报告行业投资评级 未提及相关内容 报告的核心观点 组织面临快速变化的威胁环境，混合和多云环境的复杂性带来新漏洞，挑战传统信息安全和风险管理策略 ；调查揭示组织面临的障碍，如工具碎片化、风险理解信心差距、领导层与运营团队优先级不一致等 ；组织应重新思考策略，采用主动方法保护敏感资产，提升数据安全和风险管理能力 [9] 根据相关目录分别进行总结 执行摘要 组织面临快速变化的威胁环境，混合和多云环境带来新漏洞，挑战传统策略 ；调查揭示组织面临工具碎片化、风险理解信心差距、优先级不一致等障碍 ；组织应重新思考策略，采用主动方法保护敏感资产 [9] 关键发现 风险理解差距限制有效风险管理 31%的受访者缺乏识别高风险数据源的工具，12%不确定是否有此类工具，80%对识别高风险数据源信心不足 ；混合和多云环境增加风险管理复杂性，数据分布分散使定位和优先处理漏洞更困难 ；组织开始重视提供可操作见解的工具，如评估结果、专用仪表板和风险评分 [17][19][23] 管理层与员工之间的不一致影响风险和合规策略 管理层和员工战略优先级存在差距，高管关注战略目标，员工关注资源保障 ；员工和管理层对CISO优先级看法不同，员工对识别高风险数据源信心更低 ；48%的受访者认为人员有限，46%认为缺乏自动化是关键障碍，许多团队依赖低效方法 [26][29][33] 现有工具难以跟上不断发展的现代风险管理需求 超半数组织使用四种或更多工具管理数据风险，导致效率低下和信息冲突 ；传统合规工具缺乏主动数据安全和风险态势管理功能，难以识别和整体管理互联风险 ；混合和多云架构需要可扩展、集成和实时洞察风险的工具，现有工具无法适应不断变化的威胁 [39][42][45] 法规和合规推动风险降低，但在主动数据安全策略方面不足 59%的受访者将法规和合规作为降低风险的主要驱动力，ISO和GDPR是最常遵守的框架 ；但组织对新兴和不断演变的风险应对不足，仅11%关注识别高风险用户行为，12%关注适应变化的攻击面 ；只有15%的受访者进行实时风险评估，31%评估风险超过一周，增加暴露于新威胁的可能性 [47][49][52] 转向基于风险的策略至关重要 组织开始认识到合规驱动策略的局限性，转向基于风险的方法，识别和优先处理漏洞是最高优先级 ；漏洞修复率和安全违规被优先作为关键绩效指标 ；未来12 - 18个月，组织优先考虑培训员工、简化流程和整合工具 [55][57][59] 最终关于数据安全风险状态的思考 组织应增强对混合和云环境中风险的理解，利用提供可操作见解的工具 ；投资统一平台，集成合规、安全和风险管理工具，具备评估结果、专用仪表板和风险评分等功能 ；加强管理层和运营团队的沟通与协作，确保战略目标与执行现实一致 ；转向主动、基于风险的方法，优先进行动态风险评估、漏洞管理和适应性调整 [63][64][66] 完整调查结果 概述 多数组织使用混合或多云环境，40%的受访者认为安全人员与领导层就安全态势进行了有效沟通 ；未来12个月，组织优先考虑识别和检测漏洞、优先处理漏洞、修复和缓解等工作 ；参与风险识别和修复的人员数量因组织而异，CISO通常是数据安全事件的主要责任人 [20][69][71] 关注和挑战 组织最关注的风险事件包括误分类数据、配置错误、社会工程攻击等 ；识别数据基础设施风险的主要挑战包括人员有限、缺乏自动化、工具分散等 [77][79] 风险评估策略 组织使用的关键风险指标包括异常用户行为指标、漏洞修复率、安全违规等 ；风险评估频率和时长各不相同，多数组织采用行业评分、通用漏洞评分系统等方法评估漏洞严重程度 ；为最大化风险管理预算价值，组织优先考虑培训员工、简化流程和整合工具 [82][83][84] 风险管理工具 多数组织使用数据活动监控、数据丢失预防、数据分类等工具管理数据风险 ；57%的受访者能够识别高风险数据源，但只有20%对识别能力高度自信 [88][90] 合规和标准 组织使用的风险管理框架包括隐私设计、NIST CSF、MITRE ATT&CK等 ；遵守的法规和标准包括ISO、GDPR、PCI DSS等 [93] 计划策略和驱动因素 CISO在与业务高管沟通数据安全时，主要关注安全计划预算、平衡安全与运营效率、量化数据安全态势等方面 ；数据风险降低策略的主要驱动因素包括法规和合规、客户和合作伙伴、高管层等 [95][96] 人口统计 受访者来自不同规模、地区和行业的组织，包括金融、电信、医疗等行业 ；职位级别涵盖C级高管、总监、经理和员工等 [98][99] 调查方法和创建 云安全联盟（CSA）是非营利组织，致力于推广云计算和IT技术的最佳实践和网络安全 ；泰雷兹委托CSA开展调查和报告，调查于2024年11月在线进行，收到912份来自不同组织的IT和安全专业人员的回复 [101][102] 研究目标 调查旨在全面了解组织如何评估和管理网络安全和数据风险，具体关注评估数据风险的方法、风险评估的工具和自动化、风险评估中的挑战和优先级等方面 [103]