2022年11月,IBM商業價值研究所(IBV)
發表了《網絡經濟中的繁榮》(Prosper in Cyber Economy)。
為了更好地了解企業對網絡風險和網絡安全的看法,IBM商業價值研究所(IBV)與牛津經濟研究院(Oxford Economics)合作,采訪了來自25個國家、18個行業的2300多名業務、營運、技術、網絡風險和網絡安全高管。
摘譯 |林心雨/賽博研究院實習研究員
來源 | IBM
基于企業IT和資訊安全(IS)轉型負責人的見解,報告提供了迄今為止最全面的分析。報告的研究結果描繪了一個引人注目的結論:網絡安全将演變為一種核心戰略能力,可以降低金融風險、提高營運效率并解鎖新的價值來源。
關鍵要點
- 66%的受訪者認為網絡安全主要是一種創收手段。
從價值的角度來重新思考安全問題,而不是将其作為一個預算項目,可以為企業帶來革命性的價值增長。
- 最成熟的安全組織比最不成熟的組織在五年内的收入增長率高出43%。
那些擁有先進安全功能的公司正在将其轉化為更好的業務成果。
- 43%的組織指出,他們将安全項目治理和操作外包給合作夥伴。
共擔責任對安全營運至關重要,57%的受訪者與安全合作夥伴協調,将其安全架構标準化。
網絡安全背景
在接下來的四年裡,與網絡犯罪相關的成本,預計到2025年為每年10.5萬億美元,而到2026年則為每年2673億美元,也就是說這一成本将超過目前全球網絡安全支出的40倍。
威脅行為者正在網絡經濟中占據上風——他們抓住了組織整體攻擊面擴大的機會,以及社會對互聯服務的依賴性所緻的脆弱性增加的機會。營運負責人需要适時地扭轉局面了,他們需要改變自身對網絡安全的看法,而不是通過增加支出來彌補損失。
上司者需要認識到,安全是将組織的業務和技術戰略聯系在一起的一個重要共同點,而不是處于一種常年防禦的狀态中,将注意力集中在減輕威脅上。技術支援的業務轉換不再是簡單地投資于單個領域以實作其功能。相反,它必須結合技術和能力來解鎖更大的價值,調整操作以實作更高的效率,并更有效地協作以傳遞更好的業務結果。
為了使安全成為成功轉型和價值增長的關鍵因素,一些組織正在将他們的聚焦點從風險暴露轉移到網絡彈性上(見圖1)。最終導緻的結果是,組織減少了對固定邊界的依賴,增加了與合作夥伴的合作及融合,對當今營運環境的未知特征更具靈活性。這種新發現的、更成熟的安全态勢将在特定的行業以及每個企業的轉型過程中以不同的方式表現出來。
圖1 網絡安全戰略演進
具體發現
雖然網絡安全已經列入了高管們的優先級名單,但營運的成熟度以及對其投資的價值仍在發展中。例如,在2022年IBV CEO研究中,網絡安全被列為未來兩到三年内第三大最重要的業務挑戰,45%的CEO将網絡風險視為他們2022年的主要業務挑戰之一,比2021.5增加了15%。與此同時,該研究表明,安全支出正在成為IT支出中更重要的一部分,從目前估計的9%增加到2024年的10%以上。
根據安全主管和企業的其他上司者的說法,研究發現他們對于網絡安全的态度正在發生變化。66%的受訪者現在認為網絡安全主要是一種收入促進因素。
為了更好地了解與安全轉型相關的業務優勢,該研究評估了受訪組織在五個方面的安全成熟度:網絡和風險戰略、基礎能力、安全營運模式、業務內建和生态系統協調。将受訪者分為四個成熟階段,其中最不成熟和最成熟的群體之間存在明顯差異,而這些差異在營運績效方面顯露無疑。
值得注意的是,網絡安全度最成熟的組織在五年内的收入增長率比最不成熟的組織高出43%。
圖2 安全成熟度促進增長
分擔責任是建立在組織與合作夥伴合作以保持一緻的安全态勢的基礎上的。該研究表明,責任共擔打開了共享彈性和共享價值等其他下遊利益的大門。對于網絡風險和共同責任等公共問題,企業的安全職能可以通過連接配接企業的不同部分來打破豎井,甚至可以将能力(和機會)擴充到更廣泛的合作夥伴生态系統中。
成熟的安全組織有哪些不同之處?它們不僅僅是從被動轉變為主動,而是将整個安全生命周期視為一個整體,進而可以找到更多的增值服務。事實上,最大的機會來自于安全在整個組織中所扮演的獨特角色。對于許多客戶來說,安全現代化是更廣泛的業務、安全和IT/IS轉換工作的開端。
該研究發現,安全成熟度最高的組織利用其在安全方面的投資來增強業務成果。對于安全成熟度最高的組織來說,表現為更好的風險意識、更高的可見性、更深的內建度、更有效的問責制和更有效的治理。
該研究還發現了最具影響力的兩組能力——組織如何應對網絡風險以及它們如何通過與生态系統合作夥伴合作來承擔共同責任。在實踐中,這意味着進一步關注網絡風險和網絡彈性。這樣一來,網絡安全就不再是應對不良事件,而是預防、減輕和避免不良事件。
簡而言之,當上司者對網絡安全采取更積極、協作和綜合的方法時,企業不僅能降低風險,還能增加利潤。通過将視野擴大到直接威脅環境之外,并通過關注風險暴露和IT/IS彈性,企業可以實作更成熟的安全态勢,進而推動業務轉型。
行動指南
對于以上這些問題,安全人員可以采取哪些措施呢?
- 使用攻擊面管理工具提高對擴充和進化的攻擊面以及擴充端點的可見性。
- 內建現有工具,以確定企業的SOC不僅僅是其各部分的總和。
- 利用AI和自動化幫助分析師更快地識别和響應最關鍵的威脅,并及時洞察以幫助企業充分利用網絡安全員工隊伍。
- 更加積極主動地面對不斷變化的威脅。制定和測試事件響應計劃,并且該計劃應當将整個安全生态系統中的内部和外部合作夥伴納入其中。
- 使用網絡風險量化服務來鑒定和量化風險,并不斷改進方法,以實作共擔責任、共享彈性和共享價值。
長期以來,傳統思維一直圍繞營運限制來定義網絡安全,但企業可以改變視角,将安全重新設想成機會的種子。随着越來越多的安全主管意識到防禦性和被動的網絡安全方法并不能很好地為企業服務,他們會認識到網絡安全是貫穿整個企業的少數功能之一。也就是說,這可以是在組織内部和外部的生态系統中與合作夥伴推動新的轉換的一個重要機會。
CYBER RESEARCH INSTITUTE