很抱歉,Marsh.com不支持您當前使用的瀏覽器版本

為獲得最佳體驗,請升級至Marsh.com支持的瀏覽器版本:

X
Skyline lights landscape building

2019年全球網絡風險透視調查報告

2019年全球網絡風險透視調查活動由達信與微軟聯合舉辦,旨在針對當前快速演變的商業環境下全球企業的網絡風險觀和風險管理狀況進行調查。

引言

高科技的發展使全球商業環境發生了極大改變,從人工智能、物聯網到數據運用、區塊鏈等各個領域,都在不斷取得進步。

數字技術正在飛速發展,傳統的商業模式不斷被打破。然而,網絡風險的演變速度似乎更快。

網絡風險日益復雜化,已經超出數據泄露和隱私問題的范疇,可能對整個企業、行業、供應鏈和國家造成破壞,帶來數十億美元的經濟損失,并影響到各個行業部門的公司。

2019年全球網絡風險透視調查發現,企業在審視和管理網絡風險方面出現了許多令人鼓舞的改進跡象。

當前,網絡風險已經穩居企業風險議程的首要位置,但我們也看到了積極的轉變信號,企業開始在多個領域采取更加嚴格和全面的網絡風險管理措施。

調查報告要點內容

報告要點內容總結如下:

雖然企業將網絡風險視為首要風險,但他們對提高網絡應變能力的信心卻在下降

網絡風險在過去兩年已成為企業重點關注的風險之一。但與此同時,企業對風險管理的信心卻在下降。

  • ?79%的受訪者將網絡風險列為其公司面臨的前五大風險之一,而2017年做此選擇的受訪者比例為62%。
  • 在與網絡應變能力有關的三個方面,企業的信心均有所下降。聲稱“沒有信心”的受訪者比例增加。

o?? 在理解和評估網絡風險方面,聲稱“沒有信心”的受訪者比例從9%增至18%。

o?? 在預防網絡風險方面,聲稱“沒有信心”的受訪者比例從12%增至19%。

o?? 在網絡風險應對和損失恢復方面,聲稱“沒有信心”的受訪者比例從15%增至22%。

新技術的發展進一步加劇網絡風險

技術創新對大多數企業而言至關重要,但往往也會增加企業技術網絡的復雜性,包括網絡風險。

  • 在2019年的調查中,有77%的受訪者表示,他們已經采用或正在考慮采用至少一種創新型運營技術。
  • 50%的受訪者稱,網絡風險幾乎從來都不是他們采用新技術的障礙,但有23%的受訪者(包括許多來自小型公司的受訪者)表示,大多數新技術帶來的風險超過其可能帶來的商業利益。
  • 74%的受訪者在采用新技術之前會進行風險評估,但只有5%的受訪者表示,他們的風險評估會貫穿整個技術周期,還有11%的受訪者表示他們根本不進行風險評估。

數字化供應鏈之間的依存度不斷增加,帶來了新的網絡風險

供應鏈數字化程度的進一步提高以及供應鏈之間依存度的不斷增加,給各方帶來了越來越多的網絡風險。但許多公司認為這些風險只是單方面的。

  • 很多企業認為,其給供應鏈合作伙伴帶來的網絡風險水平與對方給自己帶來的網絡風險水平并不對等。

o?? 39%的受訪者表示,其供應鏈合作伙伴或供應商給自己公司帶來的風險高或者有些高。

o?? 然而,只有16%的受訪者認為自己公司給供應鏈合作伙伴或供應商帶來的風險高或有些高。

  • 與他們針對供應商所實施的行動相比,受訪者更傾向于為自己公司采取更高標準的網絡風險管理措施。
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers:  6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants:  6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know
?

對于政府在網絡風險管理中發揮的作用,受訪者看法不一

企業通常認為政府法規和行業標準在幫助管理網絡風險方面效果有限,當然民族-國家網絡攻擊除外。

  • ?28%的企業認為政府法規或法律在改善網絡安全方面非常有效。
  • ?37%的企業認為行業標準在改善網絡安全方面非常有效。
  • ?然而在民族-國家網絡攻擊方面,受訪者則持有不同觀點:? ??

o?? 54%的受訪者表示他們非常關注民族-國家網絡攻擊。

o?? 55%的受訪者表示政府需要采取更多措施來保護企業免受民族-國家網絡攻擊。

網絡風險投資更加注重風險預防而不是網絡應變能力

許多企業注重技術防御和網絡風險預防投資,但卻忽視了風險評估、轉移、響應計劃以及其它構建網絡應變能力的風險管理領域。

  • 88%的受訪者表示信息技術/信息安全人員是網絡風險管理的主要責任人,其次是執行管理層/董事會(65%)以及風險管理人員(49%)。
  • 只有17%的高管受訪者表示他們在過去一年中花了超過幾天的時間來處理網絡風險。
  • 64%的受訪者表示其公司面臨的網絡攻擊風險將成為增加網絡風險支出的最大動因。
  • 30%的企業稱他們使用定量方法來表述網絡風險,高于2017年的17%。
  • 83%的受訪者表示其公司在過去兩年中加強了計算機和系統安全管理,但只有不到30%的受訪者稱其公司已進行過管理培訓或網絡風險損失情景模擬。
A cyber incident/attack on our organization 64%, News of cyber incident/attack on another organization 46%, Adoption of new or emerging technologies 43%, New or changing Regulations (such as the EU GDPR) 38%, Change in leadership in our organization 19%, Required by a key customer 12%, Experiencing a merger or acquisition 7%, Legend % selecting as a driver for any area of increased cyber risk investment. Base: All answers $ stating they plan to invest more, excluding don't know responses: n=615 (2019)

網絡風險保險

為應對不斷變化的網絡風險,網絡風險保險的承保范圍進一步擴大,保險公司的承保態度也在發生變化。

  • 47%的企業表示他們擁有網絡風險保險,而2017年這一比例為34%。
  • 較大型公司投保網絡風險保險的可能性較高,年收入超過10億美元的公司中有57%已購買網絡風險保險,而收入低于1億美元的公司中已購買網絡風險保險的比例為36%。
  • 不確定現有網絡風險保險能否滿足公司需求的受訪者比例從2017年的44%降至31%。
  • ?對于網絡風險保單是否能夠承保網絡風險事件帶來的成本,在擁有網絡風險保險的受訪者中,有89%的人表示充滿信心或相當有信心。
Confidence lowest among: C-Suite/Board and IT / Information Security at 7% (Not all Confident) Confidence highest among: Finance, Risk Management, and Legal /Compliance at 32% (Highly Confident) Fairly Confident at 57% Don’t know at 5% Base: All with cyber insurance n=526 (2019)

?

主要建議

從實際操作的層面來看,今年的調查報告分享了網絡應變能力最強的公司所采取的最佳做法,所有公司都應考慮采納。

  • 構建強大的公司網絡安全文化,針對治理、問責、資源配置和行動等各個方面制定清晰一致的標準。
  • 量化網絡風險,幫助公司做出更加明智的資本配置決策,推動實施績效評估,在網絡風險和其他風險的投資方面,給與同等對待。
  • 在整個技術周期中積極、持續的評估新技術帶來的網絡風險。
  • 將供應鏈風險作為一個統一的問題進行管理,識別整個網絡對于互信共享安全標準的需求,包括企業對其合作伙伴的網絡影響。
  • 圍繞關鍵網絡風險問題尋求和支持公私合作伙伴關系,為各方提供更加強有力的保護和最佳實踐標準。

結束語

盡管企業對能否管理好網絡風險的信心有所下降,但讓我們感到樂觀的是,越來越多的企業逐漸認識到網絡風險的嚴重危害性并開始尋求和采納網絡風險管理最佳做法。

有效的網絡風險管理應綜合運用風險評估、衡量、緩釋、轉移和規劃等各種方法,至于哪種組合最佳,需取決于每個公司獨特的風險狀況和風險承受能力。

但是,這些建議仍然適用于解決當今企業面臨的許多常見和最緊迫的網絡風險問題,企業應以此為指引,切實提高網絡應變能力。

001足球比分比什么