破解增强数字和网络风险成熟度的代码
麦肯锡直接 破解增强数字和网络风险成熟度的代码 最近对澳大利亚和新西兰组织的数字和网络自我评估揭示了应对不断变化的数字相关风险所需的优势和改进领域。 Akash Lal,Charlie Lewis和Olivia Loadwick 成功和挑战的混合包 全球数字经济经历了 近年来,随着组织接受现代化并推动其业务模式的数字化转型,增长异常迅猛。尽管数字化的快速加速创造了无与伦比的增长机会,但也暴露了数据滥用和泄露的更大风险。事实上,全球组织正在经历大量的网络安全事件,包括勒索软件攻击。 我们的数字和网络自我评估结果揭示了八个关键见解-优势组合 这将组织与全球同行区分开来-但它也揭示了需要改进的领域。 1.总成熟度高于全球同行平均水平但低于前四分位数平均而言,与全球同行相比,组织表现出更高的数字和 在过去两年中,澳大利亚和新西兰市场的网络攻击增加了23%,涉及机构和个人数据。1 网络成熟度,尽管它们还没有与领先的四分位数表现相当。2The primary factors contributing to this gap are lowermaterial in data protection and privacy, identity and accessmanagement, and risk management practices related toarchitecture and engineering. Financial - services institutions(FSI) self - assessed as与其他行业的组织相比更成熟(图表1)。 2023年6月,麦肯锡评估了18家澳大利亚和新西兰公司的数字和网络成熟度,这些公司涵盖了航空公司、银行、消费者零售、保险、非营利组织和财富部门。评估研究了管理一系列数字相关风险的组织方法,以深入了解干预措施可能最集中的地方,收集多个领域的见解: 2.强有力的风险管理基础平均而言,组织自我评估其风险管理环境比全球同行更成熟。他们在安全风险管理、安全保证、政策和标准的基本要素方面具有相对优势。这些优势在培训、教育和数字相关风险管理意识方面得到加强。他们还回应说 —网络安全能力成熟度 —网络威胁景观 —网络支出和全职员工结构 治理和报告网络风险的良好做法。组织有机会将关键措施的报告扩展到业务中更广泛的利益相关者(例如,从董事会,首席执行官和安全团队扩展到业务和IT团队),使利益相关者能够做出更明智的决策并进一步加强其网络安全状况。 —网络运营模式 —数据治理、数据隐私和数字信任 —技术弹性 评估涉及与 欧洲、北美和英国的全球同行基准。 麦肯锡公司 与此同时,33%的澳大利亚和新西兰受访公司表示,缺乏网络安全人才是实现其网络计划目标的最大风险。这种人才缺口可能是公司严重依赖外包的原因之一。平均而言,该地区的组织将其网络安全活动的43%外包,而全球同行外包仅超过30%(图表4)。澳大利亚和新西兰的公司依赖外包,特别是在人身安全和安全以及安全运营和响应方面(图表5)。 3.网络支出占IT预算的比例低于全球同行 尽管近年来用于网络安全的IT预算比例有所增加,但仍低于全球同行基准。约30%的公司指出,缺乏网络安全资金是实现网络安全计划目标的最大风险(图表2)。 4.无法满足网络安全人才的需求在过去三年中,用于网络安全的IT预算分配从4%上升 到9%。 预测表明,在澳大利亚和新西兰的组织中,这一比例预计将继续增长,在未来三年达到11%(图表3)。 实现网络安全计划目标的最大风险,%的受访者 麦肯锡公司 33%的受访澳大利亚人 新西兰的公司表示,缺乏网络安全人才是实现其网络计划目标的最大风险。 麦肯锡公司 附件4 澳大利亚和新西兰的公司外包网络安全工作的速度高于全球基准。 外包和内部网络安全全职等价物(FTE)的平均细分,% 麦肯锡公司 澳大利亚和新西兰的公司在两个领域将一半以上的工作外包。 将工作负载外包给网络域的托管服务,%(澳大利亚和新西兰基准平均值1) 麦肯锡公司 5.云安全是一个挑战云安全实践的成熟度与全球同行平均水平大致一致,但 6.需要改进数据安全和隐私风险管理在技术和网络风险方面,组织最担心的是数据滥用、数据 远远落后于前四分之一。这是特别令人担忧的,因为根据评估,组织已经在云中托管了50%以上的工作负载,并打算在未来三年内迁移更多。 然而,许多组织尚未建立符合领先标准的云安全实践云安全方面的最佳实践包括: 访问中断以及关键和敏感信息的丢失。 与近年来该市场中数据泄露事件的激增有关。这些组织与所有数据保护和隐私子领域的全球基准平均值之间存在相当大的成熟度差距。澳大利亚和新西兰公司之间的差距和前四分之一的全球同行基准更加重要。一流的组织正在采取端到端的方法来了解业务使用的数据范围(以及与该数据相关的相对风险和价值),以加强相关的治理实践 —通过定义的运营模型在整个组织中部署安全即代码实践,以确保明确表达关键管理决策的角色和责任(例如策略创作的权限) 数据并改进访问管理策略、实践和安全工具。 —部署自动化的安全即代码实践,包括提供和监控确保在每个实例中实施云安全控制 —转移在整个安全开发生命周期中仍然存在的安全性,并嵌入安全人员(例如具有安全知识的人才),以确保生产高度自动化的安全产品 在技术和网络风险方面,组织最关心的是数据滥用、数据访问中断以及关键和敏感信息的丢失。 8.AI对网络安全的重要影响 7.不断增加的保险费和不一致的保险在不断变化的威胁环境中,几乎所有接受调查的 组织(约95%)都购买了网络保险。大多数拥有全面的覆盖范围,涵盖数据 应用AI对网络安全的影响 是一个令人担忧的问题— —即人工智能工具可能会泄漏敏感数据。网络威胁行为者使用人工智能来改进他们的黑客攻击方法的可能性也越来越大,例如通过进行更复杂的网络钓鱼攻击(图表6)。 违规,业务中断和数字资产更换。但是,只有大约一半的人可以承担声誉损失和勒索付款。组织表示,在过去的12个月中,保费平均增长了约20%。 Exhibit 6 澳大利亚和新西兰的公司最关注的是应用人工智能对网络安全的威胁。 关注新兴技术趋势对网络安全的威胁,%的受访者1(澳大利亚和新西兰基准平均值2) 麦肯锡公司 网络安全成熟度区分组织和领导者 和安全风险管理,在边缘和物联网安全,业务关系管理,威胁搜寻和主动防御,数据丢失保护以及加密和密钥管理方面表现不佳。成熟度矩阵还揭示了领导者表现优异的活动,以及组织面临的一些最具挑战性的活动(图表7)。 The assessment retained a core set of dimensions andcapabilities that separate the “great ” organization - tions andleaders from the“ good ” in the management of digital -related risks. While high - performing organizationsdemonstrate strengers in table stitability such as报告、通信、网络保险, Exhibit 7 成熟度矩阵显示了公司最努力和表现最好的活动。 按活动集群划分的网络安全成熟度的标准偏差 麦肯锡公司 组织应立即采取的五项行动 4.根据风险分配网络安全预算。通过根据风险领域和风险偏好评估支出,根据全球最佳实践分配预算。全面捕捉 组织可以立即采取行动 一套核心领域,以提高数字相关风险管理的标准: 最“成本-风险最优”的防御措施,以成本效益和有效的方式为关键资产提供相同水平的整体保护。 1.提高数据保护能力。了解您的关键业务服务,哪些数据支持这些流程,以及数据的价值和安全影响。确保数据管理和监视工具(例如数据丢失保护工具)到位。设计指标和仪表板,以定期报告数据泄露和内部数据错误处理。 5.建立熟练的人才库,并通过自动化优化资源。审查网络和风险团队的角色和职责,确定解决方案和环境的复杂性,并确定技能差距。制定人才吸引和保留策略。了解提升和重新培训现有团队成员的机会。提供持续学习机会以帮助 2.审查和改进网络事件检测和响应能力。根据业务风险和新出现的威胁不断评估和更新事件响应和恢复计划。安排针对新出现的威胁的常规桌面练习。进行实时的在线弹性练习,以测试响应和恢复能力。查看有关最新保费结构的网络保险政策。确定相关事件是否有足够的承保范围。 员工适应新的工具和技术。确定自动化转型的操作流程。考虑刷新外包策略。 加速数字化为个人、公司和政府机构带来了优异的成果。然而,随着威胁变得更加复杂和频繁,组织必须采取积极措施来保护其敏感数据、有价值的资产和声誉。投资在提高数字和网络成熟度方面,不仅可以保护组织免受数据泄露造成的财务损失和法律责任,还可以促进客户、合作伙伴和其他利益相关者之间的信任。 3.审查并增强云架构和安全能力。了解哪些数据已过渡到云,并评估风险。实施整体云安全策略,强调访问管理、威胁监控和事件响应。定期进行配置和应用程序漏洞测试和审计审查,以确保云环境的安全。 AkashLal是麦肯锡孟买办事处的高级合伙人,查理·刘易斯是斯坦福德办公室的合伙人OliviaLoadwick是悉尼办公室的合伙人. 作者希望感谢Jim Boehm,Rich Isenberg,Bartlomiej Kazimierski,Benjamin Klein,Anselm Ohme,Kevin Telford和Johnson Yu对本文的贡献。
