- 核心观点:尽管CFO对公司的网络安全能力充满信心,但他们对自身业务面临的网络安全漏洞缺乏认知,且与网络安全团队的沟通协作不足,导致对网络风险的低估和应对不足。
- 关键数据:
- 近87%的CFO对公司网络安全能力表示有信心,但40%的人从未接受过信息安全团队的简报。
- 61%的受访高管在过去18个月内经历了至少三次重大网络安全事件。
- 71%的公司因网络事件遭受了超过500万美元的财务损失。
- 82%的高管表示,在最大的网络安全事件后,公司经历了5%或以上的估值损失。
- 79%的公司在过去18个月内至少经历了一起导致数据泄露或财务损失的安全事件。
- 65%的组织经历过商业电子邮件欺诈(BEC)事件。
- 45%的受访者计划将整体IT预算中分配给信息安全的比例至少增加10%。
- 研究结论:
- CFO需要全面参与公司的网络安全规划,包括向董事会提供建议、参与危机和事件响应规划,并定期接收信息安全团队的简报。
- 网络安全支出需增加,且CFO应了解外包或内部网络安全策略,确保其符合公司财务和风险要求。
- 网络安全事件对公司财务和估值有重大影响,CFO需将网络安全风险评估纳入整体网络安全计划。
- 区域视角:
- 北美地区CFO对公司应对网络安全事件的能力极为自信,但EMEA地区CFO缺乏信心,亚太地区CFO虽对应对能力有信心,但很少被信息安全团队简报。
- 后续步骤:
- 拥抱监管趋势,将网络安全风险评估纳入整体网络安全计划。
- 与CISO紧密合作,建立安全的“肌肉记忆”,确保应急响应计划的有效性。
- 将信息安全与关键业务指标保持一致,衡量潜在和实际网络安全事件的财务影响。
