《德勤：2024全球網絡安全前瞻調研報告（第4版）（35頁）.pdf》由會員分享，可在線閱讀，更多相關《德勤：2024全球網絡安全前瞻調研報告（第4版）（35頁）.pdf（35頁珍藏版）》請在三個皮匠報告上搜索。

1、增強網絡安全韌性增強網絡安全韌性提升變革價值提升變革價值網絡安全網絡安全的前景的前景全球網絡安全前瞻調研報告 第4版2精準理解并預測網絡安全未來趨勢是一項長期戰略要務，它不僅可以讓我們通過前瞻性思維敏銳地洞察和識別新興風險，同時也將深度挖掘其中蘊藏的無限價值潛力。德勤第四版全球網絡安全前瞻調研報告正式發布，為我們勾繪了一幅更加清晰、更加全面的網絡安全藍圖。調研顯示，網絡安全與商業價值之間的關聯持續增強。在推動技術驅動項目和實現業務成果的過程中，網絡安全扮演著更加舉足輕重的角色。同時，隨著企業對網絡安全的重視程度與日俱增，包括首席信息安全官（CISO）在內C級高管的角色正發生轉變，他們的影響力和

2、職責范圍也在不斷擴大。我們很高興與您分享本次調研的主要發現，并邀您一同探究相關成果。接下來的內容中，我們結合德勤在全球網絡安全領域的豐富經驗和深刻理解，為您呈現一系列由數據驅動的專業洞察。此外，報告還梳理了受訪者的直接反饋和觀點，旨在提供更加全面的多元化視角。誠邀您閱覽本報告，如需進一步探討相關內容，歡迎隨時與我們聯系。Emily Mossburg德勤全球網絡安全服務主管合伙人筑牢筑牢網絡安全網絡安全打造價值引擎打造價值引擎網絡安全需求瞬息萬變。新興網絡安全威脅、前沿技網絡安全需求瞬息萬變。新興網絡安全威脅、前沿技術以及業務需求的不斷演進，正持續重塑各行各業組術以及業務需求的不斷演進，正持續重

3、塑各行各業組織的戰略優先級和可能性?？椀膽鹇詢炏燃壓涂赡苄?。31高層視角高層視角網絡安全戰略轉型的新時代42調研方法調研方法我們是如何得出這些見解的8報告內容概覽報告內容概覽3關鍵發現關鍵發現網絡安全影響戰略價值9 網絡安全在戰略商業價值中的作用10 首席信息安全官CISO在領導層中的影響力與日俱增16 網絡安全與技術驅動的轉型的融合19 網絡安全成熟度、信心和收益之間的聯系254展望未來展望未來洞悉網絡安全未來315邁向新征程邁向新征程未來已至 制勝有方33高層視角高層視角4網絡安全戰略網絡安全戰略轉型轉型的新時代的新時代專注于商業價值和韌性專注于商業價值和韌性全球范圍內的組織在面對持續的業

4、務復雜性和全球范圍內的組織在面對持續的業務復雜性和變化，以及各種新興威脅和風險的同時，網絡變化，以及各種新興威脅和風險的同時，網絡安全與商業價值的緊密聯系始終如一。對于各安全與商業價值的緊密聯系始終如一。對于各行各業的組織而言，網絡安全始終是其持續實行各業的組織而言，網絡安全始終是其持續實現其所期望成果的核心所在?，F其所期望成果的核心所在。德勤發布的全球網絡安全前瞻調研第四版，對近1,200位全球各行業領導者進行了深度訪談，聚焦于他們對網絡安全威脅、企業活動及未來趨勢的看法。受訪者包括企業高管及IT、安全、風險和業務領域的其他高層管理者。報告深刻揭示了網絡安全與企業影響的緊密關聯。5高層視角高

5、層視角在具有高網絡安全成熟度的組織中，預期商業價值將取得積極成果的受訪者數量幾乎是其同行的兩倍兩倍。52%受訪者對企業高層C-suite和董事會在充分應對網絡安全問題方面的能力非常有信心對商業價值導向的聚焦日益增強對商業價值導向的聚焦日益增強在我們先前的報告，即第三版調查中，德勤深在我們先前的報告，即第三版調查中，德勤深刻洞察到網絡安全正逐步演變為企業的獨立功刻洞察到網絡安全正逐步演變為企業的獨立功能領域，能領域，它超越了傳統的IT范疇，成為推動實現業務成果的關鍵組成部分。在本次的第四版調查中，我們觀察到，網絡安全戰略不僅對于釋放更大的商業價值至關重要，而且網絡安全實踐已深度融入技術轉型實踐。

6、同時，網絡安全領導層的聲音，尤其是首席信息安全官（CISO）的影響力顯著提升，同時對網絡安全有深入洞察的企業高層也越來越多。盡管對網絡安全的重視程度持續提升，但僅有約半數（52%）的受訪者對企業高層（C-suite）和董事會在網絡安全領域的駕馭能力充滿信心，認為他們能夠妥善應對網絡安全挑戰。尤其在那些關注網絡安全的企業高層（C-suite）受訪者中，僅有34%的人表示非常有信心，這暗示他們對自己的能力持有較低的自信度，甚至低于外界的預期。然而，當我們聚焦于網絡安全成熟度分類為高（以德勤標準）的組織時，我們發現了兩個關鍵點：網絡安全在高層得到了認可，且組織的網絡安全成熟度與其在應對網絡安全問題時

7、的信心之間存在顯著的正相關性。實際上，在高網絡安全成熟度的組織中，對企業高層（C-suite）和董事會在網絡安全領域駕馭能力的信心躍升至82%，相比之下，網絡安全成熟度為中和低的組織中，這一比例分別為52%和39%。調查結果表明，平均而言，86%的受訪者正在中等或大規模地采取行動，以增強網絡安全策略和行動，將網絡安全視為企業不可或缺的組成部分。同時，平均而言，85%的受訪者預計能夠中等或大規模地實現其期望的業務成果。這凸顯了網絡安全在推動實施成功的策略中，起到核心作用，但并非所有組織都能同樣地從中獲益。組織的網絡安全成熟度越高，其潛在影響越大。調查發現，在具有較高網絡安全成熟度的組織中，預期業

8、務將取得積極成果的受訪者數量幾乎是其同行的兩倍。這些高網絡安全成熟度組織如何看待網絡安全，以及他們采取的行動，為其他尋求提升自身網絡安全成熟度的組織提供了借鑒和潛在路徑。6高層視角高層視角更高的網絡安全成熟度并不能使組織完全免受威脅，但它能增強組織在威脅發生時的韌性韌性，從而確保關鍵業務的持續運行。網絡安全成熟型組織準備更加充分且更具韌性網絡安全成熟型組織準備更加充分且更具韌性在本期的調查中，德勤基于多個因素識別了具有高網絡安全成熟度的組織。與上一期調查一樣，我們評估了這些組織的網絡安全戰略規劃水平、特定的網絡安全活動，以及董事會層面的網絡安全參與度。根據這些因素，我們發現，在這些網絡安全成熟

9、度更高的組織中，網絡安全在支持和塑造技術驅動項目中的影響力增長了三個百分點。然而，鑒于人工智能（AI）技術的迅速發展，跨國組織正面臨更加復雜的攻擊。與此同時，投資AI驅動的工具和網絡安全解決方案的機會也應運而生。因此，我們更新了德勤的網絡安全成熟度指數，以納入受訪者在網絡安全計劃中使用AI能力的程度（見第25頁的“網絡安全成熟度”）。在這些高網絡安全成熟度的組織中，首席信息安全官（CISO）和其他網絡安全領導者作為專家受到邀請，幫助指導針對云驅動的業務計劃、AI賦能活動、企業資源規劃（ERP）現代化以及其他數字轉型優先事項的投資。換句話說，網絡安全在幫助企業獲得技術能力方面的資金中發揮著重要作

10、用。對網絡安全的高度重視也意味著首席信息安全官（CISO）更多地參與了與數字轉型相關的戰略對話。這些高網絡安全成熟度的組織實施了一系列的基礎的網絡安全行動，如制定戰略和運行計劃、監控網絡風險等，最值得注意的是，組織在遭受網絡攻擊后能夠迅速恢復的能力。更高的網絡安全成熟度并不能使這些組織完全免受威脅，但它使它們在威脅發生時更具韌性，從而確保關鍵業務的連續性。與總體調查受訪者相比，高網絡安全成熟度的組織預計平均能多實現27個百分點的業務成果。盡管他們報告在過去一年中遭受了11次或更多的網絡攻擊（比總體受訪者高出8個百分點），并也承擔了負面后果（平均比總體受訪者高出7個百分點），但他們仍保持了這些預

11、期。這可能是因為高網絡安全成熟度的組織更善于識別到網絡攻擊，因此報告的攻擊次數更多，并不一定意味著他們遭受的攻擊就更多。7高層視角高層視角組織痛點所在：組織痛點所在：（圖1）網絡安全事件和數據泄露正給調查受訪者帶來以下主要的負面影響。網絡安全事件和數據泄露正給調查受訪者帶來以下主要的負面影響。由網絡安全事件和數據泄露引發的負面后果由網絡安全事件和數據泄露引發的負面后果第三版第三版（排名）（排名）第三版第三版（占比）（占比）第四版第四版（排名）（排名）第四版第四版（占比）（占比）對技術完整性的信心喪失對技術完整性的信心喪失655%166%運營中斷運營中斷（包括供應鏈或合作伙伴生態系統）158%2

12、66%聲譽損失聲譽損失455%365%人才招聘人才招聘/留用的負面影響留用的負面影響754%464%收入損失收入損失256%564%客戶信任喪失客戶信任喪失/品牌負面影響品牌負面影響356%663%知識產權受到侵害知識產權受到侵害854%763%監管罰款監管罰款1052%863%股價下跌股價下跌952%963%戰略計劃的資金削減戰略計劃的資金削減555%1063%我們的威脅面正在迅速擴大。隨著我們使用新我們的威脅面正在迅速擴大。隨著我們使用新技術連接工廠，新的風險也隨之出現。一旦我技術連接工廠，新的風險也隨之出現。一旦我們將供應商的機器人與制造商的維護服務連接們將供應商的機器人與制造商的維護服

13、務連接起來，或者向生產線組件推送軟件包，情況就起來，或者向生產線組件推送軟件包，情況就會變得復雜得多?！睍兊脧碗s得多?！盞evin Tierney，通用汽車首席網絡安全官，通用汽車首席網絡安全官高網絡安全成熟度的組織領導者們深刻認識到，關鍵在于為不可避免的網絡攻擊做好響應與恢復準備，確保業務迅速恢復運行，持續為客戶提供服務。隨著組織韌性增強，組織準備應對或希望避免的挑戰有哪些變化？與上一版調查相比，對技術完整性（即系統和數據的可靠性、準確性和可用性）喪失信心，已躍升至網絡安全事件或數據泄露帶來的負面影響之首，這在組織加速數字化轉型的背景下變得日益重要。運營中斷，包括供應鏈或合作伙伴生態系統的

14、中斷，依然高居列表第二位，凸顯了在合作伙伴和基礎設施中保持業務連續性的重要性。然而，也出現了一個顯著的變化，因為在上一版調查中，這是首要的擔憂。聲譽損失則上升至第三位（圖1）。組織今天采取的措施應聚焦于如何通過網絡安全投資優化、保存、保護和創造組織價值。這包括通過確保數字產品和基礎設施的數據安全和完整性，為未來的增長奠定堅實的網絡安全實踐基礎。這一基礎還應融入具備響應能力的基礎設施和數字生態系統的基本要素，以促進未來的增長和業務韌性。本版調查顯示出一個明顯的趨勢，即網絡安全計劃和首席信息安全官（CISO）在所有這些價值流中通過更加集成的技術轉型策略獲得更大的戰略影響力，尤其是在最成熟的網絡安全

15、組織中。有效的網絡安全策略應當不局限于傳統的事件響應，而應深入探討企業如何將網絡風險、安全與信任融入其整體戰略的核心。采取全面且以業務為導向的視角，使你能夠將更廣泛的業務目標與運營需求相連接。這種方法確保網絡安全不僅是被動的應對措施，而是成為組織戰略、技術和運營框架中主動且不可或缺的組成部分。此外，德勤的研究表明，市場上最成熟的網絡安全組織正通過類似以業務為導向的方法獲得顯著價值。8調研方法調研方法我們是我們是如何得出如何得出這些見解這些見解的的研究背后研究背后德勤根據當今商業與技術環境的復雜性，設計德勤根據當今商業與技術環境的復雜性，設計了了全球網絡安全前瞻調研全球網絡安全前瞻調研報告的第四

16、版，報告的第四版，重點關注那些已經認識到網絡安全重要性，但重點關注那些已經認識到網絡安全重要性，但在實際中卻不知如何發揮其價值的企業領導者在實際中卻不知如何發揮其價值的企業領導者的需求。的需求。德勤的這項研究基于對近1,200名網絡安全決策者的調查，這些決策者至少在董事級別，包括企業高層（C-suite）及其直級下屬，涵蓋了不同的業務和IT職能。調查反映的數據來自43個國家和六個行業，且擁有至少1,000名員工和每年5億美元收入的組織。德勤還對來自不同行業和地區的高級網絡安全決策者進行了深入訪談，以獲取更詳細的信息洞察，并幫助驗證我們的觀察結果。我們的研究方法涵蓋了與網絡安全未來相關的每一個方

17、面，從戰略到戰術，從文化到技術實施。本次研究的核心，我們致力于探索自上一份報告發布以來，網絡安全領域發生的變化，同時采用前瞻性的視角，以期更清晰地描繪出網絡安全的未來圖景。我們還力求更深入地了解當今企業高層（C-suite）對網絡安全的敏銳度。在整個調查過程中，我們力求揭示洞察，以更好地理解企業正在經歷的與網絡安全相關活動給企業帶來的商業價值和影響，以及領先企業為增加價值而采取的特別行動。我們所調查的各組織的總部所在地美洲美洲北美、南美30%EMEA歐洲/中東/非洲41%APAC亞太地區29%9關鍵發現關鍵發現1網絡安全影響網絡安全影響戰略價值戰略價值努力擴大業務影響努力擴大業務影響展望網絡安

18、全的未來，通往網絡安全成熟度的展望網絡安全的未來，通往網絡安全成熟度的路徑正變得日益清晰。那些沿著這條路徑前行路徑正變得日益清晰。那些沿著這條路徑前行的組織，將網絡安全風險策略、安全實踐和信的組織，將網絡安全風險策略、安全實踐和信任構建措施深度融入其業務與技術轉型中，這任構建措施深度融入其業務與技術轉型中，這一切得益于具備高度網絡安全意識的企業高層一切得益于具備高度網絡安全意識的企業高層（C-suite）和具有重大影響力的首席信息安全）和具有重大影響力的首席信息安全官（官（CISO）的支持和推動。這些組織預期會?。┑闹С趾屯苿?。這些組織預期會取得顯著的成功，從而在快速變化的數字環境中，得顯著的

19、成功，從而在快速變化的數字環境中，更有效地推動業務轉型。更有效地推動業務轉型。隨著組織不斷的提升網絡安全成熟度，它們可以在業務活動、技術運營中優先考慮網絡安全事項并與得到管理層支持，從而與同行拉開差距。通過優先考慮這些網絡安全與業務活動和技術運營的關聯度，它們將能夠更有效地實現我們在上一版調查中看到的優先戰略成果。這種方法不僅加強了它們的網絡韌性，還確保了網絡安全工作與整體業務目標的協調一致，確保它們能夠以安全和可持續的方式實現戰略目標。在本報告中，我們將基于調查數據、網絡安全成熟度指數以及全球領導者們的見解，深入探討高階洞察。我們將展示那些表現卓越的組織是如何在網絡安全領域脫穎而出的，并為全

20、球的網絡安全從業人士提供指導，幫助他們提升其工作的網絡安全的成熟度。我們將探討如何做到我們將探討如何做到.網絡安全仍然是戰略業務價值的關鍵要素，而且關注度正在加強。2隨著企業高層（C-suite）對網絡安全的認識不斷提高，首席信息安全官（CISO）的影響力正在與日俱增。3網絡安全與技術驅動的項目和數字化業務轉型深度融合。4具有更高網絡安全成熟度的組織對其網絡安全實踐和投資更有信心，并從中獲得了更大的收益。10關鍵發現關鍵發現網絡安全仍然是戰略業務價網絡安全仍然是戰略業務價值的關鍵要素值的關鍵要素且關注度且關注度正在加強正在加強在當今深度互聯的數字環境中，網絡安全的基在當今深度互聯的數字環境中，

21、網絡安全的基礎重要性毋庸置疑。企業可以通過各種活動礎重要性毋庸置疑。企業可以通過各種活動/行行動和戰略手段來加強網絡安全的準備程度，從動和戰略手段來加強網絡安全的準備程度，從而提高業務價值。而提高業務價值。采取行動僅為第一步采取行動僅為第一步大多數受訪者都認真審視網絡安全行動的必要性，其中86%的受訪者在中等或較大程度上實施了具體活動/行動，以提高網絡安全。這種水平的行動表明，絕大多數組織都了解開展這些活動和實施強有力的網絡安全計劃的必要性。這也表明，隨著他們需要開展的網絡安全活動清單不斷增加，他們正在保持網絡安全水平的同步提升。這些受訪者正在集中精力開展各種網絡安全管理活動，包括但不限于：降

22、低風險、加強網絡安全控制、改進事件響應、提高員工意識以及有策略的實施網絡安全計劃。當我們從網絡成熟度的角度對這些活動進行觀察，我們會發現，與網絡成熟度較低的組織相比，網絡成熟度高的組織采取這些行動的程度更高（圖2，另見網絡成熟度，第25頁）。網絡安全活動及其與成熟度的關系網絡安全活動及其與成熟度的關系（圖2）與網絡成熟度較低的組織相比，網絡成熟度高的組織參與這些關鍵網絡安全活動的程度更高。與網絡成熟度較低的組織相比，網絡成熟度高的組織參與這些關鍵網絡安全活動的程度更高。（百分比）86%受訪者報告在中等或較大程度上開展了具體活動/行動，以加強網絡安全。這實際上是關于做好基礎工作，并持續提升這這實

23、際上是關于做好基礎工作，并持續提升這些基礎工作的成熟度，每天都保持卓越，持之些基礎工作的成熟度，每天都保持卓越，持之以恒。比如基礎控制、資產管理、漏洞管理等。以恒。比如基礎控制、資產管理、漏洞管理等。在這些方面，你必須達到幾乎無需思考就能做在這些方面，你必須達到幾乎無需思考就能做好的程度，它們必須自然而然地發生?！焙玫某潭?，它們必須自然而然地發生?！眮碜陨茖W與醫療保健組織的某位來自生命科學與醫療保健組織的某位CISO293228282828272425292627234845484545444444454041424280757474777574746669747173網絡成熟度低（n=4

24、21）網絡成熟度中（n=612）網絡成熟度高（n=163）共計共計（n=1,196）網絡安全戰略計劃，包括組織的未來愿景和如何實現目標的操作計劃每年對所有員工進行網絡安全意識培訓每年更新和測試網絡安全事件響應計劃全面計劃，評估我們如何在數據存儲、處理和傳輸過程中保護數據維護軟件組件（如應用程序接口）清單加強控制和措施，保護客戶/消費者身份、訪問權限并減少身份欺詐行為保持完整并最新的資產和關鍵性清單在公司高層進行網絡安全演習，對響應計劃、通信和恢復戰略進行壓力測試維護基本安全控制的行動計劃（例如，IT資產清單、數據分類、補丁和漏洞管理）購買網絡安全保險第三方網絡安全風險管理，監控和跟蹤合作伙伴和

25、供應商的安全狀況不斷聽取客戶意見，了解網絡安全和數據隱私偏好我們的網絡安全實踐以行業特定標準和實踐為指導3940404041414243434344444511關鍵發現關鍵發現制定網絡安全戰略計劃制定網絡安全戰略計劃（圖3）受訪者表示正在采取的加強和改善網絡安全的具體戰略措施。受訪者表示正在采取的加強和改善網絡安全的具體戰略措施。在戰略指導下，網絡安全的執行在整個業務中在戰略指導下，網絡安全的執行在整個業務中更加一體化更加一體化絕大多數組織還在采取一系列戰略性網絡安全行動，包括：制定基準和衡量標準、與可信賴的供應商合作、加入信息共享聯盟以及建立由高級業務和IT領導人組成的管理機構，以監督網絡安

26、全能力和投資?？傮w而言，83%的受訪者同意或完全同意這些措施是其整體網絡安全戰略的組成部分。這種共識的程度表明，網絡安全戰略將繼續融入業務中。83%受訪者總體上同意這些措施是其整體網絡安全戰略的組成部分。1123233334121215151515131645464443434548454139393938373634我們有一個由高級業務和IT領導人組成的管理機構，負責監督網絡安全能力和投資。我們與可信賴的供應商合作，提供特定的網絡安全成果或運營關鍵的網絡安全能力。我們采用定性風險評估來衡量網絡安全投資的回報。我們使用網絡安全成熟度評估來指導我們的網絡安全投資決策。我們采用風險量化工具來衡量網

27、絡安全投資的回報。我們的網絡安全活動以其他行業領先者為基準。我們將我們的網絡安全支出與一組確定的同行進行對比。我們加入了信息共享聯盟。（n=1,196）注：由于四舍五入，百分比相加可能不等于100%。完全不同意不同意既不同意也不反對同意完全同意12關鍵發現關鍵發現2468536433336386253615657面對日益增長的網絡安全威脅加大網絡安全投面對日益增長的網絡安全威脅加大網絡安全投資，資，全球超過半數的受訪者（57%）預計在未來12至24個月內增加其網絡安全預算。同時，58%的受訪者表示，他們預期開始將網絡安全支出與其它項目的預算進行整合，例如數字化轉型計劃、IT項目和云投資。這種投

28、資水平和預算整合凸顯了網絡安全活動與企業運營日益交織的特性。這也強調了一個現實，即網絡安全資金往往被視為零和游戲，在轉型項目中，網絡安全常常被忽視，以在零和環境中節省成本。持續優先考慮網絡安全，并在業務和技術運營以及領導層之間建立網絡安全連接能力，對于組織脫穎而出并成功實現戰略成果至關重要。一個網絡安全成熟的組織明白，網絡安全不僅僅是一個信息技術問題，而是一個業務成功的關鍵所在，需要在組織的所有職能和層級中進行整合。通過培養這種強大的網絡安全連接能力，組織可以增強與網絡安全相關的協作、信息共享和決策制定。這種方法使領導者能夠根據業務目標做出明智的戰略決策，并有效降低網絡安全風險。最終，那些優先

29、考慮網絡安全并構建強大網絡安全連接能力的組織，即將網絡安全納入組織職能和領導角色的組織，能夠在日益數字化的世界中更好地保護其資產、聲譽和整體韌性。支出在增加支出在增加（圖4）57%的受訪者預計在未來的受訪者預計在未來12-24個月內增加網絡安全預算。個月內增加網絡安全預算。（單位：美元和百分比）5億至億至10億美元億美元（n=314）10億至億至50億美元億美元（n=378）50億至億至100億美元億美元（n=253）超過超過100億美元億美元（n=251）所有受訪者所有受訪者（n=1,196）減少保持不變增加57%受訪者預計在未來12-24個月內增加網絡安全預算。我們發現，平均而言，受訪者每

30、年在IT方面的總體支出在1.47億美元到2.66億美元之間。其中，19%（3,900萬美元）用于網絡安全相關活動，而受訪者預計在未來12至24個月內，這一比例將增加3%。由于公司的規模、擁有的數據類型、在線業務和供應鏈實踐等因素各不相同，由于公司的規模、擁有的數據類型、在線業務和供應鏈實踐等因素各不相同，因此它們的威脅特征也各不相同。每家公司都必須制定強有力的威脅情報戰略，因此它們的威脅特征也各不相同。每家公司都必須制定強有力的威脅情報戰略，包括了解誰在關注他們、為什么，以及他們是如何運作的。了解潛在攻擊者的包括了解誰在關注他們、為什么，以及他們是如何運作的。了解潛在攻擊者的動機和策略對于制定

31、有效的安全措施至關重要?！眲訖C和策略對于制定有效的安全措施至關重要?！盙ary Harbison，強生公司首席信息安全官，強生公司首席信息安全官13關鍵發現關鍵發現15610111516or moreNone32224661112742141827241813131187634282117攻擊現實日益嚴峻，包括與生成式人工智能攻擊現實日益嚴峻，包括與生成式人工智能（GenAI）相關的新威脅和網絡風險）相關的新威脅和網絡風險隨著各組織所面臨的網絡威脅日益增多且多樣化，預計投資也將隨之增加。與上一期調查類似，網絡犯罪分子和恐怖分子是最主要的威脅行為者。42%的受訪者表示，上述威脅行為者中，他們最關

32、注的是黑客活動分子（旨在發表與政治或社會事業有關的聲明的威脅行為者）、網絡罪犯分子（為牟取經濟利益而實施惡意活動）和內部人員（個人恩怨和利益相關）。在網絡攻擊者使用的工具和技術方面，釣魚攻擊、惡意軟件和勒索軟件的組合被34%的受訪者報告為最主要的威脅來源。這一比例比上一次調查下降了8個百分點，與此同時，與數據丟失相關的威脅報告卻大幅上升，從上次調查的14%上升到本次調查的28%。同時，40%的受訪者表示，他們在過去一年中公開報告了六到十起網絡安全事件，這一比例相比上一次調查增加了兩個百分點。攻擊事件持續上升的趨勢并不令人驚訝。對威脅行為者來說，可利用的攻擊面很大，并且還在持續擴大。調查還追蹤了

33、受訪者如何應對因生成式人工智能（GenAI）出現而產生的新網絡安全風險。分析顯示，與不太成熟的組織相比，網絡成熟度高的組織對這些風險的認識更為明顯。在網絡安全成熟度最高的組織中，受訪者認為會影響其網絡安全戰略的四大GenAI相關風險如下：GenAI輸出的可解釋性（82%）GenAI算法帶來信息完整性風險（81%）為GenAI和人類協同工作制定有效的控制措施（81%）數據投毒（例如，通過破壞訓練數據集來影響GenAI輸出）（80%）隨著越來越多的組織實現流程自動化，并與供應商和其他第三方共享數據，新的安全漏洞也隨之出現。這些日益復雜的數字基礎設施和生態系統帶來了新的攻擊機會。正在突破防御的威脅正

34、在突破防御的威脅（圖5）網絡安全漏洞的來源，以及有多少組織正在遭遇這些漏洞。網絡安全漏洞的來源，以及有多少組織正在遭遇這些漏洞。（百分比，第三版Vs第四版）40%受訪者表示，在過去一年中公開報告了六至十起網絡安全漏洞事件。攻擊者攻擊者/來源來源工具工具/技術技術漏洞事件次數漏洞事件次數42%網絡安全犯罪網絡安全恐怖分子員工善意的非故意行為導致的負面事件可信第三方惡意員工有組織犯罪黑客分子國家一切事物和每個人都如此緊密相連，風險正在一切事物和每個人都如此緊密相連，風險正在成倍增加?？紤]我們整個供應鏈網絡?？紤]所成倍增加?？紤]我們整個供應鏈網絡?？紤]所有公司安全能力的全面差異。我們對自己公司有公司

35、安全能力的全面差異。我們對自己公司內部和員工的安全措施感到相當自信。但問題內部和員工的安全措施感到相當自信。但問題是，我們如何確保與我們網絡接觸的每一個人是，我們如何確保與我們網絡接觸的每一個人都具備同等的安全防范和控制能力呢？”都具備同等的安全防范和控制能力呢？”Patrick Milligan，福特汽車公司首席信息安全官，福特汽車公司首席信息安全官3638143934401529釣魚/惡意軟件/勒索軟件數據丟失相關威脅APTs（高級持續性威脅）DoS（拒絕服務攻擊）第3版（n=1,110）第4版（n=1,196人）14關鍵發現關鍵發現5655525258545455555664636363

36、666364656663收益損失取消一項戰略舉措的資金股價下跌監管罰款運營中斷生態系統，包括供應鏈/合作伙伴生態系統知識產權受到侵害對人才招聘/留用產生負面影響聲譽損失對技術完整性喪失信心失去客戶信任/負面品牌影響因為人們對網絡安全計劃所帶來的效益期望越因為人們對網絡安全計劃所帶來的效益期望越來越高，技術完整性是受訪者最關心的問題。來越高，技術完整性是受訪者最關心的問題。在持續不斷的網絡威脅下，企業正在經歷一系列負面影響，包括對財務、運營和品牌三個領域的影響（圖6）?？傮w而言，在所有這三個領域中，最受關注的兩個問題是對技術完整性喪失信心和運營中斷（圖1，第7頁）。這種持續的關注強調了制定強有力

37、的網絡安全戰略計劃的重要性，該計劃能夠維護關鍵技術和運營，并增強組織的韌性。受訪者經歷的所有負面影響比前一版報告中的程度更高。在第三版報告中，平均56%的受訪者在中等和較大程度上經歷了所有這些后果，而在第四版中，這一比例上升到了64%。這一增長表明了兩個潛在的現實。首先，組織可能更全面地報告了網絡攻擊的影響，這表明了意識的增強。其次，由于生成式人工智能（GenAI）和其他先進技術的出現，攻擊面和頻率已經增加，這凸顯了網絡安全在未來日益增長的重要性，并明確要求采取行動，制定強有力的網絡安全戰略計劃。通過三個視角更深入地了解網絡安全事件的負面影響通過三個視角更深入地了解網絡安全事件的負面影響（圖6

38、）受訪者認為在財務、運營和品牌領域，網絡安全事件影響最大的方面。受訪者認為在財務、運營和品牌領域，網絡安全事件影響最大的方面。（百分比）財務財務運營運營品牌品牌第3版（n=1,110）第4版（n=1,196）15關鍵發現關鍵發現1212221223221121213121112151315141213144142424344444344434346454546444443434241414040404040提高客戶忠誠度，實現業務價值和增長為試驗和創新提供信心確保韌性（組織、供應鏈等）增加收入避免監管罰款實現我們的使命/目標增加信息透明度提高品牌信任度和聲譽加強對技術/數據完整性的信心提高客戶

39、滿意度和客戶留存率提高效率和敏捷性提高威脅檢測和響應能力保護知識產權網絡安全事件和數據泄露的這些負面影響，與組織期望通過其網絡安全舉措實現的效益（積極的業務成果）形成了鮮明對比。調查顯示，網絡安全舉措預期的三大成果是：（1）保護知識產權；（2）提升威脅檢測與響應能力；（3）提高效率和敏捷性（圖7）。這些預期效益表明，許多受訪者從網絡安全投資中看到了運營韌性的增強，但各行業之間存在一定這些預期效益表明，許多受訪者從網絡安全投資中看到了運營韌性的增強，但各行業之間存在一定差異：差異：網絡安全的預期成果網絡安全的預期成果（圖7）受訪者預期從網絡安全舉措中獲得的益處，以及他們期望這些益處實現的程度。受

40、訪者預期從網絡安全舉措中獲得的益處，以及他們期望這些益處實現的程度。（百分比）人們對網絡安全的期望顯然非常高。作為網絡安全職能的主要負責人，這些期望主要指向了首席信息安全官（CISO），他們面臨著艱巨的任務，即管理并實現業務的預期。對于任何組織而言，網絡安全事件和數據泄露都是不可避免的，但網絡安全的承諾在于最小化風險和負面影響，并盡可能實現利益最大化最終目標是使組織更加安全、更具韌性，并利用可信數據推動業務增長。完全沒有在很小程度上中等程度在很大程度上（n=1,196）消費者消費者增強對技術增強對技術/數數據完整性的信心據完整性的信心能源、資源能源、資源與工業與工業（ER&I）金融服務業金融服

41、務業（FSI）政府與公服務政府與公服務（GPS）生命科學生命科學與醫療與醫療（LSHC）提高客戶滿意度提高客戶滿意度和客戶留存率和客戶留存率科技、傳媒科技、傳媒和電信和電信（TMT）提高效率和提高效率和敏捷性敏捷性改進威脅檢測和改進威脅檢測和響應，同時保護響應，同時保護知識產權知識產權保護知識產權保護知識產權提高效率和提高效率和敏捷性敏捷性16關鍵發現關鍵發現1111212313334334253665181818202322212423242426274544454241424544414439374034343433333230292928292827首席信息安全官首席信息安全官CISO的

42、在領的在領導層中的影響力與日俱增導層中的影響力與日俱增受訪者表示，在他們的組織中，首席信息安全受訪者表示，在他們的組織中，首席信息安全官（官（CISO）往往對我們調查中詢問的大多數網）往往對我們調查中詢問的大多數網絡安全活動負主要責任，首席信息官（絡安全活動負主要責任，首席信息官（CIO）也）也發揮著關鍵作用。這些發揮著關鍵作用。這些CISO通常向首席信息官通常向首席信息官或首席技術官（或首席技術官（CTO）匯報工作。但調查顯示，）匯報工作。但調查顯示，約有五分之一的約有五分之一的CISO直接向首席執行官（直接向首席執行官（CEO）匯報工作。這是業務一致性的一個重要信號，匯報工作。這是業務一致

43、性的一個重要信號，以及在企業高層（以及在企業高層（C-suite）和執行領導層中的）和執行領導層中的影響力。影響力。首席信息安全官（CISO）在其他方面的影響力似乎也在增長。首席信息安全官（CISO）或同等職位的領導者，越來越多地參與到有關技術能力的戰略性業務對話中，這反映出技術能力在推動業務價值方面日益重要。首席信息安全官（首席信息安全官（CISO）的參與不再是可有可）的參與不再是可有可無。無。大約三分之一的受訪者表示，在過去一年中，首席信息安全官（CISO）在以下技術能力相關的戰略對話中的參與度顯著提高：云計算、人工智能/認知計算、GenAI、數據分析、5G以及客戶身份和訪問管理（圖8）。

44、將首席信息安全官（將首席信息安全官（CISO）納入戰略對話）納入戰略對話（圖8）首席信息安全官（首席信息安全官（CISO）參與討論的業務關鍵型技術能力領域，以及他們參與的程度。）參與討論的業務關鍵型技術能力領域，以及他們參與的程度。（百分比）物理機器人元宇宙區塊鏈/加密貨幣物聯網量子計算企業資源規劃（ERP）計劃運營技術客戶身份和訪問管理（CIAM）5G數據分析生成式AI人工智能/認知計算云計算（n=1,196）參與度明顯降低減少無變化增加參與度大幅提高17關鍵發現關鍵發現2720181187222111524341隨著首席信息安全官（CISO）在領導層中的影響力與日俱增，以及組織努力提升其在

45、網絡安全方面的知識和技能，我們預計首席信息安全官（CISO）將成為一個重要的合作伙伴，負責向董事會和企業高層（C-suite）提供關于安全漏洞、風險場景以及提升韌性的必要措施的指導和教育。未來，首席信息安全官（CISO）不僅要領導組織的整體網絡安全戰略，還要提供戰略指導，與其它企業高層（C-suite）緊密協作，確保安全措施與業務目標相協調。在關注網絡安全的企業高層（C-suite）高管中，只有34%非常有信心企業高層（C-suite）和董事會能夠充分駕馭網絡安全。這一比例比所有受訪者的平均信心水平低18個百分點（圖9）分析表明，網絡安全成熟型組織明白，首席信息安全官重要的職責就是讓企業高層（

46、C-suite）和董事會參與進來，也是有效解決網絡安全風險的關鍵。他們認識到，通過扮演更具影響力的角色，首席信息安全官可以提供有價值的見解和指導，并確保網絡安全作為需要持續關注和投資的戰略性業務問題而得到應有的重視和資源。德勤認為，鑒于網絡威脅、技術能力以及網絡安全與業務整合的不斷發展，CISO角色的重要性正在逐漸提升，但我們建議各組織加快行動，提升CISO的角色重要性。盡管大多數人認為首席信息安全官（CISO）的角色正在演變，且他們已經在企業高層（C-Suite）中占有一席之地，但仍缺乏對企業高層能夠自信地駕馭當前復雜網絡環境的信心。這種較低的信心水平可能表明，隨著CISO有效地向企業高層溝

47、通提示有關的風險/威脅以及組織應對風險的能力，企業高層對當前網絡環境的復雜性有了清醒的認識。同時，這也可能反映出受訪者整體上對組織的網絡安全成熟度和韌性存在過度自信，即他們可能高估了組織在網絡安全方面的準備程度和恢復能力。企業高層（企業高層（C-suite）的網絡安全意識及首席信息安全官（）的網絡安全意識及首席信息安全官（CISO）報告的一致性）報告的一致性（圖9）了解領導者對企業高層（了解領導者對企業高層（C-suite）的信任程度，并總體概述首席信息安全官（）的信任程度，并總體概述首席信息安全官（CISO）的匯報對象。）的匯報對象。（百分比）對我們來說，最大的轉變是在構建解決方案之對我們來

48、說，最大的轉變是在構建解決方案之前，而不是之后，引入安全討論。我們希望真前，而不是之后，引入安全討論。我們希望真正實現“設計中的安全”，而不是經常發生的正實現“設計中的安全”，而不是經常發生的“評估中的安全”。前者往往要求安全成為企“評估中的安全”。前者往往要求安全成為企業整體戰略中更為關鍵的組成部分?！睒I整體戰略中更為關鍵的組成部分?！眮碜阅痴凸卜諜C構的網絡和來自某政府和公共服務機構的網絡和IT安全總監安全總監首席技術官（CTO）首席執行官（CEO）首席信息官（CIO）董事會首席戰略官（CSO）首席安全官（CSO）首席運營官（COO）首席財務官（CFO）首席數據官（CDO）首席風險官

49、（CRO）業務信息安全官（BISO）首席合規官（n=1,196）對企業高層（對企業高層（C-suite）和董事會在網絡安）和董事會在網絡安全領域有效應對的信心全領域有效應對的信心首席信息安全官首席信息安全官/網絡安全負責網絡安全負責人向以下領導匯報工作人向以下領導匯報工作（n=1,196）非常有信心有一點信心保持中立有點不自信18關鍵發現關鍵發現雖然網絡安全是大多數組織董事會議程上的常規話題，88%的受訪者表示他們的董事會每季度甚至更頻繁地討論與網絡相關的問題，但顯然還需要加強意識教育，首席信息安全官（CISO）需就戰略風險和相應措施方面提供建議。在這一點上，德勤的Tech-Forward B

50、oardroom報告建議，為了提升董事會的討論水平，技術領導者可以將技術術語轉化為業務需求，與首席財務官（CFO）更緊密地合作以闡明業務影響，持續進行結構化報告和基準測試，共同向董事會匯報，通過深入的技術研討會進行研討，創建反饋循環，并在小型董事會會議中推廣這些活動。盡管大多數人認為首席信息安全官（CISO）的角色正在轉變，且已具有一定話語權，但對于企業高層（C-suite）能否駕馭當今復雜的網絡環境仍然缺乏信心缺乏信心88%受訪者表示他們的董事會每季度甚至更頻繁地討論與網絡相關的問題我們每季度都會向董事會匯報標準的最新情況，我們每季度都會向董事會匯報標準的最新情況，而這在幾年前是不存在的。我

51、認為，不僅僅是而這在幾年前是不存在的。我認為，不僅僅是討論的頻率，討論也更有深度了。我們對董事討論的頻率，討論也更有深度了。我們對董事會現在有疑問的關鍵議題進行了更多的深入探會現在有疑問的關鍵議題進行了更多的深入探討。我們最終會安排更多時間進行深入探討?！庇?。我們最終會安排更多時間進行深入探討?！蹦辰鹑诜展臼紫畔踩倌辰鹑诜展臼紫畔踩?9關鍵發現關鍵發現網絡安全已與技術驅動型項網絡安全已與技術驅動型項目和數字化業務轉型深度融目和數字化業務轉型深度融合。合。網絡安全的邊界正在變得模糊，就像數字化轉網絡安全的邊界正在變得模糊，就像數字化轉型的界限一樣。隨著組織與合作伙伴和其他第型

52、的界限一樣。隨著組織與合作伙伴和其他第三方共享數據和系統訪問權限，安全和隱私問三方共享數據和系統訪問權限，安全和隱私問題變得至關重要。最終，業務、客戶、數據和題變得至關重要。最終，業務、客戶、數據和數字信任的增長都取決于網絡安全。因此，許數字信任的增長都取決于網絡安全。因此，許多組織正在將網絡安全整合到業務和技術職能多組織正在將網絡安全整合到業務和技術職能中（圖中（圖10）。）。將網絡安全整合到整個業務中將網絡安全整合到整個業務中各組織不僅在加強和保護其技術能力，而且還在改變創造新產品的方式。例如，超過80%的受訪者表示，他們正在將隱私元素融入產品開發的早期階段，這有助于保護客戶數據并提高數字

53、信任度。這些考慮因素表明，DevSecOps流程的成熟度正在達到一個新水平，網絡安全領導者已成功融合進產品設計和開發團隊（圖10）。優先考慮隱私、信任和道德優先考慮隱私、信任和道德（圖10）大多數受訪者正在采取措施將網絡安全與產品開發、保護客戶數據等關鍵領域的需求進行整合。大多數受訪者正在采取措施將網絡安全與產品開發、保護客戶數據等關鍵領域的需求進行整合。（百分比）我一直將網絡安全視為一種助推器。如果你想我一直將網絡安全視為一種助推器。如果你想在高速公路上快速行駛，你需要確保你有保險在高速公路上快速行駛，你需要確保你有保險杠和制動器，而且你知道你的車有很多部件都杠和制動器，而且你知道你的車有很

54、多部件都在正常工作，否則你將無法在路上行駛。網絡在正常工作，否則你將無法在路上行駛。網絡安全可以充當這些保險杠或制動器，為汽車提安全可以充當這些保險杠或制動器，為汽車提供支撐（以便您能以正常速度行駛）?！惫┲危ㄒ员隳芤哉Ｋ俣刃旭偅??！盫ivek Khindria，Loblaw網絡安全、網絡和技術網絡安全、網絡和技術風險高級副總裁風險高級副總裁11323233239141415161513141743444443454747384039393837373633在產品或服務開發的初始階段就考慮隱私問題。保持有效執行網絡安全戰略所需的人才和技能。努力了解客戶需求、提供無縫體驗的同時保護客戶/消

55、費者數據，并利用這些知識釋放業務價值和實現增長。積極主動地發現和解決網絡安全系統中的漏洞。將道德因素（如公平性、透明度、問責制、包容性）作為制定網絡安全戰略的前三大優先事項。在過去一年中，我們增加了對數字信任的關注，作為網絡安全戰略的一部分。去年實施了新的流程，以改進我們在收集個人數據前征求用戶同意的方式。感到難以應對遵守網絡安全法律法規的需求。（n=1,196）完全不同意不同意既不同意也不反對同意完全同意20關鍵發現關鍵發現將網絡安全融入業務的更多方面也體現在支出方面。如前所述，大多數受訪者（58%）預計，網絡安全支出將開始與數字化轉型、IT計劃和云投資等其他計劃預算進行整合。與此同時，大多

56、數受訪者（55%）也認為網絡安全支出將保持獨立（圖11）。這兩種觀點并不矛盾；在被問及網絡安全支出的未來時，25%的受訪者選擇了兩個選項既包括整合支出，也包括獨立支出。這種雙重性反映了德勤在各組織中的觀察結果，即網絡安全支出通常來自專門的網絡安全預算以及IT、數字化轉型、業務領域和產品的預算。換句話說，網絡安全支出的規模涉及許多優先事項，這就要求領導者探索不同的、往往是并行的模式來為其提供資金。58%受訪者預計網絡安全支出將與其他預算相結合。網絡安全支出與數字化轉型的交叉點網絡安全支出與數字化轉型的交叉點（圖11）您認為不斷變化的數字化環境會如何影響貴組織的網絡安全支出？請選擇所有適用選項。您

57、認為不斷變化的數字化環境會如何影響貴組織的網絡安全支出？請選擇所有適用選項。（百分比）58553718支出將開始與其他預算（如數字化轉型、IT、云投資）相結合支出將保持獨立，并與其他預算（如數字化轉型、IT、云投資）分開支出將成為優先事項，并首次擁有自己的專項預算預算所有權將從單一所有者（如CISO、CIO）轉變為多個所有者（如IT和風險等）（n=1,196）注：由于四舍五入，百分比相加可能不等于100%。約25%的受訪者同時選擇了這兩個選項，即在某些領域整合支出，而在另一些領域保持獨立。25%21關鍵發現關鍵發現物理機器人元宇宙區塊鏈/加密貨幣量子計算企業資源規劃（ERP）客戶身份和訪問管理

58、（CIAM）物聯網5G數據分析生成式AI人工智能/認知計算云計算運營技術網絡安全預算整合的趨勢與另一個新現象緊密相關：網絡安全是推動業務目標的關鍵因素。我們的調查結果顯示，網絡安全在確保組織對技術能力的投資方面發揮著重要作用，尤其是在云計算（48%）、GenAI（41%）和數據分析（41%）等優先領域（圖12）。網絡安全在保障技術投資中的作用網絡安全在保障技術投資中的作用（圖12）網絡安全如何影響技術能力預算決策。網絡安全如何影響技術能力預算決策。（百分比）對于我們這家在全球運營的集團來說，加強安全是推動數字化轉型的一項至關重要的活動。我們建對于我們這家在全球運營的集團來說，加強安全是推動數字

59、化轉型的一項至關重要的活動。我們建立了一個名為立了一個名為JFE-安全整合與響應團隊的內部組織，分配預算和人員等資源，并在人力、技術安全整合與響應團隊的內部組織，分配預算和人員等資源，并在人力、技術和物理方面實施了必要的措施。我們的目標是在各種業務活動中增強網絡安全措施，包括產品、系和物理方面實施了必要的措施。我們的目標是在各種業務活動中增強網絡安全措施，包括產品、系統和服務的開發、設計、制造和提供。通過這些措施，我們不僅加強了整個供應鏈的網絡安全，并統和服務的開發、設計、制造和提供。通過這些措施，我們不僅加強了整個供應鏈的網絡安全，并最終為在全球范圍內全面提高社會的網絡安全做出貢獻?！弊罱K為

60、在全球范圍內全面提高社會的網絡安全做出貢獻?！盇kira Nitta，JFE Steel首席信息安全官首席信息安全官243334433811109131615161517151318171817203739404142404145433937404048414139393939393634323130（n=1,196）注：由于四舍五入，百分比相加可能不等于100%。完全沒有作用小作用中等作用大作用22關鍵發現關鍵發現為降低云生態系統的復雜性而采取的網絡安全措施為降低云生態系統的復雜性而采取的網絡安全措施（圖13）您的組織正在采取哪些網絡安全措施來減少云生態系統的復雜性？您的組織正在采取哪些網絡

61、安全措施來減少云生態系統的復雜性？（百分比）在云技術方面，網絡安全作為推動者發揮著重要作用，不僅有助于提高安全性，還能簡化組織的整體云環境。為降低云生態系統的復雜性，受訪者采取的首要網絡安全措施包括：定期進行安全審計和評估（44%）、實施一致的安全政策和程序（45%），以及在多方/多個解決方案中使用云生態系統監控技術（46%）（圖13）。46%受訪者表示在多方/多個解決方案中采用了云生態系統監控技術。4645444343403634在生態系統內定期進行安全審計和評估實施統一的安全政策和程序跨多方/多個解決方案采用云生態系統監控技術部署身份和訪問管理控制建立明確的協議和治理措施利用自動化工具執行

62、安全任務實施零信任安全模式與他人共享威脅情報（n=1,196）23關鍵發現關鍵發現關注人工智能網絡安全解決方案關注人工智能網絡安全解決方案鑒于人工智能在當今的重要性，我們在本次調查中將其納入了網絡成熟度指數。各組織關注的利用人工智能提高網絡安全能力的主要方式包括數字基礎設施監控、高級模擬和自動化安全。人工智能生成的內容使攻擊者能夠以更低的時間投入定制內容的創建。目前，人工智能生成內容的浪潮正以企業為目標，通過冒充可信來源來利用漏洞。這一問題正在迅速加劇。但這并不意味著企業在面對即將到來的人工智能生成內容的浪潮時無能為力。領先企業正在采取積極措施，確保自己不會成為受害者。（來源：Deloitte

63、 2024 Tech Trends:Defending reality:Truth in an age of synthetic media）。隨著人工智能在未來不斷發展，網絡安全的未來也在演變。兩者正在共同進化，因為組織正在利用新型人工智能解決方案來減輕網絡安全負擔。在受訪者中，平均有39%的人正在其網絡安全項目中大量使用人工智能功能。同時，受訪者也表達了對人工智能的擔憂，表示需要更新網絡安全戰略，以跟上技術不斷創新的步伐（圖14）。39%受訪者表示正在其網絡安全項目中大量使用人工智能功能。人工智能能力成為關注焦點人工智能能力成為關注焦點（圖14）受訪者處于何種階段處以及如何看待人工智能在其

64、網絡安全計劃中成為一種工具。受訪者處于何種階段處以及如何看待人工智能在其網絡安全計劃中成為一種工具。（百分比）當然，重點是防止惡意入侵。但我們還必須關當然，重點是防止惡意入侵。但我們還必須關注這些新技術（如注這些新技術（如AI）的影響，以及它們將如）的影響，以及它們將如何改變我們的環境。我們如何確保以安全可靠何改變我們的環境。我們如何確保以安全可靠的方式應用和使用的方式應用和使用AI，并利用，并利用AI在我們的網絡在我們的網絡安全框架中更好地提供安全保障？”安全框架中更好地提供安全保障？”GPS機構，網絡和信息技術安全總監機構，網絡和信息技術安全總監1222122213141412141514

65、1544444547464546454240393939383838部署基于人工智能的工具，持續監控組織的數字基礎設施生成高級網絡安全模擬利用人工智能實現網絡監控、異常檢測和威脅響應等安全流程的自動化加快對潛在安全威脅的響應速度實時分析網絡安全數據，了解復雜關系并識別新型攻擊載體啟用自動安全響應打造動態防御系統利用人工智能分析歷史數據，識別潛在的網絡安全威脅和漏洞（n=1,196）完全沒有在較小程度內中等程度在很大程度上24關鍵發現關鍵發現量子計算量子計算（圖15）各組織如何看待即將到來的量子計算時代以及量子網絡安全就緒的必要性。各組織如何看待即將到來的量子計算時代以及量子網絡安全就緒的必要性

66、。（百分比）迎接下一波新興技術浪潮迎接下一波新興技術浪潮隨著組織繼續應對與人工智能相關的風險和機遇，其他顛覆性技術也在不斷發展，并穩步邁向廣泛應用。隨著量子計算逐漸成為現實（預計在未來幾年內成為主流），并為網絡攻擊者破解密碼提供了一個強大的新工具，量子計算網絡安全準備工作正成為許多組織更加關注的焦點。數據顯示，近83%的受訪者正在評估與量子計算有關的風險或采取某種行動，無論是制定戰略、實施試點解決方案，還是大規模實施解決方案。雖然大多數受訪者（52%）仍在評估他們所面臨的風險并制定與量子計算相關的風險戰略，但其他受訪者（30%）正在采取果斷行動，作為早期采用者實施解決方案。這些數據表明，這一問

67、題的發展勢頭非常明顯，領導者可以通過了解潛在風險、審查數據和系統管理、優先處理與業務運營相關的漏洞以及制定加密算法、更新路線圖來應對挑戰。這樣做可以讓他們在往往需要多年時間的計劃中搶占先機，并在更廣泛的企業轉型過程中以及通過更新合同機制有序地引入新算法。30%受訪者正在采取果斷行動，作為早期采用者實施解決方案。41327251812目前不關注與量子計算有關的風險意識到量子計算威脅，但尚未采取行動評估我們面臨的與量子計算有關的風險制定應對量子計算相關風險的戰略實施測試版解決方案，減輕/避免與量子計算有關的風險大規模實施解決方案，應對與量子計算有關的風險（n=1,196）30%25關鍵發現關鍵發現

68、網絡成熟度較高的組織更有網絡成熟度較高的組織更有信心，并能從其網絡安全實信心，并能從其網絡安全實踐和投資中獲得更大的收益。踐和投資中獲得更大的收益。網絡成熟度指數網絡成熟度指數德勤借鑒了我們與全球數千家組織合作的經驗，德勤借鑒了我們與全球數千家組織合作的經驗，將高網絡安全成熟度的組織與低網絡安全成熟將高網絡安全成熟度的組織與低網絡安全成熟度的同行區分開來。度的同行區分開來。為了識別這一獨特的網絡安全領導階層，并更全面地了解網絡安全對企業成功和價值的支持程度，我們采用了四套領先實踐來對組織進行評級或指數化：健全的網絡安全計劃，包括防御和應對網絡威脅的戰略、運營和戰術計劃（規劃戰略的完整清單，見圖

69、3，第11頁）。關鍵的網絡安全活動，例如定性和定量風險評估、行業基準測試和事件響應情景規劃（網絡安全活動的完整清單，請參見圖2，第10頁）。董事會的有效參與，例如組織的董事會定期處理網絡安全相關問題。在網絡安全計劃中部署人工智能能力，重點關注那些在很大程度上采取了八項網絡人工智能相關行動中至少五項行動的組織（完整的行動清單請參見圖14，第23頁）。本次調查新增了最后一項標準人工智能能力，旨在反映技術和業務的演變，以及對于變得網絡成熟意味著什么。當我們僅使用前三個標準（與上一版相同的指數）時，我們會發現網絡成熟型組織增加了三個百分點從21%的組織增加到24%這是一個可觀的增長。不過，通過將人工智

70、能因素納入本版的網絡成熟度指數，我們可以定義出更精英的組織群體，這些組織處于塑造網絡安全未來前沿。在本次調查中，高網絡成熟度組織占調查對象的14%。與中和低網絡成熟度組織相比，高網絡成熟度組織是如何對待網絡安全問題的，這為企業領導者提供了重要經驗，可用于提升組織的網絡和業務價值。德勤借鑒了我們與全球全球數千家組織合作的經驗，將高網絡安全成熟度的組織與低網絡安全成熟度的同行區分開來。14%網絡成熟度低（n=421）網絡成熟度中等（n=612）網絡成熟度高（n=163）35網絡成熟度分類網絡成熟度分類（百分比）5126關鍵發現關鍵發現對網絡安全職能寄予厚望對網絡安全職能寄予厚望高網絡成熟度組織的受

71、訪者高度關注網絡安全措施可能帶來的潛在效益。平均而言，高網絡成熟度組織的受訪者期望其網絡安全措施帶來積極成果的可能性是低網絡成熟度組織受訪者的2.4倍（是中網絡成熟度組織受訪者的1.6倍）（圖16）。這些積極成果包括：確保組織韌性（76%）、改進威脅檢測和響應（74%）以及保護知識產權地位（74%）在這些方面，高網絡安全成熟度組織的受訪者的期望與低網絡安全成熟度組織的受訪者相比有顯著差異。這種情況反映了網絡的挑戰和前景。最具有網絡安全成熟度的組織在所有指標上的期望值都顯著更高。雖然他們認識到網絡安全應發揮的重要作用，但這種認識也給他們帶來了更大的壓力，要求他們必須做好各項工作。網絡安全驅動成果

72、網絡安全驅動成果（圖16）組織期望從其網絡安全工作中獲得的收益。組織期望從其網絡安全工作中獲得的收益。（顯示所有三個網絡成熟度組別的百分比）高成熟度和低成熟度部分之間的差異高成熟度和低成熟度部分之間的差異302932312628302730272725294847454347464242414339434074746970696169696663766867共計共計（n=1,196）網絡成熟度低（n=421）網絡成熟度中等（n=612）網絡成熟度高（n=163）保護知識產權提高效率和敏捷性提高客戶滿意度和客戶留存率加強對技術/數據完整性的信心提高品牌信任度和聲譽提高信息透明度實現我們的使命/目

73、標避免監管罰款增加收入確保韌性（組織的、供應鏈的）為試驗和創新提供信心提高客戶忠誠度，實現業務價值和增長提高威脅檢測和響應能力40404040414141424343444445%百分點+44%百分點+45%百分點+37%百分點+39%百分點+43%百分點+33%百分點+39%百分點+42%百分點+36%百分點+36%百分點+49%百分點+43%百分點+3827關鍵發現關鍵發現272323222322222119173331313230302827272834373533303437373633共計共計（n=1,196）網絡成熟度低（n=421）網絡成熟度中等（n=612）網絡成熟度高（n=1

74、63）聲譽損失對技術完整性喪失信心收益損失失去客戶信任/負面品牌影響對人才招聘/留用產生負面影響取消一項戰略舉措的資金知識產權受到侵害股價下跌監管罰款運營中斷生態系統，包括供應鏈/合作伙伴生態系統31威脅檢測和響應方法不斷發展威脅檢測和響應方法不斷發展任何組織都無法避免網絡安全數據泄露和網絡安全事件的負面影響，即使是那些在網絡安全方面成熟度較高的組織也不例外。平均而言，我們的分析表明，高網絡安全成熟度的組織在檢測網絡威脅和遵守相關報告要求方面的能力更強。例如，25%的高網絡安全成熟度組織的受訪者報告稱，在過去一年中發生了11次或更多的網絡安全事件，這一比例比總體受訪者高出8個百分點。雖然這看起

75、來像是一個負面因素，但或許是因為這些組織可能擁有更強的威脅檢測能力，使它們能夠更有效地識別和應對威脅。除了對網絡攻擊和事件有更高的認知外，這些組織還了解與漏洞和事件相關的真實成本。平均而言，高網絡安全成熟度的組織比低網絡安全成熟度的組織更有可能承認財務、運營和品牌影響的嚴重性，這一比例高出13個百分點。這種更深入的理解反映了一個“良性循環”，為網絡安全在整個業務和技術領域的持續整合提供了潛在的催化劑。它還有助于提升首席信息安全官（CISO）的角色，以保護和維護未來的價值，提高運營效率和韌性，并支持創新和收入增長目標。按成熟度分組的預期負面后果按成熟度分組的預期負面后果（圖17）網絡成熟度高的受

76、訪者發現的網絡安全事件更多，部分原因可能是他們的威脅檢測能力更強。網絡成熟度高的受訪者發現的網絡安全事件更多，部分原因可能是他們的威脅檢測能力更強。（百分比）29292828282725272628關鍵發現關鍵發現265239144252001882共計共計（n=1,196）網絡成熟度低（n=421）網絡成熟度中等（n=612）網絡成熟度高（n=163）有點不自信有點信心非常自信中等自信144352建立高管層對網絡安全駕馭能力的信心建立高管層對網絡安全駕馭能力的信心在網絡安全成熟度高的組織中，企業高層（C-suite）駕馭網絡安全的信心越高。高管層和董事會有效應對網絡安全需求的能力表示非常有信

77、心的比例，是網絡安全成熟度低的組織中受訪者的兩倍（圖18）。信心達到最高水平信心達到最高水平（圖18）高管層和董事會應對網絡安全問題的能力有多大的信心。高管層和董事會應對網絡安全問題的能力有多大的信心。（顯示的是所有三個網絡成熟度組別的百分比）29關鍵發現關鍵發現332727242625272526242020235042444241424136403531343380727067676665636353525048共計共計（n=1,196）網絡成熟度低（n=421）網絡成熟度中（n=612）網絡成熟度高（n=163）云計算生成式AI人工智能/認知計算運營技術物聯網5G企業資源規劃（ERP）客

78、戶身份和訪問管理（CIAM）量子計算物理機器人區塊鏈/加密貨幣元宇宙數據分析48高網絡安全成熟度的組織似乎更擅長利用網絡安全來為技術能力獲取投資，也更善于讓首席信息安全官（CISO）參與數字化轉型的戰略對話。平均而言，高網絡安全成熟度組織的受訪者表示網絡安全在為其技術能力獲取投資方面發揮重要作用的可能性，比低網絡安全成熟度組織的受訪者高出2.5倍。他們獲取投資的主要領域包括云計算、數據分析、生成式人工智能（GenAI）、運營技術（例如，工業控制系統）和人工智能/認知計算（圖19）。更高的成熟度意味著網絡安全在技術驅動的能力中扮演更重要的角色。更高的成熟度意味著網絡安全在技術驅動的能力中扮演更重

79、要的角色。（圖19）與其他組別相比，網絡成熟度高的組別認為網絡安全在確保技術能力投資方面發揮著重要作用。與其他組別相比，網絡成熟度高的組別認為網絡安全在確保技術能力投資方面發揮著重要作用。（顯示的是所有三個網絡成熟度組別的百分比）41413939393936383430323230關鍵發現關鍵發現242319242422192323231921193636283534343135293031283256555554545250494945444439共計共計（n=1,196）網絡成熟度低（n=421）網絡成熟度中（n=612）網絡成熟度高（n=163）云計算物聯網生成式AI數據分析客戶身份和訪

80、問管理（CIAM）量子計算5G運營技術企業資源規劃（ERP）區塊鏈/加密貨幣物理機器人元宇宙人工智能/認知計算在關于技術能力的戰略討論中，與低網絡安全成熟度的組織相比，高網絡安全成熟度的組織中，CISO或網絡安全領導者的參與顯著增加的可能性要高出2.3倍。在高網絡安全成熟度的組織中，CISO參與最多的領域包括云計算、人工智能/認知計算、物聯網（IoT）、生成式人工智能（GenAI）和數據分析（圖20）。隨著網絡安全成熟度的提高，首席信息安全官（隨著網絡安全成熟度的提高，首席信息安全官（CISO）更多地參與戰略討論）更多地參與戰略討論（圖20）網絡成熟度高的組別，其首席信息安全官更頻繁地參與所有

81、領域的對話。網絡成熟度高的組別，其首席信息安全官更頻繁地參與所有領域的對話。（百分比）首席信息安全官（首席信息安全官（CISO）的角色正在演變。他們需要引入正確的策略，積極引導公司做出數據驅動）的角色正在演變。他們需要引入正確的策略，積極引導公司做出數據驅動型決策。由于這需要與高層領導更多地互動，型決策。由于這需要與高層領導更多地互動，CISO不僅需要具備技術方面的專長，還應具備高管級不僅需要具備技術方面的專長，還應具備高管級別的思維和商業敏銳度，以展示網絡安全策略將如何影響業務?！眲e的思維和商業敏銳度，以展示網絡安全策略將如何影響業務?！盙ary Harbison，強生公司首席信息安全官，強

82、生公司首席信息安全官34342834333229333029282728展望未來展望未來31洞悉洞悉網絡安全未來網絡安全未來全方位構筑企業網絡安全防線全方位構筑企業網絡安全防線為順應未來網絡安全新格局，企業必須深入理為順應未來網絡安全新格局，企業必須深入理解和精準把握網絡安全領域的新興趨勢。更為解和精準把握網絡安全領域的新興趨勢。更為重要的是，企業應當付諸實際行動，創造巨大重要的是，企業應當付諸實際行動，創造巨大的商業成效。通過聚焦以下關鍵要素和可行措的商業成效。通過聚焦以下關鍵要素和可行措施，企業可極大地提高網絡安全成熟度，打造施，企業可極大地提高網絡安全成熟度，打造差異化競爭優勢。差異化競

83、爭優勢。夯實網絡安全基石，打通合作渠道，提高抗風夯實網絡安全基石，打通合作渠道，提高抗風險能力險能力隨著網絡安全的戰略價值日益得到重視，企業管理層需認識到，網絡安全不僅僅是一個IT問題，更是貫穿于企業各個部門和層級，需要全面協調融合的核心業務問題。它要求企業不斷推進網絡安全功能在商業與技術領域的融合，并將其列為重中之重。隨著管理層對網絡安全的認知不斷加深，以及網絡安全功能與其他領域的融合愈發明顯，企業日益聚焦網絡安全帶來的業務價值，旨在全面提升其團隊協作、信息共享和決策水平。這將有助于企業高層深刻洞察實際業務情況，并據此制定戰略決策，確保各項決策和行動與業務目標緊密契合，且能有效防范網絡風險。

84、企業應將網絡安全視為核心要務，深化網絡安全在各領域的融合，更好地保護關鍵資產和品牌聲譽，全面提升自身抗風險能力，在日益高漲的數字化浪潮下領航前行。32展望未來展望未來曾經被視為企業IT的首席安全衛士，首席信息安全首席信息安全官（官（CISO）的角色）的角色正在演變，現在不僅幫助保護整個企業，從核心業務運營到品牌聲譽，還支持創新和業務的未來。提高領導層的參與度和敏銳度，從首席信息安提高領導層的參與度和敏銳度，從首席信息安全官（全官（CISO）到其他企業高層（）到其他企業高層（C-suite）和董）和董事會事會網絡的未來網絡明確指出了一個當務之急：確保CISO積極參與有關技術能力和業務的戰略對話。

85、CISO不再僅僅是企業IT的安全守護者，而是成為企業戰略的重要參與者，負責保護企業的核心業務運營、品牌聲譽，同時支持創新和業務的未來發展。并且，CISO應與其他具備網絡安全知識的高層領導一起參與。有效應對網絡安全風險，并將其置于業務目標的背景下，需要整個高級管理層和董事會定期參與網絡安全對話。由于網絡安全是組織面臨的首要風險，高層領導必須在其管理和監督中保持高度參與。通過CISO的積極參與并為董事會和組織提供寶貴的見解和指導，網絡安全可以得到應有的關注和資源作為一個需要持續投資的戰略性業務問題。以戰略和治理為基礎，主動驅動整合預算以戰略和治理為基礎，主動驅動整合預算這表明網絡安全正在得到應有的

86、認可，也表明更多的部門可能會將網絡安全納入其未來的資金計劃中。這種整合方法可以為整體安全帶來更全面的戰略和更好的結果。通過建立一個支持更廣泛的議題并定義網絡安全目標的明確治理框架，組織可以朝著其業務目標邁出關鍵步驟。這種方法意味著組織中的每個人都理解網絡安全的重要性，投入適當的資源，并朝著共同的目標努力。通過實施有效的治理，組織可以確保網絡安全計劃與其他重要的業務優先事項保持一致，但這種整合轉型投資可能存在一些缺點。如果預算中沒有明確將網絡安全作為一個細列項目，那么網絡安全可能會被削弱，因為此時它往往就會被視為成本的一部分，而不是一項增值投資。在制定戰略時，我們正逐漸成熟的一個方面是體現在開始

87、以結果導向。所以，我們總是思考未來在制定戰略時，我們正逐漸成熟的一個方面是體現在開始以結果導向。所以，我們總是思考未來數年后我們希望處于什么位置。我相信，在安全領域制定超過兩年的戰略會有很多變化，因為威數年后我們希望處于什么位置。我相信，在安全領域制定超過兩年的戰略會有很多變化，因為威脅會變化，技術也會變化，等等脅會變化，技術也會變化，等等因此，我們基于結果來構建戰略，這一點非常關鍵?！币虼?，我們基于結果來構建戰略，這一點非常關鍵?！蹦成茖W與醫療公司首席信息安全官某生命科學與醫療公司首席信息安全官33邁向新征程邁向新征程未來已至未來已至制勝有方制勝有方未來已至。當前每一個決策和行動，都書寫

88、著網絡安全的未來。未來已至。當前每一個決策和行動，都書寫著網絡安全的未來。新興網絡安全威脅、前沿技術以及商業決策正不斷演變，懂得新興網絡安全威脅、前沿技術以及商業決策正不斷演變，懂得未雨綢繆、謀定而動，方能有效提升網絡安全成熟度，向著更未雨綢繆、謀定而動，方能有效提升網絡安全成熟度，向著更加長遠的未來不斷邁進。加長遠的未來不斷邁進。隨著企業對網絡安全的認知日益加深，管理層也愈發積極地參與關于網絡安全的戰略討論。網絡安全逐步成為企業轉型升級的核心要素，一個嶄新的時代悄然拉開序幕。未來已來，您將如何書寫非凡篇章？又將如何推動企業邁向卓越？蓄勢待發蓄勢待發聯系我們，獲取更多關于德勤第四期全球網絡安全

89、前瞻調研的專業洞見，了解具備成熟網絡安全體系的企業如何提升業務價值，并在激烈的市場競爭中脫穎而出。致謝致謝感謝Saurabh Bansode、Criss Bradbury、Deborah Elder、John Gelinne、Tanneasha Gordon、Matt Holt、Pratik Joshi、Diana Kearns-Manolatos、Isaac Kohn、Daphne Lucas、Mike Morris、Kelly Nelson、Iram Parveen、Sean Peasley、Abdul Rahman、Colin Soutar、Jan Vanhaecht、Marius vo

90、n Spreti對本報告的支持和貢獻。34德勤中國網絡安全服務主要聯系人德勤中國網絡安全服務主要聯系人薛梓源薛梓源德勤中國網絡安全事業群德勤中國網絡安全事業群主管合伙人主管合伙人德勤中國網絡安全德勤中國網絡安全網絡安全防御韌性及企業安全服務網絡安全防御韌性及企業安全服務主管合伙人主管合伙人電話：+86 10 8520 7315電郵：馮曄馮曄德勤中國網絡安全德勤中國網絡安全網絡安全戰略轉型及數字隱私信任服務網絡安全戰略轉型及數字隱私信任服務主管合伙人主管合伙人電話：+86 21 6141 1575電郵：Phill Everson德勤中國網絡安全德勤中國網絡安全香港香港主管合伙人主管合伙人電話：+

91、85 22 852 1222電郵：.hk德勤中國網絡安全德勤中國網絡安全網絡安全防御韌性及企業安全服務網絡安全防御韌性及企業安全服務內地內地香港香港張震電話：+86 21 6141 1505電郵：肖騰飛電話：+86 10 8512 5858電郵：肖康電話：+86 10 8534 2488電郵：楊天電話：+86 20 8715 8566電郵：馬紅杰電話：+86 21 3313 8528電郵：金潔電話：+86 21 2316 6315電郵：劉征電話：+86 10 8512 4009電郵：王凱民電話：+85 22 238 7908電郵：.hk吳俊偉電話：+85 22 852 6318電郵：.hkPr

92、amod Potharaju電話：+85 22 852 6616電郵：.hk崔汶俊電話：+85 22 238 7946電郵：.hk莫嘉豪電話：+85 22 740 8829電郵：.hk德勤中國網絡安全德勤中國網絡安全網絡安全戰略轉型及數字隱私信任服務網絡安全戰略轉型及數字隱私信任服務內地內地香港香港閻光電話：+86 21 2316 6282電郵：鄧娜電話：+86 75 53353 8151電郵：江瑋電話：+86 21 2312 7088電郵：何微電話：+86 75 53353 8697電郵：林松祥電話：+86 10 8512 4888電郵：何曉明電話：+86 10 8512 5312電郵：林普

93、毅電話：+85 22 109 5353電郵：.hk鄭若琳電話：+85 22 238 7119電郵：.hk蕭凱婷電話：+85 22 852 5898電郵：.hk林道勛電話：+85 22 531 1488電郵：.hk關于德勤德勤中國是一家立足本土、連接全球的綜合性專業服務機構，由德勤中國的合伙人共同擁有，始終服務于中國改革開放和經濟建設的前沿。我們的辦公室遍布中國31個城市，現有超過2萬名專業人才，向客戶提供審計、稅務、咨詢等全球領先的一站式專業服務。我們誠信為本，堅守質量，勇于創新，以卓越的專業能力、豐富的行業洞察和智慧的技術解決方案，助力各行各業的客戶與合作伙伴把握機遇，應對挑戰，實現世界一流

94、的高質量發展目標。德勤品牌始于1845年，其中文名稱“德勤”于1978年起用，寓意“敬德修業，業精于勤”。德勤全球專業網絡的成員機構遍布150多個國家或地區，以“因我不同，成就不凡”為宗旨，為資本市場增強公眾信任，為客戶轉型升級賦能，為人才激活迎接未來的能力，為更繁榮的經濟、更公平的社會和可持續的世界開拓前行。Deloitte（“德勤”）泛指一家或多家德勤有限公司，以及其全球成員所網絡和它們的關聯機構（統稱為“德勤組織”）。德勤有限公司（又稱“德勤全球”）及其每一家成員所和它們的關聯機構均為具有獨立法律地位的法律實體，相互之間不因第三方而承擔任何責任或約束對方。德勤有限公司及其每一家成員所和它們的關聯機構僅對自身行為承擔責任，而對相互的行為不承擔任何法律責任。德勤有限公司并不向客戶提供服務。請參閱 Creative Services.RITM1965157