畢馬威：2023網絡安全重要趨勢報告（27頁）.pdf

《畢馬威：2023網絡安全重要趨勢報告（27頁）.pdf》由會員分享，可在線閱讀，更多相關《畢馬威：2023網絡安全重要趨勢報告（27頁）.pdf（27頁珍藏版）》請在三個皮匠報告上搜索。

1、2023網絡安全重要趨勢重要脈絡畢馬威國際 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。22023網絡安全重要趨勢Akhilesh Tuteja網絡安全全球主管畢馬威國際數據和數字化基礎設施建設已漸漸成為未來發展的重要支柱。新冠疫情使全球數字化轉型的進程大大加快，并使其成為焦點。全球各經濟體和各行各業的供應鏈正經歷著顛覆性變革，企業亟需重新審視自身對供應鏈上下游的產品、服務和數字化基礎設施的依賴程度。人工智能、區塊鏈

2、、生物識別、物聯網和虛擬現實等突破性技術有望塑造我們的未來，但這些技術會帶來新的安全、隱私和道德挑戰，甚至可能使人們對數字化的發展進程提出質疑。由于國別文化觀點的差異性，各國難以就上述問題的應對措施達成一致，但這正是全球化企業面臨的經營環境。因此，我們應以創新方式處理當下的問題，而非被動地應對其造成的后果。我們認為具有重要系統的行業也在變化。過去，我們聚焦基建設施、電信行業和金融服務行業?，F在，我們關注更為復雜多樣的公私伙伴關系、互聯生態系統和信息基礎設施。例如：我們注意到如今的金融市場環境就像是一個由金融機構、市場化的基礎設施、數據和托管服務供商組成的具有密切關聯的世界，其所有要素都具有同等

3、重要性。隨著關聯性和依賴程度的增加，基礎設施也逐漸成為黑客攻擊及利用的對象。這些改變也導致全球網絡安全監管力度持續加強，進一步加重企業負擔，企業對日益增長的監管和報告需求產生了更多的擔憂。因此，企業越發重視將隱私和安全要求嵌入到日常經營過程中，這既是為了應對不斷變化的網絡安全威脅，也是為了滿足不同國家的差異化的監管要求。網絡安全應貫穿各業務條線、職能、產品和服務中。企業應致力確保網絡安全深入貫穿數字化的各個方面，并融入到企業整體戰略、發展和運營中。畢馬威國際首席全球數字官LisaHeneghan表示：“企業應將網絡安全貫穿其各個方面。網絡安全建設應成為支撐業務的關鍵要素，以及數字化的信任基礎。

4、但網絡安全不能僅靠首席信息安全官及其團隊完成，而應成為企業所有員工的責任。這絕非易事；員工應了解網絡安全與自身的關系，再思考如何將安全納入現有流程之中。在建設企業網絡安全過程中，如果將各業務部門視作顧客，根據已有經驗為其定制化安全管控策略，能夠大大加強并激勵企業員工的網絡安全責任感，積極遵守安全行為，為企業業務經營帶來巨大收益?！笔紫畔踩賹⒃跇I務連續性、數字化進程的業務中斷等議題的擁有更多話語權，且扮演更重要的角色，他們能夠幫助企業更好地了解需要保護的資產和數字化服務，并對相關的系統提供保護以建立信任。本報告旨在探討未來一年首席信息安全官可以采取的行動，以向董事會及高管層表明：數字信任可

5、以并且應當成為一項競爭優勢。人員、流程、數據/技術及監管建議參見第22頁。前言數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。32023網絡安全重要趨勢2023年應聚焦網絡安全方面八個關鍵詞請點擊各項了解詳情數字信任：一項共同承擔的責任企業

6、在如何保護員工、客戶、供應商及合作伙伴利益的問題上是否已進行充分考慮？自動化技術可信企業如何確保機器流程自動化、機器學習和其他形式的人工智能得到有效、合理和安全的實施和管理？以“無形”措施護航安全安全團隊如何有效地將安全性整合進業務流程、敏捷開發項目和各種運營模式之中？智能世界安全企業目光逐步轉向智能化、超連接產品，對安全及隱私團隊有何影響？實現無邊界的、以數據為中心的未來在無邊界的環境中，企業如何切實向零信任模式過渡，為生態系統尋求全方位保護？03應對多變的網絡攻擊安全團隊如何應對日益變化的網絡攻擊威脅，并應對越發猛烈的網絡攻擊？業務連續性為何企業在考慮應對之外，還應積極部署備份恢復計劃？新

7、合作，新模式企業如何在外包與托管服務與日俱增的環境中維持安全、隱私和業務連續性。01050702040608數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。42023網絡安全重要趨勢數字信任：一項共同承擔的責任數字信任涵蓋諸多領域，觸及企業

8、運營的各方面，并與企業戰略存在著密切聯系，這不僅因為它能為企業帶來競爭優勢，它還能造福行業和乃至社會。John Anyanwu網絡安全服務合伙人畢馬威尼日利亞隨著監管與公眾對隱私、安全和道德的關注度日漸提升，數字信任正逐漸成為董事會的議題之一。任何通過數字化賦能業務的成功均須建立在數字信任之上，而網絡安全和隱私保護正是建立此信任的重要根基。首席信息安全官必須協助董事會和高管層贏得并維持利益相關者的信任，以為自身企業創造競爭優勢。此目標的實現要求所有利益相關者的共同承諾和通力合作。全球化已令全球跨界相聯，新冠疫情對全球供應鏈帶來的顛覆影響充分反映了這一現實。為了與客戶建立長久的關系（無論是B2B

9、還是B2C），企業都必須建立和維護數字信任。信息來源：2022年畢馬威網絡信任洞見調查但但65%的企業表示，信息安全建設僅是合規驅動，而非長期戰略目標。49%的企業認為董事會將信息安全視為必要成本，而非建立競爭優勢的途徑。65%的高管依然將信息安全視為被動的降低風險手段，而非業務賦能要素。信任與價值信任與價值信任是成功的關鍵，其牽涉的不僅是企業聲譽。信任的提升可為企業帶來競爭優勢以及收益。聚焦事項一數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略超過三分一超過三分一的企

10、業認為信任提升將可帶來盈利增長。2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。52023網絡安全重要趨勢數字信任正引起關注越來越多高層管理者意識到數字信任的裨益：37%的高管認為能促進盈利增長是信任提升的最大商業優勢。1數字信任涵蓋廣泛。網絡安全廣泛關聯到數字信任的問題（包括可靠性、安全性、隱私性和透明度）。它們會影響企業所采取的業務開展、價值追求方式、產品、服務，所用技術，應用系統的數據收集及使用方式，以及

11、針對客戶、員工、供應商和所有第三方合作伙伴、利益相關者所實施的利益保護手段。相比而言，65%的高管仍然將信息安全視為被動降低風險的手段，而非業務賦能要素。2許多企業仍然將網絡安全視為成本開銷，而非對未來的投資，這是一種錯誤的理念。首席信息安全官應全面接納數字信任這一概念，并闡明安全性作為業務賦能要素將如何為企業的數字化發展提供穩健支持。首席信息安全官須協助企業建立數字信任體系，但僅靠他們并不能完成，而應投入足夠的時間，鼓勵其他主要的內外部利益相關者承擔在數字信任體系建立過程中的角色。事實上，首席信息安全官需要向董事會和高管層闡明此事的重要性，并說明數字信任體系與業務戰略的依存關系。.世界經濟論

12、壇認為，業界已開始承認網絡安全就如同企業風險、產品開發和數據管理一樣，是一項重要的戰略業務要素。世界經濟論壇在其“Earning digital trust:Decision-making for trustworthy technologies”（贏取數字信任：為可信任技術制定決策）報告中提及：“獲取數字信任需要一套整體的方案，而網絡安全是建立信任重要維度之一?！?數字信任對客戶的意義雖然一般個體消費者可能不關心企業數據保護程序中的具體措施，但一旦客戶知道數據遭到泄露，便希望了解企業正采取什么應對措施，也希望確認企業會以客戶的利益為重。企業能迅速、透明地應對數據安全事件，從而重新建立客戶信任

13、。當今，消費者理解數據泄露事件不可避免，但如果企業能夠持續提供有競爭力的產品價格和優良的服務，并保持良好的客戶體驗，當網絡安全事件發生時，及時通報應對情況以及恢復措施，客戶一般不會大量流失。1畢馬威國際，畢馬威網絡信任洞見調查，通過網絡安全與隱私保護建立信任（Building trust through cybersecurity and privacy)，2022年。2 同上。3 世界經濟論壇，贏取數字信任：為可信任技術制定決策（Earning Digital Trust:Decision Making for Trustworthy Technologies)，2022年11月。透明性對不

14、同受眾有著不同的含義。當網絡安全事件發生，消費者要求企業公布相關情況時，企業必須也了解其供應商和合作伙伴如何保護用戶信息。這是因為企業應對客戶承擔更多責任，并確保在個人信息保護方面不辜負客戶的信任。石浩然網絡安全服務合伙人畢馬威中國數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中

15、的成員。版權所有，不得轉載。在中國印刷。62023網絡安全重要趨勢4 畢馬威網絡信任洞見調查，同上。首席信息安全官需要協助選定合適的合作伙伴和供應商。評判標準須包含信息保護程序的透明度以及具備業務連續性的能力。毫無疑問，監管機構極有可能加強對數字信任的監管，對企業公開透明程度及問責要求也可能相應提升。企業若能以數字信任原則為導向，采取更為全面的方式應對日益復雜的各類監管要求，能夠有效減少以合規驅動為目的所造成的高昂成本。數字信任戰略應自上而下逐步實施，領導層應先認可上述理念，再落實到企業其他成員。這也意味著企業可將其在年報中突出展示其數字信任理念和戰略。鑒于34%的企業領袖擔心其企業是否有能力

16、滿足監管對于網絡安全和隱私透明度的報告要求，畢馬威提出了一個主動應對方案。4簡而言之，能通過其產品、服務、運營模式建立利益相關者的數字信任并妥善保護其業務信息的公司，將更可能收獲商業及聲譽回報。Annemarie Zielstra網絡安全服務合伙人畢馬威荷蘭Cyber trust insights 2022（2022年網絡信任洞察年網絡信任洞察）通過網絡安全與隱私保護建立信任。Earning digital trust,together（以合作贏取數字信任以合作贏取數字信任）信任在當今互聯世界中變得空前重要的原因。Reversing the digital trust deficit（彌補數字

17、信任缺失彌補數字信任缺失）重建數字信任作為技術進化的緊迫需求構建有效的數字信任戰略企業應將數字信任這一概念納入企業戰略、產品開發、整體市場形象和公私客戶關系中，廣泛思考數字信任對不同利益相關者群體的意義，以突出網絡安全以及其他建立數字信任核心要素的重要性。信任是采取特定技術所必須具備的要素，亦是領導層決策的基礎。首席信息安全官需要持續向董事會及高管層闡明網絡安全為何是數字信任的關鍵組成部分。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢

18、馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。72023網絡安全重要趨勢以“無形”措施護航安全最終，適當且易懂的安全控制對用戶而言較能接受，用戶才是您最好的防火墻。Julia Spain網絡安全服務合伙人畢馬威英國將安全融入企業業務，在某種程度上可以幫助員工自信工作、高效決策，并在他們的崗位上持續保護企業信息。這雖然充滿挑戰，但仍是首席信息安全官的關鍵目標。人們很容易將安全視為工作的障礙，首席信息安全官只有結合用戶和業務

19、角度考量安全性，才能改變這種觀點。最重要的一點是，我們需要了解在何時以何種方式構建信息安全管控措施，以及增強安全管控措施后對企業的影響。世上不存在絕對的安全性。若首席信息安全官試圖使用最為嚴格的安全管控措施在任何時候保護任何信息，則可能全盤皆輸，因為用戶會設法規避這些安全管控措施。首席信息安全官需結合具體業務流程的重要性及其可能產生的風險，設計相應的安全控制。對首席信息安全官有信心企業對首席信息安全官完成重要任務的能力表現出高度的信心。3/4的企業對首席信息安全官能夠識別其最有價值數據具有信心。78%的企業確信首席信息安全官充分了解有多少敏感數據已被傳送到第三方，以及這些數據已受到妥善保護。信

20、息來源：2022年畢馬威網絡信任洞見調查聚焦事項二79%的企業對首席信息安全官能夠繪制企業內部關鍵數據流轉情況具有信心。數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。82023網絡安全重要趨勢網絡安全將持續變化，企業可引入新的網絡安全工具

21、和控制措施。但我們仍然希望企業能夠在構建之初就考慮到人為因素。企業進行重大變更時需要考慮很多因素，安全性應是其中之一。將安全性嵌入企業日常運行流程中（如“開發、安全、運營”（DevSecOps）和運營技術與采購）或是一種適當且有效的途徑，激勵員工安全行事，以發揮人的防護作用，而非過度管控。企業不應以對立的方式考慮企業安全性。如今，企業安全目標并非一成不變，“安全”與“不安全”的概念也只是暫時性的。首席信息安全官應更多致力于安全宣貫；為員工設計簡單、直觀的安全流程；打造一個安全意識較好的文化氛圍和高效的安全團隊。企業安全也應考慮客戶體驗企業更應重點關注，為有能力和意愿檢測和響應惡意行為的員工設計

22、并建立落地的惡意行為檢測和響應流程?？紤]易用性、客戶體驗，將安全規劃納入其他企業級別的重要事項（例如：業務需求），而不是將其純粹視為監管的當務之急。最新的技術發展可為此提供幫助。從防御性人工智能、機器學習和聊天機器人，到云加密、區塊鏈和增強型檢測及響工具等，均是上述重要事項的核心部分。此外，提升員工的安全意識，建立統一IT治理策略，倡導員工審慎對待數字化通信，也將有助安全性提升。首席信息安全官應思考如何幫助員工自發采取正確措施，并制定合適的安全管控措施予以支持。安全團隊可從企業提升用戶體驗的方式中汲取大量經驗。內部信息安全流程應簡單、直觀，否則員工可能會規避相關流程；企業可考慮在信息安全流程的

23、設計中納入用戶體驗專員。對內部用戶而言，安全流程也可適當“私人化”。企業可要求員工作出自我判斷，根據事件場景，將私人生活與工作中安全行為進行比較，使他們“寓教于樂”。如此，員工便可在企業安全中發揮作用，并擺脫薄弱環節的形象。單憑技術不能解決問題。數十億資金用于網絡安全領域，數千家網絡安全公司也已提供各類網絡安全工具，但企業仍然易受攻擊，因為攻擊者也知曉并精通同樣的工具。Prasad Jayaraman網絡安全服務主管畢馬威美國在技術范疇外，首席信息安全官還應關注人為因素。對員工的信息安全意識進行教育與培訓，企業應在內部建立良好的信息安全文化氛圍。Eddie Toh網絡安全服務合伙人畢馬威新加坡

24、Humanfirewalling（以人為以人為盾盾）克服網絡安全中人的風險因素。Synthetic identity fraud（虛假身份欺詐虛假身份欺詐）一個價值60億美元的問題。Want better cybersecurity?Dont check that box（想要更好的網絡安全？不要勾選那個框想要更好的網絡安全？不要勾選那個框）對企業安全性構成最大威脅的可能不是勒索軟件或網絡釣魚攻擊，而是您的行為取向。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年

25、度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。92023網絡安全重要趨勢傳統的網絡邊界安全管理策略在如今的互聯數字化世界中已過時。首席信息安全官須為基于公共及私有基礎設施，以及分布式用戶生態系統的更為廣泛的受攻擊范圍提供保護。因此，他們必須以信任為基礎，確保所有設備在任何時候，任何地點的安全性，從而為業務提供保障。Natasha Passley網絡安全服務合伙人畢馬威澳大利亞實現無邊界的、以數據

26、為中心的未來如今，企業的當務之急是使員工、客戶、供應商和其他第三方能夠無縫、遠程和安全地聯接。但安全挑戰也隨之而來：在如今的無邊界環境中，企業再也無法信任每一個用戶和設備。對無邊界業務零信任零信任的處理方式有助縮小服務中斷或安全事件的影響范圍，使企業能夠更好地管控安全事件的影響。信息來源：2022年畢馬威網絡信任洞見調查數據安全對利益相關者至關重要在無邊界環境中，企業如何保護、使用和分享數據的難點，是削弱利益相關者對企業數據使用及管理能力信任度的首要因素。36%的高管尤為關注對其數據的保護方式。32%的高管還認為“對于某一服務為何需要數據支持，以及提供/共享這些數據將使企業如何受益缺乏清晰的表

27、述”是另一個因素。35%的高管尤為關注對其數據的使用或共享方式。聚焦事項三28%的高管認為“對已實施的安全治理機制缺乏信心”是削弱利益相關者對企業的數據使用及管理能力信任度的首要因素。數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略顯而易見，過去十年的商業模式發生了根本性的變化，逐步演變以數據為中心，由企業內部與第三方合作伙伴、服務提供商組成的互聯生態系統。在當前的分布式計算世界中，為縮小任何潛在服務中斷或安全事件的影響范圍，首席信息安全官和信息安全團隊必須采用全新的方

28、案，如“零信任、安全訪問服務邊緣（SASE）和網絡安全網格模型?！?023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。102023網絡安全重要趨勢另一個挑戰是資金和預算。首席信息安全官應能夠闡明零信任相關框架，以讓董事會和其他企業領導理解該投資不僅是一項新的技術，還有助于建立全新理念以實現安全、無邊界未來。顯然，在本地部署和云端部署方案中找到平衡點是一大挑戰，尤其當企業采用云端開發的技術時。許多企業正考慮將多個系統

29、遷移到云上，但通?，F有的基礎設施不能完全滿足安全訪問服務邊緣（SASE）所需的技術需求。大型復雜機構的首席信息安全官會面對同時管理云端和本地部署的安全運營環境且短期內運營成本較高的挑戰。對于希望完全采用云端部署的客戶，應考慮在部署到云上的系統中采用與本地部署同樣的零信任原則。同時也應考慮運營模式改變帶來的影響，譬如，使用云服務商提供的合理管理的責任模型可有助確保云架構的安全。以零信任為基礎的安全訪問服務邊緣（SASE）和網絡安全網格模型在網絡整體安全性的構建、分布和統一方式上有著共同的原則。但最重要的是，隨著更多企業采用以云為中心的理念，安全機制應更多的考慮對數據保護。作為當前無邊界業務環境的

30、保護傘，零信任框架對身份鑒別、訪問控制的設計和賦能如何順應時代變化提供了思路。零信任為基于安全訪問服務邊緣（SASE）模型以及全面的分析性網絡安全網格架構的業務融合提供了支持。新的身份鑒別與訪問控制模型去中心化的身份鑒別與訪問控制是首席信息安全官的核心職責，亦是一項網絡傳輸議題。南北向傳輸，即用戶到資源，其主要關乎身份識別；而東西向傳輸，即系統間橫向傳輸，則與網絡區域劃分和其他控制領域相關。數據資源的訪問應與用戶身份進行匹配。在一個無邊界環境中，若不重視身份和數據治理，便不存在零信任、安全訪問服務邊緣（SASE）或網絡安全網格。對首席信息安全官而言，實施零信任的挑戰在于驗證設備和用戶身份及其可

31、信度。這要求首席信息安全官從身份校驗角度思考安全性問題，并重點關注企業內用戶和第三方供應商的最小權限訪問。零信任實踐運用企業應根據各場景、用戶和資源定義零信任，這也是企業信息安全建設的關鍵和核心原則。首席信息安全官不僅應建立零信任體系，還應確立相關政策、準則、和設計系統解決方案，同時成立由安全技術人員和領導層組成的信息安全委員會。身份生態系統在當今的零工經濟世界中已經迎來爆發式增長。因此，企業僅能通過身份鑒別準確識別人與機器。Deepak Mathur網絡安全服務主管畢馬威美國The convergent future of identity（未來身份融合未來身份融合）身份識別與訪問管理的發展

32、趨勢。Safeguard your digital environments from all angles（全方位保護您的數字化環境全方位保護您的數字化環境）開始零信任之旅的五個步驟。Assume nothing,verify everything（不做假設，只做驗證不做假設，只做驗證）零信任為何是未來的發展方向。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(

33、中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。112023網絡安全重要趨勢新合作，新模式雖然許多企業已將部分業務流程外包給第三方服務供應商，但數據安全及身份與訪問管理相關控制仍然屬于內部職責。Markus Limbach網絡安全服務合伙人畢馬威德國對于企業安全團隊而言，僅關注自身企業的IT系統安全的日子已過去。在網絡安全工作外包問題上，首席信息安全官需要了解何時叫停、何時應繼續推進，并決定當前與未來應在企業內部保留哪些職能。安全性已成為業務的優先考慮事項，并通過企業與服務供應商之間的共同擔責的模

34、式落地。如今，首席信息安全官應從技術安全、產品安全和復雜的供應鏈安全為企業內部的信息安全流程實施提供支持。企業越發意識到，通過供應鏈、客戶服務、企業設計以及信息安全共同協作能夠提升創新。以具有競爭力的價格向客戶提供此類創新組合，企業可建立競爭優勢。然而，部分企業難以大規模地有力開展信息安全工作，其主要原因是缺乏信息安全的專業人才與技能。因此，他們把目光投向服務外包、托管服務、系統上云等模式。受信任的生態系統外部合作也將是企業在超連接生態系統中取勝的關鍵，但企業的協作之路上存在著實際的障礙。60%的受訪者承認，他們的供應鏈使其容易受到攻擊。78%的高管對首席信息安全官能確保供應鏈上下游數據安全表

35、示有信心。信息來源：2022年畢馬威網絡信任洞見調查聚焦事項四79%的受訪者表示，與供應商和客戶建立信息安全合作至關重要，但僅有42%的受訪者表示已據此行事。數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。122023網絡安全重要趨勢企業不

36、能將所有的安全管理職能外包，還需要在企業內部保留適當的專業人才與技能。企業應具備專業知識，以建立能使內部員工和第三方服務供應商有效運營的內部控制及安全架構。其中一個要點是，企業應了解其內部應保留哪些安全職能，然后制定有針對性的人才招聘策略。以應用系統上云為例，首席信息安全官需同時扮演經紀人、協調者和統籌者等多重角色，以協調相關員工和第三方服務提供商，并進行風險識別、治理與匯報。上述職能不能完全外包。雖然企業可以將計劃與準備階段的部分工作進行外包，但應由企業內部了解業務與企業安全現狀以及潛在網絡安全事件影響的人員，來進行整體把控以及質量控制。了解應保留的安全職能與傳統的信息安全工程技能對比，在云

37、生態環境中搭建網絡安全控制需要完全不同的技能。許多企業不具備按照業務增速需求管理復雜的組織架構的網絡安全、API接口、不同技術設備的能力。首席信息安全官應致力于培養此項技能。Matt OKeefe網絡安全服務合伙人畢馬威澳大利亞Third party and cloud:Regulatorychallenges（第三方與云：監管挑戰第三方與云：監管挑戰）企業正更頻繁地與第三方建立更復雜的關系，導致風險增加和升級。Evolving vendor,operational and strategicrisks（不斷演變的供應商、運營與戰略風險不斷演變的供應商、運營與戰略風險第三方風險管理。Third

38、-party risk management outlook 2022（20222022年第三方風險管理展望年第三方風險管理展望）是時候立即行動。尋找合適的技能組合首席信息安全官應了解自身的內外部職責，有效應對不同模式和領域之間的灰色地帶，建立適當的控制以應對復雜多變的環境。然而，這知易行難。與外部安全服務供應商合作同樣要求企業具備獨特的技能。企業須注重流程管理和安全治理技能，而非技術能力。無論將多少工作外包，企業內部都應具備充分的安全知識和技能。同時各方應開展定期、清晰的溝通，以保障對已實施的管控措施以及關鍵績效指標的妥善管理。此外，企業還應商定明確的安全事件響應流程，并開展應急演練以測試相

39、關系統。首席信息安全官應定期評估其自身的專業技能，并努力確保企業具備與云、托管服務供應商有效協作的能力。為此，首席信息安全官應了解企業的未來信息安全基礎設施建設需求，并確定安全管理體系以提供最佳支持。企業應著眼于“未來”，即展望未來三至五年的安全需求，而不應僅僅著眼于企業當下的安全需求。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司

40、，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。132023網絡安全重要趨勢信息來源：2022年畢馬威網絡信任洞見調查自動化技術可信安全團隊應了解業務對機器學習應用的理解和構想，才能為企業賦能?；趯I務構想的理解，安全團隊能夠著眼于他們將使用的系統、識別合適的輸入數據并開展工作，以應對使用人工智能系統可帶來的負面風險。Michael Gomez網絡安全服務主管畢馬威美國企業在參與創新與駕馭新興科技的競爭中，安全性、隱私性、數據保護和道德問題在受到越來越多關注的同時，也常常被忽略和遺忘。企業對這些問題的疏忽可能會對自身發展構成

41、阻礙，尤其在人工智能相關監管要求仍在逐步明確的時代背景之下。過去人工智能長期停留在數據科學實驗階段，其中只有少數項目真正實現投產。而現在有實際應用價值的機器學習時代已經到來。在未來18到24個月，將可能會有更多此類項目上線。該領域已進行長期反復試錯，但這些機器學習將最終帶來巨大的成功，如智能推薦引擎、決策支持工具、精細模擬和神經網絡等，可為企業帶來巨大的價值。將單調、重復工作的自動化處理，可節約員工時間和提升效率，令他們能專注于需要進行復雜、周密和細致思考的工作。因此，人工智能正在多個行業中應用。在銀行業，機器人正協助客戶選擇最合適的產品和服務；在保險業，企業正在開發如何通過自動化策略對申請人

42、進行信用評估。人工智能/機器學習帶來的挑戰社會和市場愈發關注在大數據分析中使用人工智能和機器學習技術所帶來的道德、安全和隱私相關的問題。78%的受訪者同意，人工智能和機器學習會帶來網絡安全上的獨特挑戰。3/4的受訪者表示，人工智能與機器學習引發了基本的道德問題。76%的高管同意，企業需要對訓練、監控人工智能和機器學習系統產生額外投入。76%的高管同意，企業應對自身如何使用人工智能和機器學習技術保持一定透明度。聚焦事項五數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略20

43、23 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。142023網絡安全重要趨勢建立可信任的人工智能模型企業是否正合理應用人工智能以獲得最高產的輸出？在某些保險業用例中，算法會自動對生活在特定區域的申請人作出分級。生活在較不富裕區域的人士與在較上層地區的人士會分為不同級別。保險費會根據申請人的地址而異。人工智能具有偏見或歧視性，因此需要加以調節。過去應用系統的開發?；诠潭ǖ哪Ｊ?，即輸入與對應輸出之間的關系不變。開發者

44、也會對此進行測試。終端用戶會決定他們是否喜歡使用該應用，以及是否希望繼續與開發者進行業務往來。機器學習和人工智能設備旨在不斷學習和進化。在此技術特性下，企業將根本性地改變他們對這些系統的看法以及系統的優化方式和使用目的。人們對人工智能有著不同的理解和喜惡情緒，而許多企業根本不具備足夠了解人工智能的專業人員，所以更談不上如何安全應用此技術。如研發運維一體化平臺（DevOps）一類的機器已能夠縮短開發周期并確保持續交付。但如果企業還未將安全性整合進機器賦能的環境中，則大規模應用或許永遠無法實現，因為員工根本不會信任該技術。為此，76%的高管同意，企業需要對訓練、監控人工智能和機器學習系統產生額外投

45、入。5人工智能和數據隱私人工智能使許多核心隱私原則得到增強，例如，安全團隊需要更深入地分析用戶數據。企業需要考慮其收集的數據類型符合某些法規的數據最小化收集要求。此外，鑒于人工智能可能會存在偏見，因此，企業必須對人工智能的產出保持公開透明。監管機構、政府和相關行業必須攜手合作。人工智能監管并非僅是隱私問題，還要求數據科學家與隱私專家合作以確定技術方案應嵌入哪些要求以確保方案的安全性、可信度和隱私敏感性。此外，政府需要訂立基本要求，并制定數字化建設方向，以號召相關行業對人工智能創新進行投資。各地政府機構似乎往往會將人工智能視為一種競爭，監管機構也正在開始嘗試限制新興人工智能技術帶來的干擾性及高風

46、險性應用。在二十國集團通過可信任人工智能原則后，人工智能風險管理及監管領域有了重大進展。新加坡首先頒布了人工智能安全標準；美國國家標準與技術研究所公布了人工智能風險管理框架；歐盟也在同年頒布人工智能法案。正如通用數據保護條例對隱私產生巨大影響一樣，這些法規也最終將在人工智能領域帶來重大影響。企業需要為此做好準備。5畢馬威網絡信任洞見調查調研。同上。人工智能十分強大，但如果自動化決策無意中產生偏見或歧視，則可能會對個體造成傷害。Is my AI secure?（我的人工智能是否安全？我的人工智能是否安全？）了解人工智能為您的企業帶來的網絡風險。Trust in artificial intell

47、igence:Global insights 2023（信任人工智能：全球洞察信任人工智能：全球洞察20232023）探討人們對人工智能的信任以及人工智能為企業和社會帶來的裨益與風險的全球調研。The path to transparency and trust（通往透明度與信任之路通往透明度與信任之路）企業數據責任調研。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略Sylvia Klasovec Kingsmill隱私業務合伙人畢馬威加拿大202

48、3 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。152023網絡安全重要趨勢技術創新的步伐并不會減慢，并常常迫使監管機構和安全團隊全力追趕。首席信息安全官不應被動地等候下一波法規的到來，也不應僅依賴監管，而是要主動、務實地在產品生命周期和供應鏈中實施安全控制措施。這絕非小事，首席信息安全官與企業內其他職能的合作程度決定了此事的成功與否。Walter Risi網絡安全服務合伙人畢馬威阿根廷幾乎所有行業的企業均在轉變其產

49、品思維，以專注于開發互聯網賦能的服務并管理配套設備。隨著企業逐漸意識到產品安全具有同等重要性后，首席信息安全官及其團隊開始被邀請參與工程、開發及產品支持團隊的討論。在今天這個以智能產品為重的環境中，以下新興技術起著主導作用：首席執行官網絡安全見解對網絡安全挑戰的不斷深入了解也讓首席執行官們更清楚其企業的準備程度。信息來源：2022年畢馬威首席執行官展望應用人工智能應用人工智能將人工智能大力應用于真實世界，協助智能產品研發量子計算量子計算大幅減少處理及計算時間5G實現高速、超連接和減低延遲軟件軟件 2.0通過人工智能快速編寫代碼能夠降低復雜度并提升開發速度（從數月縮減到數周）信任架構信任架構有助

50、確?；ヂ撛O備之間傳輸的數據和身份認證是安全可靠的24%的首席執行官承認他們對網絡攻擊準備不足（2021年為13%）。3/4表示其企業已實施相關方案應對勒索軟件攻擊。3/4的首席執行官表示，確保合作伙伴的安全和供應鏈安全與在企業自身內部建立網絡防線同等重要。聚焦事項六智能世界安全數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略56%表示他們已作好準備。2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均

51、是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。162023網絡安全重要趨勢智能設備也面臨許多風險，如存在使用弱密碼，使用不安全的加密算法或未加密，未更新軟件、病毒庫，缺乏DDOS防護等。首席信息安全官必須認識到，智能設備安全并非僅涉及系統的保密性、完整性和可用性。由于這些智能設備在現實世界中的使用，現實世界中使用該技術的安全性也應納入考慮范疇。由于有較大可能會出現大規模針對性攻擊，因此，網絡安全專家必須將這些風險納入到一個涵蓋保密性、完整性、可用性和安全性（“CIAS”）的架構中。隨著我們邁入一個由不同的生態、產品、設備與傳感器

52、組成的世界中，且這些組成部分日益成為網絡攻擊的目標，監管機構越來越關注企業如何在產品生命周期中考慮安全性。在智能設備互聯世界中應用CIAS框架首席信息安全官應考慮智能設備產品生命周期中四個組成部分的相關風險，其中各個組成部分有著不同的“開發-安全-運營”（DevSecOps）要務。這些組成部分包括：智能設備內部的軟件系統往往不能輕易地進行更新，主要是因為考慮到設備與現實環境的連接性，不能在使用過程中進行補丁修復。這同樣也取決于設備的重要性。這為開發者帶來了額外的挑戰，即必須嵌入保障機制以及制定適當的軟件清單，讓企業能夠在設備使用過程中發現重大漏洞時并盡早召回設備。網絡安全已成為一項市場差異化因

53、素?；蛟S這已不言而喻，但企業有必要讓現有和潛在客戶以及整個市場知道其正不斷提高網絡安全能力（尤其是設備控制）并從設備全生命周期著眼進行管理。預計全球監管機構將日益關注這些系統的安全性以及最低標準要求。在智能產品生命周期中嵌入安全性存在多種挑戰，包括主動監控、識別和處理相關的網絡漏洞等。首席信息安全官的關鍵挑戰之一是如何與質量控制部門合作，將安全性嵌入產品設計及裝運前檢測流程中。Motoki Sawada科技風險服務合伙人畢馬威日本首席信息安全官應與企業內各部門合作，以確保整個企業將網絡安全性視為一項風險管理要務。此外，認為安全性僅與可在設備內應用的技術流程有關是一個狹隘的想法。企業還應考慮安全

54、性對供應鏈等領域的廣泛影響。Jayne Goble網絡安全服務總監畢馬威英國A pathway to cyber resilience（建立網絡空間恢復補救能力）評估及防范各個行業的網絡漏洞。Accelerating OT security for rapid risk reduction（提升運營技術安全性以快速降低風險提升運營技術安全性以快速降低風險）在運營技術環境的數字化和互聯程度不斷提升的同時確保安全性。Control systems cybersecurity report 2022（工業控制系統網絡安全報告2022）在發展進程上克服不斷增長的網絡威脅路障。參閱以下報告了解詳情數字信

55、任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略從設計實施到發布的產品開發流程，管理不斷延伸的供應鏈，維護和持續更新軟件以及終端用戶（無論是另一家企業還是個人消費者）。這四個組成部分有助首席信息安全官制定安全規劃并確保產品的安全性。首席信息安全官必須洞悉業務的所有領域。2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有

56、，不得轉載。在中國印刷。172023網絡安全重要趨勢應對多變的網絡攻擊攻擊者始終能夠完成入侵，企業不得不接受此現實。關鍵在于要減少其入侵的時長，以及發現攻擊者入侵行為所需的時間，是數小時、數日、數周還是數月。非法攻擊者從入侵企業到全范圍激活勒索軟件的時間所需的時間越來越短，越來越多的非法攻擊者以及有國家隊攻擊者通過自動化滲透工具，加速對企業系統的滲透。企業應優化和標準化安全運營流程，使其能在安全事件發生時盡快恢復核心業務和服務，從而降低安全事件對客戶及合作伙伴的影響。網絡攻擊者有兩項明顯動機：利用漏洞與制造混亂。他們利用漏洞系統是為了竊取或篡改數據，無論是出于獲取情報還是欺詐目的；制造混亂是為

57、了勒索或獲取政治利益。其中的攻擊手法各不相同。某些有國家背景的攻擊者專門攻擊關鍵的基礎設施，如輸油管、電力公用設施和金融系統。他們的目的是造成傷害或混亂并施加政治或經濟影響，從而為攻擊者及其支持者謀利。其意圖是從其他人的不幸中獲利。網絡攻擊事件的成功率已大幅增加，導致近幾年勒索軟件攻擊數量激增。如果安全人員不能有效應對這些攻擊，此情況仍將可能持續。Charlie Jacco網絡安全服務主管畢馬威美國網絡安全團隊正奮力趕上網絡安全團隊正奮力應對多變的威脅，而專業人才短缺卻常常對安全工作構成阻礙。逾逾50%的企業對網絡威脅應對表示非常自信，包括應對來自有組織犯罪集團、內部人員或被入侵的供應鏈。59

58、%的企業同意，攻擊者利用的是供應鏈上下游企業的漏洞，但不清楚其安全防線能否阻擋攻擊者的入侵。實現網絡安全目標的首要首要內部挑戰是缺乏關鍵技能人才（40%）。信息來源：畢馬威全球科技報告2022超過超過1/2的企業承認他們的網絡安全水平落后于原定規劃。聚焦事項七數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相

59、關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。182023網絡安全重要趨勢此外，混合工作模式擴大了被攻擊面，增加了潛在的易受攻擊的終端數量，令安全問題雪上加霜。另一個挑戰是，企業內部Shadow IT的情況，存在未受管控的應用和SaaS系統，首席信息安全官和首席信息官對這些應用的潛在風險常常缺乏足夠的了解。優化安全運營戰略時間是安全防御關鍵。企業能多快偵測到攻擊者、能多快遏制住他們的攻擊、多快能恢復服務？與此同時，企業如何降低信息和系統損害？最大的問題不在于攻擊者如何進入，而是已經獲得了哪些信息，是否是關鍵信息。應用系統是否具有后門，還是被內部人員進行攻擊？攻擊者從初次入

60、侵到成功攻破系統所需的時間正在縮短?，F在，攻擊者僅需數日或更短時間便能在企業內部成功部署勒索軟件。攻擊者還不斷提升自動化的攻擊手段，甚至利用人工智能來協助其規劃及實施攻擊。首席信息安全官及其團隊須在更短時間內識別入侵行為并采取快速、果斷的遏制行動。安全運營中心通常呈三角形結構：頂部是規模較小，但專業化威脅搜尋團隊，中部是二級調查員，底部是許多一級威脅要預警分析員，對不斷增加的威脅預警信息進行分類。但是，這個三角形結構應倒轉過來。如今的安全運營中心需較少的一級人員、更多二級調查員以及大量威脅搜尋人員，以偵測潛在的災難事件。為實現此目的，滿足日益增加的外部攻擊者和外部威脅頻率，企業需要實現安全運營

61、第一層級的自動化。一個有效的安全運營中心需要利用更先進的科技、匯集相關數據，信任已有的安全產品和設備管理安全預警事件，并結合人工分析和先進機器學習和機器人流程自動化能力。在此過程中，您可通過新的業務相關數據源以分析潛在攻擊，并進一步探索安全運營、物理安全、預防舞弊和內部威脅管理。對多數安全組織而言，建立充分的信任是一項挑戰。假設首席信息安全官及其團隊能夠利用人工智能執行上述工作，統籌管理防火墻、安全日志和SIEC，并評估各類威脅情報源和漏洞掃描工具，那可以稱得上開始建立信任。這也是安全運營中心的目標，但目前該目標仍未實現。駕馭及留用網絡技術專才人才的流失與留用問題，必然是最優先考慮事項。許多企

62、業需要為安全運營中心建立可持續的發展途徑與模式。在團隊疲于監控系統之時，他們會調配更多人手應對，而非向在職人員提供合理培訓。因此，員工會感到發展停滯并最終選擇離開，造成安全運營中心的人員不斷流失。這完全歸因于他們不重視人才培訓。在攻擊者不斷提升自身技術、手段和策略，使攻擊變得更有效、快速的同時，首席信息安全官卻缺乏所需的人力資源來抵御攻擊。KPMG global tech report 2022（畢馬威全球科技報告畢馬威全球科技報告20222022）探討企業領導者正如何利用科技驅動業務發展并持續提升數字化成熟度。Really ready for a ransomware attack?（您真的

63、準備好應對勒索軟件攻擊嗎？您真的準備好應對勒索軟件攻擊嗎？）當下與未來應對風險挑戰的業務前提。A triple threat across the Americas:KPMG 2022 Fraud Outlook（美洲區面對的三重威脅：畢馬威欺詐形勢美洲區面對的三重威脅：畢馬威欺詐形勢展望展望20222022）回顧美洲區面對的欺詐、合規與網絡安全風險。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國

64、合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。192023網絡安全重要趨勢業務連續性首席信息安全官應該提早與企業溝通，以提前建立一個明確又具彈性的業務恢復計劃，而不是等網絡安全事件發生時才驗證此類計劃。Dani Michaux網絡安全服務合伙人畢馬威愛爾蘭每個安全系統都有自身的缺陷。幾乎所有企業終將在某個時刻遭遇或大或小的安全事件，很可能不止一次。監管機構日益關注高風險企業尤其是能源、金融和醫療保健等具有戰略重要性的行業中的企業需關注業務連續性并做好恢復計劃。

65、最引人矚目的問題或許是，企業通常未意識到網絡安全事件的影響時間以及業務恢復時間過長的問題，通常不止72小時或96小時。企業應預想到最壞的情況是網絡安全事件造成了大規模業務中斷。在很多案例中，企業高管不能完全理解其內部的技術關聯關系，以及業務運營對這些關系的依賴性，如向員工、供應商付款以及與客戶和投資者溝通等。監管形勢展望法律制定者和監管機構的關注度已經提升，即對透明度與全局觀提出更多要求。許多企業正擔心如何應對日益復雜的全球監管態勢。36%的企業擔心由于其業務已外包到數字服務供應商，他們能否滿足現行或新的網絡安全法規。聚焦事項八31%的企業擔心關鍵基礎設施要求增加。英國、歐盟和美國正對此領域實

66、施越來越嚴格的監管。28%的企業擔心現行或新的與關鍵系統業務連續性有關的法規。26%的企業擔心面臨更嚴格的安全事件上報機制。信息來源：2022年畢馬威網絡信任洞見調查數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。202023網絡安全重要趨

67、勢企業必須建立相關架構并了解網絡安全事件的潛在發展軌跡。是否具備應急處置計劃、明確的資源調配方式決定了安全事件的影響時長。Jason Haward-Grau網絡安全服務主管畢馬威美國此外，許多企業尚未真正考慮過他們需要主動作出哪些行動才能保持業務連續性。他們認為自己已制定備份計劃，便具備充足的安全控制措施。沒有考慮針對特定場景未制定響應的應對計劃，從而導致業務運營停止，那將如何應對？這將產生嚴重的財務及聲譽影響，并造成重大監管后果。另外，這一問題還存在心理因素。首席信息安全官需要持續與高管層和董事會溝通，讓他們了解攻擊者的性質和動機，即網絡攻擊對企業影響越大，才更有可能獲得預算，他們也深知此點

68、。然而，多數企業仍然難以看清目前所面臨的情況。主動協調在事件發生前后的作用在應對網絡攻擊事件的過程中，首席信息安全官的主要目標是為企業提供所需的專業見解以維持業務正常運行。他們必須摒棄日常的技術細節，并有策略地主動與企業進行溝通，以說明事件的嚴重性以及告知企業須如何應對，從而實現快速恢復。首席信息安全官的主要工作是作為溝通者，向企業闡明安全事件的潛在業務影響以及網絡安全的價值。除此之外，還需綜合考慮事件響應和事件恢復這兩大業務連續性的重要組成部分。此事可通過建立小型“危機委員會小組”實現。該小組應由首席信息安全官、首席執行官、首席財務官和首席法律顧問組成。遺憾的是，多數企業并沒有正式成立這個重

69、要的小組，因為他們認為信息安全事件不太可能會發生。如果真的發生，他們也認為自己的業務連續性計劃（多數是數年前制定，并基于過時的場景組合）已足夠應付，但事實并非如此。保障最低業務運行此舉不僅是為了在控制失效時保持良好的安全性，還在于弄清楚企業需要采取什么措施才能恢復業務。企業領導者往往只會著眼于眼前境況，因為多數人在危機過程中往往無法做到高瞻遠矚。此時，首席信息安全官便須發出理性的聲音，務實地建議企業應恢復最低限度的業務運行流程，即維持日?；具\營、支付員工薪酬和確保業務系統持續運行。此恢復過程耗時越久，便越有可能出現生存危機。攻擊者總會出其不意制造問題。他們在金錢的驅動下會快速創新，迫使首席信

70、息安全官始終被動挨打。數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。212023網絡安全重要趨勢監管在企業業務連續性中的作用在業務連續性方面，監管法規對部分企業可能僅是基本要求，而對某些企業則極難實現。多數企業為后者，因此，他們會僅按最低

71、限度履行法規義務。監管法規也可被視為基本要求，因為企業往往可在此基礎上采取新的或不同的行動。監管在企業業務連續性方面發揮著關鍵作用，但往往需要協調與對接。這已成為首席信息安全官面對的最大挑戰之一，因為監管要求已擴展涵蓋企業的供應鏈。他們需要擔心的不再僅是企業的整體情況，還需要考慮供應商與其他主要的合作伙伴的影響及其是否符合相關法規，也需考慮客戶和投資者對企業在European Cyber Resilience Act遵從度方面的影響。業務連續性最終是一個企業層面的問題，網絡安全連同業務連續性等其他恢復能力和要素在其中扮演關鍵的角色。首席信息安全官可協助企業主動為重大網絡安全事件做好規劃，此類事

72、件在性質、規模和處理方式可能與傳統的技術或資產事件有所不同。隨著企業日益關注此類情況及其影響，許多首席信息安全官還可能應承擔范圍更廣的企業業務連續性職責。這是首席信息安全官角色的又一次蛻變。Incident readiness:A playbook for your worst day（安全事件準備度：最壞情況應對攻略安全事件準備度：最壞情況應對攻略）為網絡安全事件做好準備可盡量減少關鍵電力及公用基礎設施運行中斷。Fromcontinuitytoresilience（從業務連續性從業務連續性到韌性到韌性）隨著人們對電力的依賴性增大，企業更應增強主動性和韌性，以確保業務連續性。Thedayaft

73、er（遭遇網絡攻擊后遭遇網絡攻擊后）遭遇網絡攻擊后的抵抗、恢復。參閱以下報告了解詳情數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。222023網絡安全重要趨勢 優先建立完善的網絡安全培訓體系和文化，并確保此類培訓有趣、富有吸引力，以激勵員

74、工正確行事并發揮防護作用。構建一支具備管理無邊界企業（包括云平臺與第三方供應商）能力的安全團隊。開展廣泛、清晰的溝通。詢問企業的其他職能領導以了解其痛點和自動化流程可提供的幫助。采取跨領域、跨文化方法，建立一個包含內部業務專員、安全專業人員、數據科學家、隱私案件律師和外部政策及行業專業人士的安全生態系統。將自身融入企業，作為同行、參謀及顧問。2023年度網絡安全戰略首席信息安全官與其他業務線可在來年采取哪些行動，以助確保安全性成為企業保障的重要脈絡？下文列舉了可供首席信息安全官考慮的若干可行步驟，以助縮短業務恢復時間、減少安全事件對員工、客戶及合作伙伴的影響，并確保安全計劃能為企業賦能，避免其

75、暴露于風險之下。確立網絡風險管理方案，并了解威脅場景和攻擊路徑，以協助企業縮小被攻擊面并識別控制優化重點。重點關注有效且用戶可接受的信息安全流程。建立嚴格的身份鑒別和訪問控制機制，并致力實現良好的身份治理及服務水平。對舊環境進行區域劃分以減少受攻擊面并協助遏制網絡攻擊。制定恢復計劃，重點關注組織最關鍵的工作流程，并經常 進 行 溝 通 結 構 和壓 力 測試。順應安全職能自動化這一必然趨勢，對先進技術工具賦予信任，如機器人流程、“安全調度、自動化及響應”（SOAR）及擴展偵測及響應（XDR）系統。通過與云服務供應商合作了解如何進行云上產品與服務配置，以避免操作失誤中產生的漏洞。在探索新興技術時

76、首先考慮網絡安全及隱私問題，包括與人工智能系統應用有關的多變風險。就如何處理和管理關鍵數據以及關鍵數據如何支持關鍵業務流程，分配職責并建立問責制度。為提升速度、可擴展性和信任度，企業應盡早采用“身份即服務”技術。持續跟蹤不斷變化的監管趨勢和影響因素，以及它們對公司的未來科技戰略、產品開發和運營意味著什么?？紤]監管對人工智能和自動化的影響。明確企業在這些領域中哪些可行、哪些不可行；并靈活應對公眾疑慮和不斷變化的期望。在合規監控與報告自動化上作出嘗試，并指派專人關注隱私及安全監管的最新發展。根據公司的整體業務戰略調整安全與隱私合規戰略，以確保企業上下全體利益相關者一致行事。在致力遵循監管規定外，深

77、入思考數字信任的含義以及如何使之成為戰略思維的核心。員工流程數據與技術監管數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。232023網絡安全重要趨勢畢馬威可提供的專業服務上至董事會議題到數據中心運營，畢馬威均有著豐富的服務經驗。除了評估您

78、的網絡安全現狀并使其匹配您的業務重點外，畢馬威專業人士還可助您開發并實施先進的數字化解決方案、持續監控安全風險、有效應對網絡安全事件。無論您的網絡安全項目正處于何種階段，畢馬威均可助您實現目標。作為網絡安全服務的領先供應商和實施方，畢馬威了解如何開展先進的安全服務和構建符合貴企業需求的創新方案。提供網絡安全服務時，我們還可分階段進行項目交付。因此，無論您采取何種業務合作方式，我們均可甄選了解您的產品和技術的專業人士為您服務。無論您將進入新市場、推出新產品及服務還是以全新方式與客戶互動，畢馬威專業人士均可助您預測未來、迅速行動并以安全、可信任的技術建立優勢。依賴我們擁有豐富的技術經驗、深厚的業務

79、知識以及致力于助您贏得并保持利益相關者的信任的創新人才，這三者的結合造就了不凡的服務體驗。畢馬威，鑄就不凡。數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。242023網絡安全重要趨勢作者簡介AkhileshTutejaGlobal Cyb

80、er Security Leader KPMG InternationalPartner,KPMG in IndiaE:Kyle KappelCyber Security Services Network Leader Principal,KPMG in the US E:Dani MichauxEMA Cyber Security LeaderPartner,KPMG in IrelandE:dani.michauxkpmg.ieIn more than 22 years in cybersecurity,Dani has worked with government agencies on

81、 national cybersecurity strategies and with international regulatory bodies on cyber risk.She has extensive experience working with clients to improve Board-level understanding of cybersecurity matters.She has built and managed cybersecurity teams as a CISO at telecommunications and power companies

82、in Asia.Dani advocates for inclusion and diversity and womens participation in computer science and cybersecurity.She previously led the Cyber Security and Emerging Technology Risk practices for KPMG in Malaysia and the ASPAC region and also led KPMGs global IoT working group.Matt is responsible for

83、 driving KPMGs cyber strategy within the 12 KPMG member firms in Asia Pacific.He has more than 25 years of technology,finance,assurance and advisory experience,focusing on financial services industry clients.Matt specializes in technology advisory,particularly in superannuation and wealth management

84、,banking and insurance,and provides a range of services across technologygovernance and risk,cybersecurity,project management,IT strategy and performance.He is deeply interested in using technology to advance organizational goals,enabling clients digital strategies and operating models,and protectin

85、g data,assets and systems.Matt OKeefeASPAC Cyber Security LeaderPartner,KPMG AustraliaE:.auWith more than 17 years of experience in identity management practice,Prasad is an intuitiveand results-oriented leader with a strong track record of performance in technology-related professional services org

86、anizations.He has superior interpersonal skills and can resolve multiple complex challenges in all aspects of business,from sales,human resources and legal to finance and operations.He has directed cross-functional teams with motivationalleadership and a personal touch that inspires loyalty and a wi

87、llingness to give 100 percent.Prasad JayaramanAmericas Cyber Security LeaderPrincipal,KPMG in the USE:數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略In addition to serving as the Global Cyber Security practice leader,Akhilesh heads the IT Advisory and Risk Con

88、sulting practices for KPMG in India.He is passionate about how developments in informationtechnology can help businesses drive smart processes and effective outcomes.Akhilesh has advised over 200 clients on cybersecurity,IT strategy and technology selection and helped them realize the business benef

89、its of technology.He is also knowledgeable in the area of behavioral psychology and isenthusiastic about addressing the IT risk issues holistically,primarily through the application of user-behavior analytics.As the US Leader of KPMGs Cyber Security practice,Kyle has more than 20 years of experience

90、 in the information systems field and a diverse background in cybersecurity,data privacy,regulatory compliance,risk management,and general technology issues.While he has strong technical skills,Kyle utilizes a business-centered approach to solving technology problems by addressing root causes rather

91、 than technical symptoms.Hes a trusted advisor to numerous Fortune 500 organizations,working with senior executives,including Boards of Directors,audit committees,Chief Information Officers,Chief Financial Officers,Chief Operating Officers,Chief Technology Officers and Chief Information Security Off

92、icers.2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。252023網絡安全重要趨勢本報告的出版與全球各地同事的鼎力支持密不可分，特此感謝他們共同參與報告的設計、分析、撰寫和制作。鳴謝The Global cyber considerations teamJessica Booth David FerbracheJohn Hodson Billy Lawrence Leonidas Lykos Michae

93、lThayerOur Global collaboratorsJohn AnyanwuPartner,KPMG in Nigeria Jonathan Dambrot Principal,KPMG in the US David FerbracheHead of Cyber Innovation KPMG International Jayne GobleDirector,KPMG in the UK jayne.goblekpmg.co.ukJason Haward-Grau Principal,KPMG in the US Lisa HeneganGlobal Chief Digital

94、Officer KPMG in the UK lisa.heneghankpmg.co.ukCharles JaccoPartner,KPMG in the US Prasad JayaramanPrincipal,KPMG in the US Sylvia Klasovec Kingsmill Partner,KPMG in Canada skingsmillkpmg.caMarkus Limbach Partner,KPMG in the US Deepak MathurPrincipal,KPMG in the US Dani MichauxPartner,KPMG in Ireland

95、 dani.michauxkpmg.ieMatt OKeefePartner,KPMG Australia .auNatasha PassleyPartner,KPMG Australia npassleykpmg.auWalter RisiPartner,KPMG in Argentina wrisikpmg.arMotoki SawadaPartner,KPMG in Japan Henry ShekPartner,KPMG China Julia SpainPartner,KPMG in the UK julia.spainkpmg.co.ukEddie TohPartner,KPMG

96、in Singapore .sgAkhilesh TutejaPartner,KPMG in India Annemarie ZielstraPartner,KPMG in the Netherlands zielstra.annemariekpmg.nl數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略2023 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯

97、的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。262023網絡安全重要趨勢聯系我們Akhilesh Tuteja全球網絡安全主管畢馬威國際合伙人，畢馬威印度Prasad Jayaraman美洲區網絡安全主管及畢馬威美國主管Kyle Kappel網絡安全服務主管網絡業務主管畢馬威美國Matt OKeefe亞太區網絡安全主管合伙人畢馬威澳大利亞.auDani Michaux歐洲、中東與非洲網絡安全主管合伙人畢馬威愛爾蘭dani.michauxkpmg.ie畢馬威國際畢馬威中國數字信任：一項共同承擔的責任以“無形”措施護航安全實現無邊界的、以數據為中心的未來新合作，新模式自動化技術

98、可信智能世界安全應對多變的網絡攻擊業務連續性2023年度網絡安全戰略石浩然香港網絡安全和數據保護咨詢服務合伙人香港網絡安全和數據保護咨詢服務合伙人畢馬威中國畢馬威中國電話：+852 2143 8799郵箱：林海燕香港網絡安全和數據保護咨詢服務合伙人香港網絡安全和數據保護咨詢服務合伙人畢馬威中國畢馬威中國電話：+852 2143 8803郵箱：張倪海香港網絡安全和數據保護咨詢服務合伙人香港網絡安全和數據保護咨詢服務合伙人畢馬威中國畢馬威中國電話：+852 2847 5026郵箱：張令琪網絡與信息安全咨詢服務合伙人網絡與信息安全咨詢服務合伙人畢馬威中國電話：+86(21)2212 3637郵箱：周

99、文韜網絡與信息安全咨詢服務總監網絡與信息安全咨詢服務總監畢馬威中國畢馬威中國電話：+86(21)2212 3149郵箱：黃芃芃網絡與信息安全咨詢服務合伙人網絡與信息安全咨詢服務合伙人畢馬威中國畢馬威中國電話：+86(21)2212 2355郵箱：鄔敏華網絡與信息安全咨詢服務總監網絡與信息安全咨詢服務總監畢馬威中國畢馬威中國電話：+86（21）22123180郵箱：郝長偉網絡與信息安全咨詢服務合伙人網絡與信息安全咨詢服務合伙人畢馬威中國畢馬威中國電話：+86(10)8508 5498郵箱：李振網絡與信息安全咨詢服務總監網絡與信息安全咨詢服務總監畢馬威中國畢馬威中國電話：+86(10)8508 5

100、397郵箱：本刊物經畢馬威國際授權翻譯，已獲得原作者及成員所授權。本刊物為畢馬威國際發布的英文原文“Cybersecurity considerations 2023”（“原文刊物”）的中文譯本。如本中文譯本的字詞含義與其原文刊物不一致，應以原文刊物為準。所載資料僅供一般參考用，并非針對任何個人或團體的個別情況而提供。雖然本所已致力提供準確和及時的資料，但本所不能保證這些資料在閣下收取時或日后仍然準確。任何人士不應在沒有詳細考慮相關的情況及獲取適當的專業意見下依據所載資料行事。2023畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。畢馬威的名稱和標識均為畢馬威全球性組織中的獨立成員所經許可后使用的商標。