IBM報告：網絡安全成熟度影響企業間收入增長率，最大差距達43%

2022年11月，IBM商業價值研究所（IBV）發表了《網絡經濟中的繁榮》（Prosper in Cyber Economy）。為了更好地了解企業對網絡風險和網絡安全的看法，IBM商業價值研究所(IBV)與牛津經濟研究院(Oxford Economics)合作，采訪了來自25個國家、18個行業的2300多名業務、運營、技術、網絡風險和網絡安全高管。

摘譯 | 林心雨/賽博研究院實習研究員

來源 | IBM

基于企業IT和信息安全(IS)轉型負責人的見解，報告提供了迄今為止最全面的分析。報告的研究結果描繪了一個引人注目的結論：網絡安全將演變為一種核心戰略能力，可以降低金融風險、提高運營效率并解鎖新的價值來源。

關鍵要點

• 66%的受訪者認為網絡安全主要是一種創收手段。

從價值的角度來重新思考安全問題，而不是將其作為一個預算項目，可以為企業帶來革命性的價值增長。

• 最成熟的安全組織比最不成熟的組織在五年內的收入增長率高出43%。

那些擁有先進安全功能的公司正在將其轉化為更好的業務成果。

• 43%的組織指出，他們將安全項目治理和操作外包給合作伙伴。

共擔責任對安全運營至關重要，57%的受訪者與安全合作伙伴協調，將其安全架構標準化。

網絡安全背景

在接下來的四年里，與網絡犯罪相關的成本，預計到2025年為每年10.5萬億美元，而到2026年則為每年2673億美元，也就是說這一成本將超過目前全球網絡安全支出的40倍。

威脅行為者正在網絡經濟中占據上風——他們抓住了組織整體攻擊面擴大的機會，以及社會對互聯服務的依賴性所致的脆弱性增加的機會。運營負責人需要適時地扭轉局面了，他們需要改變自身對網絡安全的看法，而不是通過增加支出來彌補損失。

領導者需要認識到，安全是將組織的業務和技術戰略聯系在一起的一個重要共同點，而不是處于一種常年防御的狀態中，將注意力集中在減輕威脅上。技術支持的業務轉換不再是簡單地投資于單個領域以實現其功能。相反，它必須結合技術和能力來解鎖更大的價值，調整操作以實現更高的效率，并更有效地協作以交付更好的業務結果。

為了使安全成為成功轉型和價值增長的關鍵因素，一些組織正在將他們的聚焦點從風險暴露轉移到網絡彈性上(見圖1)。最終導致的結果是，組織減少了對固定邊界的依賴，增加了與合作伙伴的合作及融合，對當今運營環境的未知特征更具靈活性。這種新發現的、更成熟的安全態勢將在特定的行業以及每個企業的轉型過程中以不同的方式表現出來。

圖1 網絡安全戰略演進

具體發現

雖然網絡安全已經列入了高管們的優先級名單，但運營的成熟度以及對其投資的價值仍在發展中。例如，在2022年IBV CEO研究中，網絡安全被列為未來兩到三年內第三大最重要的業務挑戰，45%的CEO將網絡風險視為他們2022年的主要業務挑戰之一，比2021.5增加了15%。與此同時，該研究表明，安全支出正在成為IT支出中更重要的一部分，從目前估計的9%增加到2024年的10%以上。

根據安全主管和企業的其他領導者的說法，研究發現他們對于網絡安全的態度正在發生變化。66%的受訪者現在認為網絡安全主要是一種收入促進因素。

為了更好地了解與安全轉型相關的業務優勢，該研究評估了受訪組織在五個方面的安全成熟度：網絡和風險戰略、基礎能力、安全運營模式、業務集成和生態系統協調。將受訪者分為四個成熟階段，其中最不成熟和最成熟的群體之間存在明顯差異，而這些差異在運營績效方面顯露無疑。

值得注意的是，網絡安全度最成熟的組織在五年內的收入增長率比最不成熟的組織高出43%。

圖2 安全成熟度促進增長

分擔責任是建立在組織與合作伙伴合作以保持一致的安全態勢的基礎上的。該研究表明，責任共擔打開了共享彈性和共享價值等其他下游利益的大門。對于網絡風險和共同責任等公共問題，企業的安全職能可以通過連接企業的不同部分來打破豎井，甚至可以將能力(和機會)擴展到更廣泛的合作伙伴生態系統中。

成熟的安全組織有哪些不同之處？它們不僅僅是從被動轉變為主動，而是將整個安全生命周期視為一個整體，從而可以找到更多的增值服務。事實上，最大的機會來自于安全在整個組織中所扮演的獨特角色。對于許多客戶來說，安全現代化是更廣泛的業務、安全和IT/IS轉換工作的開端。

該研究發現，安全成熟度最高的組織利用其在安全方面的投資來增強業務成果。對于安全成熟度最高的組織來說，表現為更好的風險意識、更高的可見性、更深的集成度、更有效的問責制和更有效的治理。

該研究還發現了最具影響力的兩組能力——組織如何應對網絡風險以及它們如何通過與生態系統合作伙伴合作來承擔共同責任。在實踐中，這意味著進一步關注網絡風險和網絡彈性。這樣一來，網絡安全就不再是應對不良事件，而是預防、減輕和避免不良事件。

簡而言之，當領導者對網絡安全采取更積極、協作和綜合的方法時，企業不僅能降低風險，還能增加利潤。通過將視野擴大到直接威脅環境之外，并通過關注風險暴露和IT/IS彈性，企業可以實現更成熟的安全態勢，從而推動業務轉型。

行動指南

對于以上這些問題，安全人員可以采取哪些措施呢？

• 使用攻擊面管理工具提高對擴展和進化的攻擊面以及擴展端點的可見性。
• 集成現有工具，以確保企業的SOC不僅僅是其各部分的總和。
• 利用AI和自動化幫助分析師更快地識別和響應最關鍵的威脅，并及時洞察以幫助企業充分利用網絡安全員工隊伍。
• 更加積極主動地面對不斷變化的威脅。制定和測試事件響應計劃，并且該計劃應當將整個安全生態系統中的內部和外部合作伙伴納入其中。
• 使用網絡風險量化服務來鑒定和量化風險，并不斷改進方法，以實現共擔責任、共享彈性和共享價值。

長期以來，傳統思維一直圍繞運營限制來定義網絡安全，但企業可以改變視角，將安全重新設想成機會的種子。隨著越來越多的安全主管意識到防御性和被動的網絡安全方法并不能很好地為企業服務，他們會認識到網絡安全是貫穿整個企業的少數功能之一。也就是說，這可以是在組織內部和外部的生態系統中與合作伙伴推動新的轉換的一個重要機會。