2025年网络安全考虑

39目录© 2025 版权由KPMG国际实体的一个或多个所有。KPMG国际实体不向客户提供任何服务。版权所有。2025年的网络战略网络安全考量 202503前言05对五年旅程的反思 2020–2025072025年八大关键网络安全考量 KPMG专业人员如何提供帮助遇见作者们43致谢 42 F reword o© 2025 版权由KPMG国际实体的一个或多个所有。KPMG国际实体不向客户提供任何服务。保留所有权利。网络安全考量 2025随着2025年逐步成型，数字领域仍在以前所未有的速度演变，带来了新的挑战，并加剧了对强大网络安全措施的需求。在此背景下，年度全球第六次的报告网络安全考量这份报告旨在阐明各行业组织当前和未来面临的挑战，并强调他们可能采取的若干战略行动，所有这些行动都与本报告中深入探讨的八个关键网络安全考量相一致。智能产品的激增，从汽车和医疗仪器到家用电器以及其他物联网相关设备，持续扩大攻击面，以前所未有的方式将物理威胁和数字威胁相结合。深度伪造技术的出现以及诸如加密货币等数字资产（其仍然主要处于监管之外且波动性大）的复兴，增加了这些威胁的复杂性，要求保持警惕并采取创新的反制措施。在这个环境中，首席信息安全官被敦促要专注于教育自己和团队了解人工智能技术，这不仅是为了组建最优秀的团队，也是为了理解每个用例所呈现的独特风险。就人才招聘和发展而言，首席信息安全官面临着组建能够理解人工智能复杂性和往往微妙风险的团队的艰巨任务——这一任务因该领域的快速创新以及在整个业务中不断出现的难以监管的“影子人工智能”区域而变得更加复杂。当技术与我们工作和个人生活的方方面面交织在一起时，网络安全不仅被视为一个商业问题，更成为一个影响社会各个方面的广泛议题。根据KPMG的研究，CEO们将网络安全视为过去十年中最主要的威胁。1跨几乎所有工业领域应用人工智能，凸显了通过建立全面且坚实的治理计划，在人工智能模型及流程中嵌入信任这一关键问题，使首席信息安全官能够理解不同业务。案例，确定人工智能在组织中的使用位置和方法，并识别相关漏洞。1KPMG 2024 全球首席执行官展望，2024年8月。2世界经济论坛，战略网络安全人才框架，2024年4月。 3当今的网络安全挑战已超越传统技术技能的范畴，要求采用跨学科方法，该方法不仅需要深刻理解风险管理，还需具备多种软技能，如解决问题能力、批判性思维和沟通能力。网络安全专业人员可以来自非传统背景，并且必须能够快速适应，并掌握除计算机科学、软件工程或信息技术传统学位培训通常所教内容之外的切实知识。2网络安全专业人员必须优先考虑情境风险评估，同时不忘明确但仍灵活的控制需求。与此同时，网络能力的合理化或整合似乎已然到来，安全团队正从其安全运营中心（SOC）中可能存在的数十种解决方案，转向一套更精简的最佳实践工具，以更有效和经济地集成解决方案，并更好地利用这些工具提供方所提供的全新人工智能能力。 网络安全并非静态职能，而是一项动态且不断演变的挑战。例如，量子计算的兴起——攻击者可通过其以惊人的速度绕过加密工具，从而可能危及从银行和零售交易到商业数据、文档、电子邮件等一切；具备“超级智能”的AI系统在感知到危险时能自我保护，并持续改进和扩展其知识；以及虚假信息传播的速度，尤其是在深度伪造音频和视频内容中，这些问题仅是CISO们夜不能寐的几个新兴议题。这些及其他威胁凸显了创新和战略远见的迫切需求。立法环境正转向更为本地化的监管，这对全球安全运营构成了多维度挑战。与此同时，经济压力要求安全预算的合理性不仅基于投资回报，还需体现风险缓释，这使得首席信息安全官（CISO）在不具备传统财务保证的情况下，处于倡导资源分配的微妙境地。CISOs同样面临着不断升级的地缘政治复杂性的挑战。随着国家支持型攻击的增多、监管环境的流动性和跨境数据流动，CISOs必须驾驭一系列复杂因素，以有效保护其 Akhilesh Tuteja在本报告中，KPMG的各领域专家深入探讨这些问题，对当前网络安全状况进行全面分析，并为符合八大网络安全考量的CISO（首席信息安全官）提供可操作的策略。我们的持续目标是赋予领导者必要的知识和工具，以应对数字时代的复杂性，确保其在充满魅力和激动人心、却常常充满不确定性的未来中，保障组织的安全与韧性。当今首席信息安全官（CISO）们普遍经验丰富——既有经历过重大事件的人，也有可能只面临过轻微摩擦的人——这凸显了对不断变化的威胁形势进行细致入微的理解的必要性。：网络。显然，为了应对新兴威胁并确保合规的压力，比以往任何时候都更加严峻。全球网络安全领导者 普华永道国际 4技术格局正在迅速演变，新威胁每日涌现。为了保持领先，企业必须主动。—非被动响应—为了保护他们的数字资产，确保合规性，并营造一个能够安全创新的环境。Bobby Soni全球科技咨询领导者 普华永道国际 5查看下一页的2020-2025趋势分析展板，所考察的大部分基本安全基础仍与研究进行的核心内容相关。但在新技术、扩展的法规、更复杂的工具以及日益严峻的威胁格局之间，首席信息安全官（CISO）的作用在范围和责任方面正不断扩大。 深入挖掘：然而，这一引人入胜且关键领域的根本基础已从传统安全措施转向全球性、多维度数字环境的优先事项与挑战，CISO及其团队必须近乎实时地应对这些变化。最重要的是，必须强调网络安全已变得无处不在，其已超越技术风险，涵盖更广泛的企业威胁，并影响行业与社会。在过去五年撰写这份报告期间，不断演变的网络安全格局已成为组织领导者一个具体的关注焦点。许多关键主题仍然具有共鸣——韧性、身份访问管理（IAM）、云安全、人才与技能差距，等等。• 随着COVID-19大流行和远程工作安排的正常化，关注云和人工智能安全已成为首席信息安全官（CISO）的主要目标。• 人才，以及始终存在的技能差距，长期以来一直是关键，鉴于新兴技术和所需的新颖且多变的技能。• 身份认证已从传统的身份和访问管理（IAM）——一个重要但独立的功能——转变为零信任（Zero Trust）策略的核心，并成为识别数字身份和深度伪造的一种手段。• 弹性已成为一项贯穿始终且将持续的重要性目标。• CISO（首席信息安全官）持续努力加强自身的职能，尤其是随着网络威胁已转变为具有广泛影响的企业威胁，这些威胁有可能扰乱行业并对社会造成损害。 对五年旅程的反思2020–2025 趋势分析 2020 – 2025COVID-19 pandemic关键事件远程办公 —新的现实战略与领导力• CISO已成为企业内部的信任顾问和运营负责人。人员和人才• 安全团队正在转型为关键资源，拥有相关声音的策略表。技术和数据关键主题• 新的虚拟基础设施模型和协作工具。• 加速云转型（由于(to COVID-19) but security was anafterthought.• 传统身份认证和管理层（IAM）。数字信任• 网络和隐私法规关注于业务优先事项和责任 —信任的重要性。韧性• 从情景到影响为基础——侧重在关键和监管方面。 01020403050608072025年八大关键网络安全考量数字身份的紧迫性CISO角色的不断演变平台整合：拥抱潜力，但要认识风险人民的力量设计中的韧性：企业和社会的网络安全利用人工智能加强网络安全：争先与安全并行随着人工智能的普及嵌入信任点击每个考量项以了解更多。智能安全赋能智慧生态系统首席信息安全官及其团队的关注点，以及他们如何与组织其他部分互动，是动态变化的，随着网络安全职能在组织内部更加广泛地嵌入并被更好地理解。面对新的数字颠覆，组织持续转型其商业模式，许多人在工作负荷方面正经历着真正的挑战，这加剧了早已被讨论的网络安全技能差距。人工智能和自动化可以帮助，但存在人才流失的潜在风险，因为许多团队难以应对。越来越多全球组织正寻求降低其技术复杂性和成本。那些选择通过将工具和服务整合到单个或有限数量的平台上来实现这一目标的组织，必须识别并应对固有的风险。尽管全球范围内涌现出多种关于数字身份的倡议，但由于法规、风险偏好和/或公众对于个人和生物特征数据处理的意见，系统间的互操作性和深度伪造技术的出现所导致的安全认证增强，仍然是一个挑战。人工智能已成为常态，几乎渗透到每个组织职能中，但存在一系列关键的网络安全和隐私挑战，这些挑战可能影响人工智能的采用和部署。全球智能设备和产品的兴起正挑战并改变着传统的安全观念和方法，促使许多监管机构推出新机制以确保这些产品符合基本安全要求。许多因素似乎都在促成对人工智能应用的狂热，从缺乏培训到错失恐惧以及可能落后的担忧。一个关键挑战是权衡将人工智能集成到网络和隐私功能中的潜在收益与潜在风险。弹性正成为CISO议程的核心，因为攻击者利用勒索软件或其他恶意手段造成大规模工业中断的前景仍然令人担忧，这既威胁着数据安全也危及人类生命。 CISO角色的不断演变随着运营模式的演变，预期正在上升。Consideration 1多种因素正在重塑网络安全领域，并显著改变首席信息安全官（CISO）的角色。监管审查的加强、在虚拟环境中无故障交付的压力，以及日益增加的责任和人身风险，都在推动这一趋势的转变。与此同时，传统的CISO职能正逐渐分散到组织中，引发了关于该职位未来和网络安全职能演变的重要问题。CISO的成功很可能取决于他们有效建立决策权、管理新兴技术（尤其是人工智能）的影响，以及适应新威胁的能力。CISO（首席信息安全官）现在面临着管理和配置供应商提供的控制措施以确保障它们符合使用目的并遵守当地法律法规的挑战。这种运营模式的转变意味着CISO对安全措施的实施过程失去了直接的掌控。虽然这些供应商提供的嵌入式网络安全和隐私控制措施可能是有益的，但它们通常缺乏CISO为有效管理多样化环境中的风险所需的灵活性和精细度。CISO必须在应对日益增长的复杂性的同时，仍然确保人员能够高效工作并维持对组织内控制措施运营情况的可见性。CISO的角色正变得越来越复杂。监管审查以及确保整个组织实现强大的网络安全成果是主要驱动因素。这种复杂性进一步因运营模式的变化以及对外部供应商日益增长的依赖而加剧。然而，这些控制措施可能并不总是与组织的独特需求相匹配，特别是在涉及跨越多个国家的全球运营的情况下。 当谈到基于云的软件供应商时，情况会更加复杂，因为通常它们是二元的——要么开启，要么关闭。理想情况下，首席信息安全官希望看到具体的控制措施根据环境或地理位置被设置为开启或关闭——对于美国开启，但对于德国关闭；对于新加坡开启，但对于瑞士关闭。Paul Spacey全球首席信息安全官 KPMG International 日益增长的监管审查以及个人责任的可能性凸显了为首席信息安全官（CISO）明确界定问责制和决策权务必要求。在发生网络安全事件时，CISO们可能会发现自己面临法律和专业后果，尤其是在监管严格的行业。在紧急情况下，例如供应链中断时，首席信息安全官（CISO）需要获得采取即时行动的权限，而无需等待可能不具备必要技术理解的上级批准。然而，这种自主权必须与一套明确的问责控制措施和界限相平衡，这些措施和界限应在高级管理层合作下制定。应鼓励CISO在关键时刻暂停，考虑潜在后果，并评估最有效的行动方案。为降低此风险，组织必须建立正式的治理流程，赋予首席信息安全官在事件发生时采取必要行动的权力，而无需担心遭到报复。这包括向首席信息安全官明确其权限范围以及可操作的界限。有了这些，他们可以快速、自信地做出关键决策。首席信息安全官（CISO）的汇报线也决定了其有效管理网络安全风险的能力。虽然与高管层、首席法务官和董事会直接沟通至关重要，但CISO还必须依据其技术专长拥有决策的自主权。在钢丝上行走：在日益增长的风险的背景下平衡责任与权力。 围绕CISO角色的组织结构正在演变，呈现一种与在岗的技术信息安全官（TISO）分担职责的增长趋势。这种角色划分使CISO能够专注于风险管理及更广泛的网络安全战略。TISO通常嵌入组织的技术职能中，监督相关控制措施的实施，并管理日常运营。随着网络安全领