IBM報(bào)告:網(wǎng)絡(luò)安全成熟度影響企業(yè)間收入增長(zhǎng)率,最大差距達(dá)43%
責(zé)編:gltian |2022-11-25 13:10:31基于企業(yè)IT和信息安全(IS)轉(zhuǎn)型負(fù)責(zé)人的見(jiàn)解,報(bào)告提供了迄今為止最全面的分析。報(bào)告的研究結(jié)果描繪了一個(gè)引人注目的結(jié)論:網(wǎng)絡(luò)安全將演變?yōu)橐环N核心戰(zhàn)略能力,可以降低金融風(fēng)險(xiǎn)、提高運(yùn)營(yíng)效率并解鎖新的價(jià)值來(lái)源。
關(guān)鍵要點(diǎn)
- 66%的受訪者認(rèn)為網(wǎng)絡(luò)安全主要是一種創(chuàng)收手段。
從價(jià)值的角度來(lái)重新思考安全問(wèn)題,而不是將其作為一個(gè)預(yù)算項(xiàng)目,可以為企業(yè)帶來(lái)革命性的價(jià)值增長(zhǎng)。
- 最成熟的安全組織比最不成熟的組織在五年內(nèi)的收入增長(zhǎng)率高出43%。
那些擁有先進(jìn)安全功能的公司正在將其轉(zhuǎn)化為更好的業(yè)務(wù)成果。
- 43%的組織指出,他們將安全項(xiàng)目治理和操作外包給合作伙伴。
共擔(dān)責(zé)任對(duì)安全運(yùn)營(yíng)至關(guān)重要,57%的受訪者與安全合作伙伴協(xié)調(diào),將其安全架構(gòu)標(biāo)準(zhǔn)化。
網(wǎng)絡(luò)安全背景
在接下來(lái)的四年里,與網(wǎng)絡(luò)犯罪相關(guān)的成本,預(yù)計(jì)到2025年為每年10.5萬(wàn)億美元,而到2026年則為每年2673億美元,也就是說(shuō)這一成本將超過(guò)目前全球網(wǎng)絡(luò)安全支出的40倍。
威脅行為者正在網(wǎng)絡(luò)經(jīng)濟(jì)中占據(jù)上風(fēng)——他們抓住了組織整體攻擊面擴(kuò)大的機(jī)會(huì),以及社會(huì)對(duì)互聯(lián)服務(wù)的依賴性所致的脆弱性增加的機(jī)會(huì)。運(yùn)營(yíng)負(fù)責(zé)人需要適時(shí)地扭轉(zhuǎn)局面了,他們需要改變自身對(duì)網(wǎng)絡(luò)安全的看法,而不是通過(guò)增加支出來(lái)彌補(bǔ)損失。
領(lǐng)導(dǎo)者需要認(rèn)識(shí)到,安全是將組織的業(yè)務(wù)和技術(shù)戰(zhàn)略聯(lián)系在一起的一個(gè)重要共同點(diǎn),而不是處于一種常年防御的狀態(tài)中,將注意力集中在減輕威脅上。技術(shù)支持的業(yè)務(wù)轉(zhuǎn)換不再是簡(jiǎn)單地投資于單個(gè)領(lǐng)域以實(shí)現(xiàn)其功能。相反,它必須結(jié)合技術(shù)和能力來(lái)解鎖更大的價(jià)值,調(diào)整操作以實(shí)現(xiàn)更高的效率,并更有效地協(xié)作以交付更好的業(yè)務(wù)結(jié)果。
為了使安全成為成功轉(zhuǎn)型和價(jià)值增長(zhǎng)的關(guān)鍵因素,一些組織正在將他們的聚焦點(diǎn)從風(fēng)險(xiǎn)暴露轉(zhuǎn)移到網(wǎng)絡(luò)彈性上(見(jiàn)圖1)。最終導(dǎo)致的結(jié)果是,組織減少了對(duì)固定邊界的依賴,增加了與合作伙伴的合作及融合,對(duì)當(dāng)今運(yùn)營(yíng)環(huán)境的未知特征更具靈活性。這種新發(fā)現(xiàn)的、更成熟的安全態(tài)勢(shì)將在特定的行業(yè)以及每個(gè)企業(yè)的轉(zhuǎn)型過(guò)程中以不同的方式表現(xiàn)出來(lái)。
圖1 網(wǎng)絡(luò)安全戰(zhàn)略演進(jìn)
具體發(fā)現(xiàn)
雖然網(wǎng)絡(luò)安全已經(jīng)列入了高管們的優(yōu)先級(jí)名單,但運(yùn)營(yíng)的成熟度以及對(duì)其投資的價(jià)值仍在發(fā)展中。例如,在2022年IBV CEO研究中,網(wǎng)絡(luò)安全被列為未來(lái)兩到三年內(nèi)第三大最重要的業(yè)務(wù)挑戰(zhàn),45%的CEO將網(wǎng)絡(luò)風(fēng)險(xiǎn)視為他們2022年的主要業(yè)務(wù)挑戰(zhàn)之一,比2021.5增加了15%。與此同時(shí),該研究表明,安全支出正在成為IT支出中更重要的一部分,從目前估計(jì)的9%增加到2024年的10%以上。
根據(jù)安全主管和企業(yè)的其他領(lǐng)導(dǎo)者的說(shuō)法,研究發(fā)現(xiàn)他們對(duì)于網(wǎng)絡(luò)安全的態(tài)度正在發(fā)生變化。66%的受訪者現(xiàn)在認(rèn)為網(wǎng)絡(luò)安全主要是一種收入促進(jìn)因素。
為了更好地了解與安全轉(zhuǎn)型相關(guān)的業(yè)務(wù)優(yōu)勢(shì),該研究評(píng)估了受訪組織在五個(gè)方面的安全成熟度:網(wǎng)絡(luò)和風(fēng)險(xiǎn)戰(zhàn)略、基礎(chǔ)能力、安全運(yùn)營(yíng)模式、業(yè)務(wù)集成和生態(tài)系統(tǒng)協(xié)調(diào)。將受訪者分為四個(gè)成熟階段,其中最不成熟和最成熟的群體之間存在明顯差異,而這些差異在運(yùn)營(yíng)績(jī)效方面顯露無(wú)疑。
值得注意的是,網(wǎng)絡(luò)安全度最成熟的組織在五年內(nèi)的收入增長(zhǎng)率比最不成熟的組織高出43%。
圖2 安全成熟度促進(jìn)增長(zhǎng)
分擔(dān)責(zé)任是建立在組織與合作伙伴合作以保持一致的安全態(tài)勢(shì)的基礎(chǔ)上的。該研究表明,責(zé)任共擔(dān)打開(kāi)了共享彈性和共享價(jià)值等其他下游利益的大門。對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)和共同責(zé)任等公共問(wèn)題,企業(yè)的安全職能可以通過(guò)連接企業(yè)的不同部分來(lái)打破豎井,甚至可以將能力(和機(jī)會(huì))擴(kuò)展到更廣泛的合作伙伴生態(tài)系統(tǒng)中。
成熟的安全組織有哪些不同之處?它們不僅僅是從被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng),而是將整個(gè)安全生命周期視為一個(gè)整體,從而可以找到更多的增值服務(wù)。事實(shí)上,最大的機(jī)會(huì)來(lái)自于安全在整個(gè)組織中所扮演的獨(dú)特角色。對(duì)于許多客戶來(lái)說(shuō),安全現(xiàn)代化是更廣泛的業(yè)務(wù)、安全和IT/IS轉(zhuǎn)換工作的開(kāi)端。
該研究發(fā)現(xiàn),安全成熟度最高的組織利用其在安全方面的投資來(lái)增強(qiáng)業(yè)務(wù)成果。對(duì)于安全成熟度最高的組織來(lái)說(shuō),表現(xiàn)為更好的風(fēng)險(xiǎn)意識(shí)、更高的可見(jiàn)性、更深的集成度、更有效的問(wèn)責(zé)制和更有效的治理。
該研究還發(fā)現(xiàn)了最具影響力的兩組能力——組織如何應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)以及它們?nèi)绾瓮ㄟ^(guò)與生態(tài)系統(tǒng)合作伙伴合作來(lái)承擔(dān)共同責(zé)任。在實(shí)踐中,這意味著進(jìn)一步關(guān)注網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)彈性。這樣一來(lái),網(wǎng)絡(luò)安全就不再是應(yīng)對(duì)不良事件,而是預(yù)防、減輕和避免不良事件。
簡(jiǎn)而言之,當(dāng)領(lǐng)導(dǎo)者對(duì)網(wǎng)絡(luò)安全采取更積極、協(xié)作和綜合的方法時(shí),企業(yè)不僅能降低風(fēng)險(xiǎn),還能增加利潤(rùn)。通過(guò)將視野擴(kuò)大到直接威脅環(huán)境之外,并通過(guò)關(guān)注風(fēng)險(xiǎn)暴露和IT/IS彈性,企業(yè)可以實(shí)現(xiàn)更成熟的安全態(tài)勢(shì),從而推動(dòng)業(yè)務(wù)轉(zhuǎn)型。
行動(dòng)指南
對(duì)于以上這些問(wèn)題,安全人員可以采取哪些措施呢?
- 使用攻擊面管理工具提高對(duì)擴(kuò)展和進(jìn)化的攻擊面以及擴(kuò)展端點(diǎn)的可見(jiàn)性。
- 集成現(xiàn)有工具,以確保企業(yè)的SOC不僅僅是其各部分的總和。
- 利用AI和自動(dòng)化幫助分析師更快地識(shí)別和響應(yīng)最關(guān)鍵的威脅,并及時(shí)洞察以幫助企業(yè)充分利用網(wǎng)絡(luò)安全員工隊(duì)伍。
- 更加積極主動(dòng)地面對(duì)不斷變化的威脅。制定和測(cè)試事件響應(yīng)計(jì)劃,并且該計(jì)劃應(yīng)當(dāng)將整個(gè)安全生態(tài)系統(tǒng)中的內(nèi)部和外部合作伙伴納入其中。
- 使用網(wǎng)絡(luò)風(fēng)險(xiǎn)量化服務(wù)來(lái)鑒定和量化風(fēng)險(xiǎn),并不斷改進(jìn)方法,以實(shí)現(xiàn)共擔(dān)責(zé)任、共享彈性和共享價(jià)值。
長(zhǎng)期以來(lái),傳統(tǒng)思維一直圍繞運(yùn)營(yíng)限制來(lái)定義網(wǎng)絡(luò)安全,但企業(yè)可以改變視角,將安全重新設(shè)想成機(jī)會(huì)的種子。隨著越來(lái)越多的安全主管意識(shí)到防御性和被動(dòng)的網(wǎng)絡(luò)安全方法并不能很好地為企業(yè)服務(wù),他們會(huì)認(rèn)識(shí)到網(wǎng)絡(luò)安全是貫穿整個(gè)企業(yè)的少數(shù)功能之一。也就是說(shuō),這可以是在組織內(nèi)部和外部的生態(tài)系統(tǒng)中與合作伙伴推動(dòng)新的轉(zhuǎn)換的一個(gè)重要機(jī)會(huì)。
來(lái)源:賽博研究院
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧