尽管2023年经济形势不佳,但中国企业机构的网络安全预算仍然有所增加,或维持不变。首席信息官(CIO)及其安全团队可参考本文中介绍的国内调研结果,确保安全投资与业务及合规优先事项保持一致。
主要发现
-
尽管面临经济困境和不确定性,但超过60%的中国企业机构在2023年增加了网络安全预算,或维持预算不变。
-
隐私保护和合规是多数企业机构投资最多的网络安全技术,其次是安全运营和云安全。
-
评估网络安全投资和项目成果的主流方法是将安全成熟度模型与量化指标相结合。
建议
负责网络安全投资和成果的CIO及安全和风险管理(SRM)领导者,应:
-
向董事会提供有价值的最新预算情况,并使网络安全投资与业务优先事项和成果保持一致,从而获得可持续的安全投资,为应对将来的安全预算和资源压力做好准备。
-
在实施企业优先关注的安全技术的同时,借鉴Gartner针对中国市场独特性总结的隐私保护、云安全、安全运营和数据安全等领域的最佳安全管理实践。
-
采用成果驱动型指标(ODM),建立安全指标与业务成果之间的依赖关系,从而展示出技术和运营安全指标对业务成果的影响。
战略规划假设
到2026年,如果能够将网络安全投资与业务成果直接挂钩,CIO及安全领导者获得可持续安全投资的几率将增加50%。
调研目的
2023年Gartner中国网络安全投资和成果评估调研,旨在体现2022年至2023年网络安全预算的变化、识别获得最多投资的网络安全技术,以及评估中国企业机构网络安全投资和项目成果的方法。
本次调研于2023年4月14日至7月6日通过线下研讨会进行,共有39名中国受访者参与。符合条件的受访者应供职于跨多个行业领域(包括资产管理、汽车、生物技术、能源、金融、消费品、高科技、生命科学、制造、专业服务、房地产和交通运输)的大中型国有、私营或跨国企业。同时,受访者应担任以下任一角色:安全和风险管理领导者;首席信息官;企业架构和技术领导者;采购和供应商管理领导者;或参与网络安全预算规划、优先级排序和绩效评估流程的投资者。
数据洞察
在中国,随着科技行业不断收缩、经济不确定性可能还将持续一段时间,企业机构高管正在仔细审视IT和网络安全支出的方方面面。中国的CIO和SRM领导者可参考本调研结果,确定网络安全预算和资源的优先级,以缓解自身面临的最紧迫的网络安全威胁和风险。本调研还强调了制定以结果为导向的量化指标的重要性,此类指标可有效地评估和展示网络安全投资和项目的成果。
企业机构在增加或维持网络安全预算
尽管经济形势不佳,且存在不确定性,但67%的企业机构在2023年增加了网络安全预算,或维持预算不变。整体来看,56%的受访者表示网络安全预算在2023年有所增加,11%的受访者表示网络安全预算维持不变(见图1)。
图1:2023年中国网络安全预算变化
尽管中国企业正面临着经济衰退和裁员的压力,并且存在对经济普遍放缓的担忧,但网络安全支出并未受到影响。1,2然而,在持续的经济下行压力下,应从现在起就为领导层可能提出的成本优化要求做好准备。中国的CIO和SRM领导者应向董事会提供有价值的最新预算情况,主动为应对未来资源压力做好准备(请参阅 Tool: Board Briefing — Cybersecurity Program Budget Update),并使网络安全投资与业务优先事项和成果保持一致,以获得可持续的安全投资(请参阅中国企业如何实践业务价值驱动型安全投资)。
隐私保护和合规位列网络安全技术投资的首位
在2023年网络安全投资方面,有62%的受访者表示,隐私保护和合规(如隐私增强计算、同意和偏好管理平台、主体权利请求自动化)以及安全运营是位列其前三的优先投资安全技术。在对网络安全技术投资进行最优排序时,最常选择的三种技术依序是隐私保护和合规、安全运营和云安全。此外,13%的受访者在将数据和机器学习(ML)/人工智能(AI)安全列为前三大投资对象之一的同时,也将其作为首要投资目标(见图2)。
图2: 2023年中国网络安全投资技术排行榜
中国的SRM领导者面临着多种网络安全挑战,需要实施以下安全技术和相应管理实践,从人员、流程和技术角度同步实施优先级较高的安全项目:
-
隐私保护和合规——对隐私保护的监管要求和隐私保护的执行力度均日益严格,这导致在中国运营的企业机构(包括国有、私营和跨国企业)的合规成本有所增加。在中国,企业机构在处理个人信息或敏感个人信息时需要了解当地的隐私监管要求,并对整改措施进行优先级排序,从而评估和管理合规风险(请参阅State of Privacy — China和为中国数据出境安全评估做准备)。
-
安全运营——中国在安全运营方面的复杂情况,要求企业机构对当地相关法规(如《网络安全等级保护制度2.0》)做出适当响应。中国政府对企业机构应对安全威胁实战能力的重视,以及数字生态系统和威胁环境的快速发展,促使本土企业机构强化网络安全韧性(请参阅中国安全运营最佳实践)。
-
云、数据和ML/AI安全——业务和技术职能部门对数字技术(如云平台和服务、商业智能/数据分析、ML/AI)的加速采用,要求云安全(请参阅中国云安全最佳实践)以及数据和ML/AI安全达到更高的成熟度(请参阅安全和风险管理领导者指南:中国的数据安全和快问快答:如何将数据安全与CIO在中国的技术投资重点挂钩)。
安全成熟度模型和量化指标是评估网络安全成果的主流方法
46%的受访者表示,会综合使用安全成熟度模型和量化指标(如被攻击的次数、未修补的漏洞数、被拦截的电子邮件数)来评估网络安全投资和项目的成果。只有8%的受访者表示,目前未对网络安全成果进行评估,并计划在近期开展评估。总体而言,74%的受访者会使用某类量化指标来持续观测网络安全成果(见图3)。
图3:网络安全成果的衡量方法
安全成熟度模型是基于已发布的网络安全标准和框架(如ISO 27002、NIST SP 800-53、等保2.0、DSMM),从而:
-
提炼出最佳实践和技术,确定安全能力等级。
-
引导优先项目和投资,实现网络安全能力。
当企业机构处于安全项目构建的早期阶段时,这些模型是有效的。然而,随着安全成熟度的提高,企业机构必须根据自身业务目标来确定未来的安全投资,并将其视为业务增长和创新的助推器,而非业务运营的障碍或纯粹的成本中心。使用一套与业务成果(例如,产品组合的盈利能力、季度营收目标的完成情况、生产管道和货物交付的延迟情况)相关的预定义量化指标(ODM)来评估安全投资的成果。
3558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
