弥合网络韧性差距：高管层行动指南

弥合差距，实现网络弹性：C级管理层的行动指南 2025年全球数字信任洞察的报告发现 PwC|2025全球数字信任洞察|1 2025年全球数字信任洞察的报告发现 网络弹性实施中的差距：尽管对网络风险的担忧加剧，但只有2%的高管表示他们的公司已经在所调查的所有领域实施了网络弹性措施。 2% 50% 13% 仅2%已在其所有调查领域中实施了网络安全弹性措施 低于50%的CISO深度参与了关键业务活动 CISO/CSO与CEO在遵守人工智能和弹性法规方面的信心差距 准备不足的差距：组织觉得最不准备应对它们认为最关注的网络威胁，例如与云相关的风险和第三方泄露。 Ciso参与不足：不到一半的高管表示他们的Ciso在很大程度上参与了战略规划、董事会报告和技术部署的监督。 随着人工智能、互联设备和云计算技术的进步，攻击面不断扩展 ，且监管环境持续变化，在企业层面实现网络弹性至关重要。 然而，尽管人们对挑战有广泛的意识，但显著差距依然存在。为了保护他们的组织，高管应将网络安全视为商业议程中的常设事项，将其融入每一项战略决策，并要求高层管理层的合作。 监管合规信心差距：CEO和CISO/CSO对其公司遵守法规的能力信心水平不同，尤其是在人工智能、韧性和关键基础设施方面。 衡量网络安全风险的差距：尽管高管们承认衡量网络安全的重要性，但不到一半的人能有效地进行衡量，只有15%的人较大程度地衡量了网络安全风险带来的财务影响。 毕马威2025年全球数字信任洞察调查涵盖了来自77个国家的4,042名商界和技术高管，该调查揭示了公司在实现网络弹性之前必须弥合的重大差距。 所有这些都指向了加强网络安全弹性的需要，即需要更好的高管层协作和战略投资。通过弥补这些差距并将网络安全作为业务优先事项，高管可以走向更安全的未来。CISOs可以通过分享技术支持的洞察力，并通过用商业术语（成本、机会、风险）解释网络安全优先事项，来帮助推动这一结果。 PwC|2025全球数字信任洞察|2 目录 ...............应对网络威胁：建立共同的风险防范愿景4 ...............生成式人工智能与新兴技术：平衡机遇与风险7 .............一个高度监管的网络世界：企业真的准备好了吗？10 .............释放网络风险量化的潜力：是什么在阻碍13组织支持？ .............16投资韧性，建立信任 .............19您的网络战略和领导力是否正在推动真正的韧性？ PwC|2025全球数字信任洞察|PwC|2025全球数字信任洞 66% 42% 技术高管中有53%将网络安全视为需要最高优先级应对的风险，而商业高管中只有48%这样认为 高管中，有相当一部分人将云相关威胁视为最令人担忧的网络威胁 威胁态势和新兴风险 应对网络威胁：建立共同的风险防范愿景 前2名 云和连接产品攻击是安全高管最没有准备应对的问题 而随着网络安全环境不断演变，组织正面临波动性和不可预测性日益增加的威胁。不断扩大的攻击面——这得益于对云、人工智能、互联设备和第三方日益增长的依赖——要求采取一种灵活的企业范围弹性方法。为了维护安全和业务连续性，对齐组织优先事项和准备状态至关重要。 未准备好应对最令人担忧的威胁 最让组织担忧的是他们最没有准备的。最令人担忧的前四大网络安全威胁——与云相关的威胁、黑客渗透行动、第三方泄露和针对联网产品的攻击——正是安全主管们感觉最没有准备去应对的威胁。这个差距凸显了进行更好的投资和加强响应能力的紧迫需求。 唤醒闹钟 一个以威胁为基础的网络安全投资策略至关重要。优先投资于最紧迫的网络安全风险，并更仔细地审视在人员、流程和防御能力方面资源配置的情况。 此外，安全高管与其他组织成员之间存在认知差异，首席信息安全官(CISO)和首席安全官(CSO)更可能将勒索软件列为他们最关心的前三个威胁之一。这可能反映了他们的角色，因为勒索软件与网络/IT职责更紧密相关，而从事该职能的人员可能比他们的业务同行更了解这些漏洞。这进一步强调了跨领导团队加强信息共享以就优先事项达成一致的重要性。 威胁态势和新兴风险PwC|2025全球数字信任洞察|4 战略分歧：商业和技术优先级全球平均数据泄露成本超过300万美元 PwC|2025全球数字信任洞察|5 罗布·乔伊斯，赛博、风险与监管高级研究员，普华永道美国公司，前总统特别助理及代理国土安全顾问 “ 不要在网络安全和弹性能力的征途上停滞 不前。犯罪分子和国家行为者正变得擅长寻找未受保护的网络：薄弱的身份和访问控制、未修补的设备和安全配置错误。 商业高管和技术高管优先考虑不同的风险。商业高管更关注通胀，而技术高管将网络安全风险列为首要任务——这可能是由于他们与网络安全威胁环境的密切联系。即便如此，仍有近一半的商业高管将网络安全风险列为其前三大担忧之一，这突显了其关键重要性。这种共同关注代表了CISO们将网络安全议程与商业议程相连接的机会。 唤醒闹钟 商业和技术高管们——是时候进行协同了。在网络安全风险和经济压力之间取得平衡，以帮助保护资产并创造韧性。定期的跨职能评估将使您的战略和优先事项保持一致。 威胁态势和新兴风险 超过四分之一的高管告诉我们，过去三年中他们最严重的數據洩露事件讓他們的組織損失至少100万美元。這比去年跨越所有規模、大多數區域和行業的調查結果略低。總體而言，平均數據洩露損失被估計為332万美元。 顶尖表现者——被认定为那些表示其组织更有可能在日常中展现高质量网络安全实践的人——在过去三年中不太可能经历任何数据泄露。这些顶尖表现者通常来自规模较大、高增长的组织，其网络安全预算预计明年将增加15%或更多，这表明网络项目成熟度和资金与更好的韧性相关。 PwC|2025全球数字信任洞察|6 唤醒闹钟 优先考虑涵盖预防、检测、响应和恢复的全面风险管理策略。了解数据泄露带来的更广泛影响——不仅仅是经济损失——以建立真正的韧性。 高管行动号召 随着组织面临日益复杂的威胁环境，这很重要公司高管要积极主动地评估当前和新兴的风险。通过使网络安全战略与更广泛的企业目标保持一致，高管可以更好地准备他们的组织来管理风险和建立弹性。 Ciso：向高管团队强调那些最危及你业务的威胁，特别是如果需要将投资重心转移的话。 Cio和首席技术官（cto）:根据与风险高管们的谈话，评估哪些威胁可能对大型信息和基础设施安全造成损害，以及哪些威胁对恢复力构成最大障碍。 CFO们：从CISO和CRO那里获得更深入的了解，了解最关键的网络安全管理和投资优先事项。 首席执行官：定期与首席风险官和首席信息官会面，了解他们最关心的威胁向量。确保您定期收到关于当前威胁缓解工作的报告。 董事会：了解组织面临的主要网络安全风险，并向管理层提出尖锐问题。风险是如何被缓解的？我们是否有足够的计划和资金来主动应对风险，并在事件发生时做出响应？ 威胁态势和新兴风险 67% 78% 72% 安全主管中有✁人表示，过去一年中生成式人工智能增加了他们✁攻击面 在过去12个月内，它们增加了对GenAI✁投资 针对技术门槛较低✁网络攻击者，使其能够大规模制作有效✁网络钓鱼攻击和深度伪造。这与我们第27届CEO调查其中，全球64%✁首席执行官同意，生成式人工智能可能会增加其组织✁网络安全风险。使用生成式人工智能也引发了关于数据完整性、隐私和合规性✁担忧，因为公司正在应对仍在不断演变中✁监管义务。 此外，其他技术如连接设备和运营技术（OT）也在扩大攻击面，这些技术将影响制造业、医疗保健和能源等行业。随着越来越多✁设 备互联互通，保障这些系统✁安全变得更加困难。此外，尽管量子 已增加其在人工智能治理中✁风险管理投资 尽管生成式人工智能（GenAI）✁快速发展为各行业带来了新✁机遇 ，但它也带来了网络安全风险。随着组织采用生成式人工智能和其他新兴技术，高管层应应对更复杂和不可预测✁攻击向量、集成障碍以及生成式人工智能在网络安全防御和进攻中✁双刃剑特性。这些挑战背后是重大✁数据和法律问题，这些问题可能会使生成式人工智能✁部署和管理变得复杂。 迈克·埃尔莫尔，GSK全球首席信息安全官 “ 网络安全主要是一个数据科学问题。网络 安全防御者利用生成式人工智能和机器学习✁力量来接近数据，从而及时地获取最重要✁可操作洞察，这一点正变得越来越紧迫。” 一个不断演变✁攻击面 计算仍处于展望阶段，但42%✁网络安全高管报告说，它已经迫使他们解决漏洞问题。 新兴技术与生成式人工智能 生成式人工智能与新兴技术：平衡机遇与风险 唤醒闹钟 持续评估新漏洞，投资先进安全措施，以及加强技术、安全、风险和法律团队之间✁合作至关重要。通过为这些威胁做好准备，公司可以更好地保护关键资产并维护利益相关者✁信任。 安全高管报告称，过去一年中，通用人工智能（67%）和云技术（66%）扩大了网络攻击面，使公司更容易受到复杂威胁✁攻击。通用人工智能也可以降低门槛 新兴技术与生成式人工智能PwC|2025全球数字信任洞察|7 唤醒闹钟 GenAI可以转变您✁网络安全防御，但前提是您必须克服集成 、信任和有效治理✁挑战，并应用负责任✁AI实践。否则，您将面临在与威胁行为者✁军备竞赛中落后✁风险。 利用GenAI进行网络安全防御：机遇与挑战 尽管通用人工智能正在增加大多数组织✁网络安全风险攻击面，高管们也在使用这项同样✁技术进行网络安全防御。他们利用通用人工智能✁三大方式包括威胁检测和响应、威胁情报以及恶意软件/钓鱼检测。 然而，尽管存在这些机会，组织在将GenAI整合到其网络安全战略中时面临着几个障碍。 与现有系统/流程整合✁难度（39%） 内部利益相关者对GenAI缺乏信任（39%） GenAI领先于网络投资优先事项 认识到网络安全风险✁增加，78%✁高管已加大对GenAI✁网络安全投资，尤其关注治理。对GenAI✁投资强调了管理其能力和风险 ✁重要性。 内部控制和风险管理不足（38%） 缺乏规范其使用✁内部政策（37%） 企业也开始投资量子准备。尽管采用仍需数年，但已有日益增长✁紧迫感去追求抗量子技术以及后量子安全措施，以应对该技术落入错误之手时可能带来✁未来威胁。 新兴技术与生成式人工智能 PwC|2025全球数字信任洞察|8 PwC|2025全球数字信任洞察|9 唤醒闹钟 投资通用人工智能只是开始。通过探索其他技术（包括抗量子解决方案）尚未开发✁潜力，进一步推动进展，以帮助您✁防御超越不断演化✁威胁。 高管行动号召 随着新兴技术重塑网络安全格局，Csuite各级高管积极参与，指导其组织应对这些创新带来✁机遇与风险，至关重要。 Ciso：帮助在整个技术资产中推动标准化，以帮助将人工智能整合到网络防御中。在用户基础上执行访问权限 ，以识别可能✁攻击向量。 Cio和cto：制定人工智能影响评估，向商业高管说明投资和实施✁最佳位置。随着通用人工智能使用✁增长，准备好您 ✁平台以实现可扩展性。 首席财务官：与首席信息安全官合作，确定财务数据保护和机密性✁优先级。 首席数据官（CDO）：提升您✁数据治理协议，并根据隐私法规和监管指南评估任何数据隐私风险。 首席法律官（CLOs）和总法律顾问（GCs）：与其他风险和合规团队协作，防止数据✁不当二次使用以及潜在✁法律风险。 新兴技术与生成式人工智能 96% 78% 13% 报道称，网络安全法规促使他们在过去12个月内增加了网络安全投资 相信法规有助于挑战、改善或提高他们✁网络安全态势 CISO/CSO与CEO在遵守人工智能和弹性法规方面✁信心差距 监管发展 一个高度监管✁网络世界：企业真 ✁准备好了吗？ 监管框架要求企业迅速遵守日益增长✁要求。大量新法规——DORA、网络弹韧性法案、人工智能法案、CIRCIA、新加坡网络安全法案等——强调了组织