报告行业投资评级 未提及 报告的核心观点 - 2024年CISO面临网络攻击风险高、预算紧张、人员因素致数据丢失等挑战，但对防范攻击信心增强，与董事会关系更紧密，同时需应对新技术威胁和工作压力问题 [2][3][4][91] 根据相关目录分别进行总结 引言 - 近年来CISO面临诸多挑战，2024年网络攻击风险达顶峰，攻击面扩大、威胁更复杂，员工流动和生成式AI也带来新风险，Proofpoint调查1600名CISO以了解其应对情况 [2][3][5] 高度担忧但信心渐长 - 超三分之二（70%）CISO认为未来12个月有重大网络攻击风险，近三分之一（31%）认为“极有可能”，较去年有所增加，显示CISO集体焦虑 [8][9] - 多数CISO意识到潜在风险是积极信号，但近半（43%）认为组织未做好应对有针对性网络攻击的准备，虽较2023年（61%）和2022年（50%）有所改善，但仍存在安全意识与准备的脱节 [11][12][13] - 41%的CISO认为未来12个月勒索软件是主要威胁，恶意软件（38%）、电子邮件欺诈（36%）、云账户泄露（34%）、内部威胁（30%）和DDoS攻击（30%）也位列前五 [14] - 董事会与CISO对网络安全威胁的看法趋于一致，都认为勒索软件、恶意软件、内部威胁和云账户泄露是最大威胁 [18] 人为错误：持续存在的漏洞 - 近四分之三（74%）的CISO认为人为错误是最大网络安全漏洞，高于2023年的60%和2022年的56%，但董事会认同比例略低，为63% [23][24] - 80%的CISO认为未来两年人为风险（包括员工疏忽）是关键网络安全问题，较2023年的63%有所上升，法国（91%）、加拿大（90%）等国家的CISO感受更强烈 [26] - 87%的CISO计划部署人工智能技术以防范人为错误和高级以人为中心的网络威胁，零售（81%）、IT、技术和电信（89%）、教育（88%）等行业领先 [28][29] 数据保护与内部威胁 - 今年全球不到一半（46%）的CISO报告发生了敏感信息重大损失，低于去年的63%，但韩国（77%）、加拿大（61%）等国家比例较高 [31][32] - 教育（68%）、金融服务（54%）和媒体、休闲和娱乐（54%）等行业受敏感数据丢失影响最大 [34] - 发生敏感数据丢失的原因中，42%归咎于疏忽的内部人员/粗心的员工，外部攻击（40%）和恶意或犯罪内部人员（36%）也是常见因素 [35] - 近四分之三（73%）的CISO表示员工离职导致了数据丢失事件，尽管对员工跳槽导致数据丢失的担忧较去年有所下降，但现代劳动力频繁换工作仍使数据丢失风险居高不下 [37] - 数据丢失的后果主要包括财务损失（43%）、攻击后恢复成本（41%）和关键数据丢失（40%） [38] - 约一半CISO通过教育员工安全最佳实践（53%）和使用云安全解决方案（52%）来应对数据丢失问题，也有部分部署专用数据丢失预防（DLP）技术（51%）、端点安全（49%）等 [40] - 87%的CISO认为信息保护和数据治理是首要任务，较前几年有大幅提升，DLP技术的采用率也从2023年的35%升至今年的51%，81%的CISO认为数据得到了充分保护 [43][44] 2024年CISO的网络现实 - 超半数（54%）CISO认为生成式AI对组织构成安全风险，韩国（75%）、加拿大（73%）和法国（64%）的CISO感受最强烈 [49][53] - 生成式AI使攻击更易扩展和实施，但也能帮助防御者连接外部威胁、敏感内容和异常行为，提前干预和阻止威胁 [50][51] - 59%的CISO认为经济状况对组织产生了负面影响，韩国（79%）、加拿大（72%）等国家的CISO受影响较大，近半（48%）CISO被要求裁员、延迟招聘或削减开支 [56][57] - 多数（58%）CISO计划专注于改善信息保护和推动业务创新，提高员工网络安全意识成为第二高优先级，表明以人为中心的安全已成为网络战略的重要组成部分 [58] 加强董事会与CISO的关系 - 今年84%的CISO表示在网络安全问题上与董事会意见一致，较2022年的51%和2023年的62%有显著提升，医疗保健（91%）、运输（88%）等行业最为一致 [63][64] - 84%的CISO认为董事会层面应具备网络安全专业知识，高于2023年的62% [68] - CISO认为董事会对重大网络攻击的主要担忧是运营中断（44%）、收入损失（44%）和声誉损害（43%） [69] CISO持续面临的压力 - 三分之二（66%）的CISO认为对其角色的期望不切实际，且这一比例逐年上升，超半数（53%）CISO在过去12个月经历或目睹了职业倦怠，但也有近三分之一（31%）表示未经历过，较去年的15%有所增加 [83][84][85] - 66%的全球CISO担心个人、财务和法律责任，较2023年的62%略有上升，72%的CISO不会加入不提供董事及高级职员（D&O）保险或类似保障的组织 [87] 结论 - 尽管面临挑战，CISO仍保持积极态度，对防范攻击更有信心，与利益相关者和董事会关系更紧密，但员工流动、传统威胁和新兴技术仍带来挑战，以人为中心的安全和AI技术将发挥重要作用，同时需解决工作压力问题 [91][92][93] 方法论 - 2024年1月20日至2月2日，Research firm Censuswide对16个国家1000名以上员工的组织中的1600名首席信息安全官进行了调查，每个市场采访100名CISO [95]