重新思考业务转型的网络风险：网络经济时代的发展繁荣之道

IBM商业价值研究院|研究洞察 重发新思展考业繁务转荣型的之网络道风险的 IBM如何提供帮助 IBMSecurity®致力于与您携手合作，帮助您管理网络风险以及加速推动业务转型。通过确保您的安全战略与业务相一致，我们可以帮助您将安全性转变为收入引擎。如需了解更多信息，请访问：https://ibm.com/security 重损害国家安全。”1 “济如命今脉，。网网络络经受济到关破乎坏国将家经严 前Co美nd国ol国ee家zz安a全Ri顾ce问 摘要 收入引擎。 66%的受访高管将网络安全投资视为 转变思维方式，将安全投资视为价值而非预算，这有助于企业实现变革性增长。 入增长率要高出43%。 与成网熟络度安最全高成的熟组度织最在低过的去组五织年相内比的，收 采用高级安全功能的组织正在将安全投资转化为更瞩目的业务成效。 运营外包给合作伙伴。 43%的组织表示将其安全计划治理和 责任共担模式正在安全运营中发挥日益重要的作用，57%的受访者正在携手安全合作伙伴，共同推动安全架构实现标准化。 1 运即营转领变导自者己需的要网逆络转安网全络思犯维罪方等式式，而—不的平再衡是。寻求金钱损失与支出增加两者 采取行动势在必行 在未来四年中，全球网络犯罪造成的损失（到2025年将达到每年10.5 倍以上2 万亿美元）预计将达到全球网络安全支出（到2026年将达到每年2673 亿美元）40。两者可谓是相去天渊。 随着组织整体攻击面的不断扩大以及社会对互联服务的依赖带来更多的漏洞，威胁行为体正在网络经济中强势崛起。运营领导者需要逆转网络犯罪等式—不再是寻求金钱损失与投入增加两者的平衡。而是要转变自己的网络安全思维方式。 企业领导者需要将安全性视为将业务与技术战略联系在一起的重要纽带，而不是常年生活在防御状态，投入大量精力应对威胁，在夹缝中求生。技术驱动的业务转型不再仅限于通过投资于各个领域来发展成熟的功能，而是需要结合技术与能力来释放更大的价值，协同运营以提高效率，以及通过更有效的协作来改善业务成效。3 为了将安全性转变为成功转型和增长的关键动力，许多组织正在纷纷将其侧重点从风险敞口转移至网络弹性（参见图1）。这样一来，组织将降低对固定边界的依赖程度，更加密切地与合作伙伴整合在一起，并针对当今运营环境中的未知因素保持更高的弹性。这种更成熟的新兴安全态势将在特定行业中以及每个组织的转型旅程中以不同方式表现出来。 2 和规避不良事件。 有对效不的良网事络件，安不全如措说施是与预其防说、是缓应解 为了更深入地理解企业对网络风险和网络安全的看法，IBM商业价值研究院(IBV)联合牛津经济研究院，针对25个国家/地区的18个行业的2,300多位业务、运营、技术、网络风险和网络安全高管开展了一项调研 （参见第28页的“研究和分析方法”）。 这项研究从迄今为止最全面的视角，深入分析了负责推动企业IT和信息安全(IS)转型议程的高管的独到见解。这些研究结果描绘了一幅令人信服的画面—网络安全正在成为一种核心战略能力，可帮助企业降低财务风险、提高运营效率以及发掘新的价值来源。 图1 网络安全战略演变 将侧重点从风险转移到弹性上，建立更成熟的安全态势，从而推动业务转型并创造更大的价值。 临时风险补救和威胁管理 被动式方法 垂直孤岛 依功能赖于合作伙伴的难和以预了算解所需的资源 运成营本）负担（例如延期 关注整个安全生命周期中的风险和弹性 主动式方法 跨横业向务整合和合作伙伴的依靠合作伙伴实现成效 利资源用更和深预入算的洞察来优化 运营效益（例如规避成本） 3 3 4 4 “的网重络大安问全题是。新”时代十年 IBM首席执行官ArvindKrishna 网络安全的新经济学 尽管网络安全已然跃升为企业最高管理层的优先任务，但运营成熟度和投资价值仍在不断演化。例如，根据2022年的IBM商业价值研究院CEO调研，网络安全被列为未来两到三年内的第三大业务挑战，45%的CEO将网络风险视为2022年的主要业务挑战之一，这一比例相比2021年增长15%。5 同时，IBM商业价值研究院的研究还表明，安全支出在企业IT支出中所占的比重呈持续增长之势，预计将从目前的9%增长至2024年的10%以上。 而要将愿望转化为行动也是一项严峻的挑战。86%的受访高管表示其组织已经采取了安全战略，但只有35%的组织已经将该战略落实到行动中。而且，只有大约50%的受访高管表示其组织会确保安全战略与业务战略相一致。 同时，这项调研的受访高管还表示，仅在过去一年，其组织就平均发生了349起网络安全事件和9起数据泄露事件。根据IBM和PonemonInstitute发布的《2022年数据泄露成本报告》，企业数据泄露的平均成本为435万美元。6为什么遏制网络威胁如此困难？ 一个原因是：从经济角度来说，这根本就不是一场公平的战斗。多年以来，网络犯罪分子一直采取富有耐心、有条不紊的机会主义方法，只需极低的成本和风险就能实现超高的回报。他们通常很少或根本不会为自己的行为承担后果。而且，他们只需成功一次就能够获得丰厚的回报。 5 对于网络防御者来说，经济学问题显然要复杂得多。组织将直接承担相关成本。这包括与威胁缓解和恢复相关的直接成本，（甚至还包括更重要的）与声誉、知识产权、品牌声望、客户和竞争优势损失相关的间接成本，以及运营中断、保险费率增加和监管罚款。在安全事件发生后的数年内，所有这些成本都将持续累积。7 在这个经济学等式中，人才差异也是不可或缺的一部分。威胁行为体可以雇佣技能和工资相对较低的合同工或者采用自动化机器人来探测漏洞，而网络防御者则需要支付高价聘请高技能的稀缺性人才。事实上，对技术能力和高技能专业化的需求正在推动网络人才市场的变革：受访高管表示，其组织通过外包方式聘请的安全人员比例现已达到58%。 网络防御者面临的挑战并不仅限于经济问题。复杂的运营流程也构成了重大障碍。 组织需要对不断扩大的广阔攻击面保持警惕，有效应对内部和外部威胁，还要管理与利益相关者、客户、员工、合作伙伴、竞争对手、政策制定者以及监管机构之间的关系。只要失误一次，组织就将承担重大的潜在责任，尤其是当各种风险以不可预测的方式相互叠加，抑或是未能及时识别难以察觉的系统漏洞。网络防御者必须做到万无一失。然而，即使是能力最出众的团队也会受到时间、注意力、技能、能力和工具的限制。犯错几乎是不可避免的。 我们的研究表明，组织整体网络弹性的最大障碍主要包括协同问题以及能力和技能欠缺（参见图2）。 图2 运营障碍 在整个企业中整合必要的工具和人才对于网络弹性至关重要，但实现难度较大。 58%缺乏常用工具 54%缺乏技能（人才） 51%缺乏技能（人才） 51%缺乏统一治理（标准） 48%业务部门之间缺乏整合 问：贵组织在网络弹性上面临的最大障碍是什么？ 6 6 此外，企业最高管理层内部在安全领域缺乏战略协同也构成了另一项挑战。CIO(36%)、CTO(35%)和CEO(35%)之间似乎在网络战略制定方面存在分歧。而如果CIO关注运营目标，CTO关注技术目标，而CEO注重战略可见性，则组织可能无法通过业务、IT与信息安全团队之间的有效协同来创造更大的价值。 安全组合的演变意味着IT和信息安全问题日益相互依赖。74%的受访高管表示其网络安全预算只是整体IT预算及其审批流程的一部分，只有26%的受访高管表示其组织保持独立的信息安全预算。如今，安全运营模式涉及不同职能领域之间的重要协作—CIO、CISO或CTO将（按此顺序）负责领导安全产品组合的大部分工作。 最后，在当今变幻莫测的商业环境中，许多未知因素都是不可忽视的。例如，第三方服务为企业提供日益广泛的支持，从而加剧了安全运营的复杂性。而如果未采取适当的战略性措施，则这一问题将尤为突出。这会加剧系统性和传递性风险（与第三方的相互联系产生的关系所驱动的风险）。这两种风险都难以理解、预测或建模。 CIO CISO 如领域今之，间安的全重运要营协模作式涉—及不、同职能 促管使理多43学%科的网受络访安组全织计将划整的体复安杂全性计 划治理和运营外包给合作伙伴。 组织越发依赖共享基础设施、互联服务以及数量激增的设备和机器，这意味着他们所面临的风险要高出其自我认知。然而，我们的调研表明，受访高管估计不同类型的风险都会产生大致相同的业务影响，这反映企业高管可能并不了解不同的风险向量会产生哪些相对应的影响范围和财务后果。这些运营盲点本身就是一项重大风险。 因此，企业高管往往无法清楚了解其所面临的网络风险，尤其是对下游运营和财务的影响。对于许多网络安全高管而言，缺乏相关资源和决策能力是一项重大挑战。企业高管们要忙于协同运营与资源限制，处理相互竞争的优先任务，而且无法深入认识到哪些信息安全投资对业务成果有最大的贡献。 包给供应商。 这些不确定性必然会增加运营复杂性，这通常会导致网络安全支出分配效率低下，而且难以为运营环境提供充分支持。事实上，管理多学科网络安全计划的潜在复杂性促使43%的受访组织将整体安全计划治理和运营外 或品组CT合O的将大（部按分此工顺作序。）负责安全产 7 网目转络变风为险价管值理引将擎安全投资从预算项 组织正在设法理解如何确定其安全投资的领域和优先级。一种理想的方案是使用风险量化和相关指标，例如使用证券投资回报率(ROSI)作为传统ROI指标的补充，进一步纳入通过规避或缓解风险创造的财务收益。理解风险价值指标对于支持跨网络风险和网络安全生命周期的决策至关重要。 这是因为安全的价值基础一直在不断发生变化。过去，网络安全一直被视为一项必不可少的支出。而现在，网络安全已经可以在引领战略转型计划方面发挥关键作用。最近，企业在云安全和零信任功能领域中的投资就 是一项佐证。8（参见案例研究“美国航空公司降低网络风险并加速推动转型。”） 大多数企业最高管理层都支持这一观点。66%的受访高管将网络安全视为收入引擎，而只有34%的受访高管将网络安全视为成本中心。根据情绪因素进行调整后，五分之四的受访高管表示他们将安全投资视为一项价值引擎，这凸显了安全投资在业务和IT/信息安全转型计划中的重要作用。 精明的领导者会敏锐地发现其中的商机：在改善运营和财务绩效方面，网络风险是一个容易被忽视的环节。通过提高效率、缓解财务影响以及规避收入损失，组织可以大幅提升盈利水平。此外，抗风险能力更强的组织更有弹性，也不易受到阻碍其长期战略执行的干扰因素的影响。这有助于推动业务和收入增长（参见图3）。 图3 风险意识带来可观回报 更深入地理解和规避安全风险有助于改善绩效。 价成本值比 安成全本投中心资成为 成持本续价降值低比... 价转值向钟风摆险从成本 安收全入引投擎资成为 .持..而续价增值加风险比 价风值险比 成熟度较低 网络风险成熟度 成熟度较高 8 案例研究 速推动转型9 美低国网航络空风公险司并降加 面对全然不同的威胁环境，美国某航空公司实施了广泛的数字化转型计划，包括将其应用迁移至云端。该公司需要积极改善网络弹性态势，设定降低网络风险的目标，并制定与其转型旅程相一致的零信任战略。 该航空公司的云和安全领导团队选择采用了一种云安全架构，旨在建立敏捷性以及形成更成熟的安全态势。最初，该航空公司的团队专注于采用涵盖其整个IT环境的微分段(micro-segmentation)和零信任方法。这种方法旨在防止入侵者访问敏感数据以及规避勒索软件风险。成功部署这一企业级解决方案之后，该航空公司增强了对网络风险的可见性，并且能够快速实时隔离威胁和高风险系统。 随后，该团队开始专注于开发DevSecOps模式，从而推动其应用开发流程转型。这有助于增强开发人员意识，实现更主动的安全方法。 在正式上线一年后，该企业级安全解决方案帮助这家航空公司降低了新应用和新云环境中的残留风险，从而加速了数字化转型进程。通过将安全投资作为转型的核心，该航空公司可以满怀信心地将运营