普华永道调研显示:中国企业的网络安全团队多处“被动应对风险”阶段

9月16日至22日是国家网络安全宣传周,本届宣传周的主题为“网络安全为人民、网络安全靠人民”。企业是市场经济活动的主要参与者,为了提高运营速度和效率,很多企业正在进行数字化转型,同时面临的网络安全及数据隐私风险攀升,因此构建数字信任更具挑战性。

9月17日,普华永道发布题为“数字化转型要求企业主动识别风险”的《2019年数字信任洞察之中国报告》。121位受访中国企业高管中,约三成认为数据治理或隐私保护将成为数字化转型道路上最严峻的风险。从一系列指标来看,中国企业管理者认为网络安全与业务发展相配程度高于全球平均水平,但风险管理尚未成熟,仍处“被动应对”阶段。

此次调研在2019年3月至4月之间进行,来自89个国家和地区的3000多位企业高管参与。普华永道中国网络安全,隐私和计算机取证合伙人来穆萨表示:“人工智能、区块链、云计算和 5G 等新兴科技已经成为不可忽视的力量。企业面临使用这些科技创新以实现增长的压力,而隐私和数据保护方面的要求也随之提高。”

根据调查,高于全球平均水平 11%的中国企业受访者正面临数字化转型带来的创新风险,即推出新产品、服务和流程所产生的风险。在企业数字化转型风险管理能力方面,与全球受访者(31%)相比,较少的中国企业高管和 IT 专业人员(24%)认为他们效率极高。多数中国受访者(55%)对此看法不太乐观,认为在管理这些风险方面只是略有成效(全球:40%)。

普华永道中国网络安全和隐私保护服务合伙人李睿指出,科技企业正在引领中国数字化新趋势,一些企业将数字创新流程外包给第三方技术供应商,其他企业则经历由监管机构以及行业协会等推动的数字化转型。其中最关键的是,要让网络安全规划与业务发展目标相匹配,共同构建数字信任。

据介绍,企业上云等会要求同等的安全服务,供应商需提供安全认证,以保护数据安全。

普华永道调查结果显示,83%的中国受访者认为,其网络安全团队正嵌入企业的业务发展中,他们不仅熟悉业务策略,而且制定了支持业务需要的网络安全策略(全球: 72%)。81%的中国受访者认为,其网络安全团队在网络风险和相关风险问题上能够与董事会和高级管理层进行有效沟通(全球: 70%)。

不过,中国企业的网络安全团队多数处于“被动应对风险”阶段。美国国家标准与技术研究院(NIST)发布的《网络安全框架》中包括五个方面的网络安全管控:识别、保护、检测、响应和恢复。中国网络安全团队在“响应”、“保护”两项中成熟度最高,在“识别”功能中成熟度最低。这说明受访者在风险发生后采取缓解措施,而未能充分识别风险并防范于未然。

普华永道中国网络安全和隐私保护服务合伙人冼嘉乐说:“采用基于风险的方法开展网络安全活动,使用标准框架进行自我管理,才能恰当预测和管理系统、人员、资产、数据以及性能方面的网络安全问题。侦测到事故后为企业提供支持,只能减弱或遏制事件影响,充分识别风险并防范于未然,应是每个网络安全团队努力的方向。”

报告建议中国企业财务如下6 点措施,以应对数字化转型带来的网络安全风险:

? 遵循基于风险的方法和标准框架,以加强“识别”功能

? 确保网络安全策略与业务发展并进

? 使用自动化及新兴科技提高网络安全能力

? 建立治理框架,以遵循外部监管要求

? 将网络安全管理作为企业层面的事项,而非将其归为 IT 事项

? 灵活响应和改进

来源:周到上海       作者: 曹西京