咨询公司普华永道的最新数据显示,过半数高管担心应报告的攻击会持续增长,超过三分之二的公司计划增加2022年网络预算,从而更好地保护其系统和数据。
然而,企业面临的主要威胁是可避免的非必要复杂性,这种不必要的复杂性会导致安全风险增加。报告称,四分之三(75%)的高管承认其所在企业的基础设施变得过于复杂,而几乎相同数量的受访者认同复杂性导致了风险水平增加至令人担忧的程度。总体而言,高管们担心复杂性主要可导致数据泄露和财务损失,而且还会阻碍创新和破坏运营弹性。
根据普华永道最新发布的《2022年全球数字趋势洞察》报告,企业需重视简化其运营和基础设施,并确定自身运营和基础设施是否必须搞得这么复杂。
报告指出:“随着系统间的相互依赖变得越来越复杂,攻击后果也会越来越严重。关键基础设施尤为脆弱。但我们看到的很多安全事件本来都是可以避免的,只要我们实施了良好的网络实践和健壮的控制措施。”
《全球数字信任洞察》调查每年对3600多名业务、技术和安全高管进行问卷调查,主要关注(62%)营收至少为10亿美元的大企业。虽然69%的企业预计在2022年增加其网络预算,且26%的公司预计增加11%或更多,但许多企业尚未从其安全投资中看到回报。
根据《2022年全球数字信任洞察》报告,超过一半的公司在云安全、安全意识培训或端点安全方面投入了资金和人力物力,但只有大约三分之一的公司切实从这方面投资上获得了收益。
今年早些时候发布的一份战略简报中,普华永道的两位高管表示,没有获得安全投资回报的公司有部分原因在于其环境的复杂性,而且很多情况下是技术方面过于复杂。
今年二月,普华永道英国网络安全负责人Richard Horne和普华永道全球及美国网络安全与隐私负责人Sean Joyce表示:“复杂性将网络风险和成本推到了新的高度,十分危险。全球重大网络攻击的数量正在增加,包括潜在的破坏性‘勒索软件’攻击和针对政府机构、国防及高科技系统的民族国家网络攻击活动,所用手段诸如破坏IT网络管理软件和其他供应商等等。”
报告称,总体而言,在复杂性问题应对方面最为成熟的企业,其首席执行官过问此类事务的可能性要高12倍,公司了解第三方对网络安全及数据隐私状况所构成风险的可能性要高11倍,而拥有正式的数据信任实践过程的可能性则会高10倍。
然而,调查发现,在过去两年中,只有大约三分之一的公司采取了精简业务和运营的措施。
缩小攻击面:简化复杂性
不出所料,随着新冠肺炎疫情愈演愈烈,35%的公司确立了远程办公、虚拟办公和现场办公组合的新工作模式,而 33%的公司重组了其业务职能,32%的公司整合了自身技术供应商。
这些公司将复杂性简化预算平均分配到九个不同的计划中,其中约36%的预算均分给“跨学科集成控制与流程”、“精简过时或报废技术”,以及“采用云优先技术战略。”
报告认为,公司应该消除复杂性并缩减攻击面,从而提高安全性并降低保护系统和数据的成本。
报告称,安全运营和跨学科团队应该重新审视自己的基础设施,发现遗留的复杂性。找出无法协同工作的技术解决方案,发现未在弹性或第三方风险管理方面进行协作、未制定适当的数据管理流程,以及未囊括进网络安全措施和技术讨论中的那些团队。
报告指出,“复杂性本身通常无关好坏,就是个业务增长的副产品。搞出非必要复杂性的成本通常难以察觉,而且很难在公司氛围中形成对抗复杂性的紧迫感——换句话说,直到攻击切实发生的那一刻才会感到需要精简了。”