededto

reduce

the

risk.This

insightdemands

coordination

between

ITand

business

lines

as

wellas

enterprise-wide

education

andtrainingEXECUTIVESUMMARYGainingvisibility

intocomplexityToday,wefindourselves

livingthe

reality

ofacybereverywhere

world

where

digital

transformation

initiatives

continuetoaccelerate

amidthe

emergence

ofapervasive

remoteworkforce.

Itoftenappearsas

iftechnological

innovationand

theculture

it

producesaresurging

ahead

ofourabilityto

understand,

measureand

respondtoexponentially

increasing

risk.Despite

the

elevated

risk

environment,

digitaltransformation

and

migration

tothe

cloud

continue

to

be

priorities

for

our

clients.

Morethan

simply

improvingefficiency,

as

data

flows

across

organizations

it

drives

new

ways

ofvalue

creation,

connecting

lines

of

business

andusing

customer

data

to

enrich

experiences.

Our

survey

data

underscores

this

migration—94%

of

CFO

respondentsindicated

they

areconsidering

moving

theirfinancialsystems

or

enterprise

resource

planning

(ERP)

tothe

cloud.600C-level

executives$500MMinimum

revenueHeadquartered40%Americas28%

EMEA32%Asia

PacificBiggestcyber

incident

impacts*22%

intellectualregulatoryfinesreputationalloss*Respondents

wereaskedtoselectuptotworesponses,

so

percentages

will

notadd

upto100%.16%

Negative

talentretentionimpact19%

Drop

inshare

price17%

Change

in

leadershipLost

of

rust/negativebrandOperational

disruption3%

OtherLoss

ofrevenuepropertytheft17%14%32%17%3RealigningyourdefensesAs

hackersgrow

moresophisticated

and

understand

the

market

valueofassets—whether

it’s

pharmaceutical

IP,engineering

and

product

patents,

customer

orother

criticaldata—organizations

continuetostep

uptheir

cyber

defense

budgets.Almost

75%

of

respondents

who

had

morethan

$30B

in

revenue

saidtheywillspend

morethan$100Moncybersecuritythisyear.The

challenge

istoensurethisexpenditure

results

ingreatervisi