安永：第21次全球信息安全調查報告（2018～2019）

2018年10月，安永發布了第21次全球信息安全調查報告（簡稱GISS），該報告基於安永對1400位來自全球各個行業的受訪者調查分析生成。本次報告的標題爲《網絡安全不止是保護嗎？》。

跟去年的形式同樣，在報告開頭引用了幾組數據來陪襯當前組織面臨的嚴峻網絡安全形勢。

報告從三個方面進行了分析：保護企業——識別關鍵資產並創建防線；優化網絡安全——減小低價值活動、提高安全效能、投資新興技術；使能增加——把實現基於設計的安全（security-by-design）做爲數字變革過程當中的關鍵成功要素。針對每一個方面，報告都用了一個章節來進行闡述。

這裏我摘錄報告的部分觀點以下：

從上圖能夠看出，大部分企業的安全預算都是呈現增加的趨勢，但人員依然不夠，而且還未能在戰略層面給予網絡安全足夠的重視程度。

上圖則代表，受訪者最擔憂失竊的數據是客戶信息，最大的安全威脅是釣魚***，僅有2%的受訪者把刺探列爲重大威脅。顯然，釣魚***已經成爲公認的重要威脅，正如Gartner反覆強調的，連續兩年將反釣魚列入年度10大安全項目。

人被看做是組織最大的弱點，其次纔是過時的安全控制措施（如安全漏洞）。並且超過一半的組織缺乏威脅情報、漏洞識別、泄露檢測、事件響應、數據保護和IAM項目。

從上圖能夠看出，92%的組織都對本身的安全功能不滿意。

上圖展現了組織運用新興技術來加強網絡安全能力的熱情。雲計算位列第一，安全分析位居第二。

最後，報告用三個圖分別從保護、優化、使能三個方面來作出總結：

保護

優化

使能

【參考】

安永：第20次全球信息安全調查報告（2017～2018）

安永：第19屆全球信息安全調查報告

埃森哲：2017年網絡犯罪成本研究報告（含分析）

普華永道：2018年全球信息安全情況調查分析報告 

德勤2010年金融機構安全研究報告