2022年11月,IBM商业价值研究所(IBV)发表了《网络经济中的繁荣》(Prosper in Cyber Economy)。为了更好地了解企业对网络风险和网络安全的看法,IBM商业价值研究所(IBV)与牛津经济研究院(Oxford Economics)合作,采访了来自25个国家、18个行业的2300多名业务、运营、技术、网络风险和网络安全高管。
摘译 | 林心雨/赛博研究院实习研究员
来源 | IBM
基于企业IT和信息安全(IS)转型负责人的见解,报告提供了迄今为止最全面的分析。报告的研究结果描绘了一个引人注目的结论:网络安全将演变为一种核心战略能力,可以降低金融风险、提高运营效率并解锁新的价值来源。
关键要点
66%的受访者认为网络安全主要是一种创收手段。
从价值的角度来重新思考安全问题,而不是将其作为一个预算项目,可以为企业带来革命性的价值增长。
最成熟的安全组织比最不成熟的组织在五年内的收入增长率高出43%。
那些拥有先进安全功能的公司正在将其转化为更好的业务成果。
43%的组织指出,他们将安全项目治理和操作外包给合作伙伴。
共担责任对安全运营至关重要,57%的受访者与安全合作伙伴协调,将其安全架构标准化。
网络安全背景
在接下来的四年里,与网络犯罪相关的成本,预计到2025年为每年10.5万亿美元,而到2026年则为每年2673亿美元,也就是说这一成本将超过目前全球网络安全支出的40倍。
威胁行为者正在网络经济中占据上风——他们抓住了组织整体攻击面扩大的机会,以及社会对互联服务的依赖性所致的脆弱性增加的机会。运营负责人需要适时地扭转局面了,他们需要改变自身对网络安全的看法,而不是通过增加支出来弥补损失。
领导者需要认识到,安全是将组织的业务和技术战略联系在一起的一个重要共同点,而不是处于一种常年防御的状态中,将注意力集中在减轻威胁上。技术支持的业务转换不再是简单地投资于单个领域以实现其功能。相反,它必须结合技术和能力来解锁更大的价值,调整操作以实现更高的效率,并更有效地协作以交付更好的业务结果。
为了使安全成为成功转型和价值增长的关键因素,一些组织正在将他们的聚焦点从风险暴露转移到网络弹性上(见图1)。最终导致的结果是,组织减少了对固定边界的依赖,增加了与合作伙伴的合作及融合,对当今运营环境的未知特征更具灵活性。这种新发现的、更成熟的安全态势将在特定的行业以及每个企业的转型过程中以不同的方式表现出来。
图1 网络安全战略演进
具体发现
虽然网络安全已经列入了高管们的优先级名单,但运营的成熟度以及对其投资的价值仍在发展中。例如,在2022年IBV CEO研究中,网络安全被列为未来两到三年内第三大最重要的业务挑战,45%的CEO将网络风险视为他们2022年的主要业务挑战之一,比2021.5增加了15%。与此同时,该研究表明,安全支出正在成为IT支出中更重要的一部分,从目前估计的9%增加到2024年的10%以上。
根据安全主管和企业的其他领导者的说法,研究发现他们对于网络安全的态度正在发生变化。66%的受访者现在认为网络安全主要是一种收入促进因素。
为了更好地了解与安全转型相关的业务优势,该研究评估了受访组织在五个方面的安全成熟度:网络和风险战略、基础能力、安全运营模式、业务集成和生态系统协调。将受访者分为四个成熟阶段,其中最不成熟和最成熟的群体之间存在明显差异,而这些差异在运营绩效方面显露无疑。
值得注意的是,网络安全度最成熟的组织在五年内的收入增长率比最不成熟的组织高出43%。
图2 安全成熟度促进增长
分担责任是建立在组织与合作伙伴合作以保持一致的安全态势的基础上的。该研究表明,责任共担打开了共享弹性和共享价值等其他下游利益的大门。对于网络风险和共同责任等公共问题,企业的安全职能可以通过连接企业的不同部分来打破竖井,甚至可以将能力(和机会)扩展到更广泛的合作伙伴生态系统中。
成熟的安全组织有哪些不同之处?它们不仅仅是从被动转变为主动,而是将整个安全生命周期视为一个整体,从而可以找到更多的增值服务。事实上,最大的机会来自于安全在整个组织中所扮演的独特角色。对于许多客户来说,安全现代化是更广泛的业务、安全和IT/IS转换工作的开端。
该研究发现,安全成熟度最高的组织利用其在安全方面的投资来增强业务成果。对于安全成熟度最高的组织来说,表现为更好的风险意识、更高的可见性、更深的集成度、更有效的问责制和更有效的治理。
该研究还发现了最具影响力的两组能力——组织如何应对网络风险以及它们如何通过与生态系统合作伙伴合作来承担共同责任。在实践中,这意味着进一步关注网络风险和网络弹性。这样一来,网络安全就不再是应对不良事件,而是预防、减轻和避免不良事件。
简而言之,当领导者对网络安全采取更积极、协作和综合的方法时,企业不仅能降低风险,还能增加利润。通过将视野扩大到直接威胁环境之外,并通过关注风险暴露和IT/IS弹性,企业可以实现更成熟的安全态势,从而推动业务转型。
行动指南
对于以上这些问题,安全人员可以采取哪些措施呢?
使用攻击面管理工具提高对扩展和进化的攻击面以及扩展端点的可见性。
集成现有工具,以确保企业的SOC不仅仅是其各部分的总和。
利用AI和自动化帮助分析师更快地识别和响应最关键的威胁,并及时洞察以帮助企业充分利用网络安全员工队伍。
更加积极主动地面对不断变化的威胁。制定和测试事件响应计划,并且该计划应当将整个安全生态系统中的内部和外部合作伙伴纳入其中。
使用网络风险量化服务来鉴定和量化风险,并不断改进方法,以实现共担责任、共享弹性和共享价值。
长期以来,传统思维一直围绕运营限制来定义网络安全,但企业可以改变视角,将安全重新设想成机会的种子。随着越来越多的安全主管意识到防御性和被动的网络安全方法并不能很好地为企业服务,他们会认识到网络安全是贯穿整个企业的少数功能之一。也就是说,这可以是在组织内部和外部的生态系统中与合作伙伴推动新的转换的一个重要机会。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。