网络经济时代的发展繁荣之道：重新思考业务转型的网络风险

IBM 商业价值研究院 | 研究洞察网络经济时代的发展繁荣之道重新思考业务转型的网络风险 2IBM Security® 致力于与您携手合作，帮助您管理网络风险以 及 加速推动业务转型。通 过确 保 您的安全战略与业务相一致，我们可以帮助您将安全性转变为收入引擎。如需了解更多信息，请访问： https://ibm.com/securityIBM 如何提供帮助 1“如今，网络经济关乎国家经济命脉。网络受到破坏将严重损害国家安全。”1前美国国家安全顾问 Condoleezza Rice摘要66% 的受访高管将网络安全投资视为收入引擎。转变思维方式，将安全投资视为价值而非预算，这有助于企业实现变革性增长。 与网络安全成熟度最低的组织相比，成熟度最高的组织在过去五年内的收入增长率要高出 43%。采用高级安全功能的组织正在将安全投资转化为更瞩目的业务成效。43% 的组织表示将其安全计划治理和运营外包给合作伙伴。责任共担模式正在安全运营中发挥日益重要的作用，57%的受访者正在携手安全合作伙伴，共同推动安全架构实现标准化。 2采取行动势在必行在未来四年中，全球网络犯罪造成的损失（到 2025 年将达到每年 10.5 万亿美元）预计将达到全球网络安全支出（到 2026 年将达到每年 2673 亿美元）40 倍以上。2 两者可谓是相去天渊。 随着组织整体攻击面的不断扩大以及社会对互联服务的依赖带来更多的漏洞，威胁行为体正在网络经济中强势崛起。运营领导者需要逆转网络犯罪等式 — 不再是寻求金钱损失与投入增加两者的平衡。而是要转变自己的网络安全思维方式。企业领导者需要将安全性视为将业务与技术战略联系在一起的重要纽带，而不是常年生活在防御状态，投入大量精力应对威胁，在夹缝中求生。技术驱动的业务转型不再仅限于通过投资于各个领域来发展成熟的功能，而是需要结合技术与能力来释放更大的价值，协同运营以提高效率，以及通过更有效的协作来改善业务成效。3为了将安全性转变为成功转型和增长的关键动力，许多组织正在纷纷将其侧重点从风险敞口转移至网络弹性（参见图 1）。这样一来，组织将降低对固定边界的依赖程度，更加密切地与合作伙伴整合在一起，并针对当今运营环境中的未知因素保持更高的弹性。这种更成熟的新兴安全态势将在特定行业中以及每个组织的转型旅程中以不同方式表现出来。运营领导者需要逆转网络犯罪等式 —即转变自己的网络安全思维方式，而不再是寻求金钱损失与支出增加两者的平衡。 3图 1网络安全战略演变将侧重点从风险转移到弹性上，建立更成熟的安全态势，从而推动业务转型并创造更大的价值。为了更深入地理解企业对网络风险和网络安全的看法，IBM 商业价值研究院 (IBV) 联合牛津经济研究院，针对 25 个国家/地区的 18 个行业的 2,300 多位业务、运营、技术、网络风险和网络安全高管开展了一项调研（参见第 28 页的“研究和分析方法”）。 这项研究从迄今为止最全面的视角，深入分析了负责推动企业 IT 和信息安全 (IS) 转型议程的高管的独到见解。这些研究结果描绘了一幅令人信服的画面 — 网络安全正在成为一种核心战略能力，可帮助企业降低财务风险、提高运营效率以及发掘新的价值来源。 垂直孤岛依赖于合作伙伴的功能难以了解所需的资源和预算关注整个安全生命周期中的风险和弹性主动式方法跨业务和合作伙伴的横向整合依靠合作伙伴实现成效利用更深入的洞察来优化资源和预算被动式方法临时风险补救和威胁管理有效的网络安全措施与其说是应对不良事件，不如说是预防、缓解和规避不良事件。运 营 负 担（ 例 如 延 期成本）运 营 效 益（例 如 规 避 成 本）3 4 5尽管网络安全已然跃升为企业最高管理层的优先任务，但运营成熟度和投资价值仍在不断演化。例如，根据 2022 年的 IBM 商业价值研究院 CEO 调研，网络安全被列为未来两到三年内的第三大业务挑战，45% 的 CEO 将网络风险视为 2022 年的主要业务挑战之一，这一比例相比 2021 年增长 15%。5 同时，IBM 商业价值研究院的研究还表明，安全支出在企业 IT 支出中所占的比重呈持续增长之势，预计将从目前的 9% 增长至 2024 年的 10% 以上。而要将愿望转化为行动也是一项严峻的挑战。86% 的受访高管表示其组织已经采取了安全战略，但只有 35% 的组织已经将该战略落实到行动中。而且，只有大约 50% 的受访高管表示其组织会确保安全战略与业务战略相一致。同时，这项调研的受访高管还表示，仅在过去一年，其组织就平均发生了 349 起网络安全事件和 9 起数据泄露事件。根据 IBM 和 Ponemon Institute 发布的《2022 年数据泄露成本报告》，企业数据泄露的平均成本为 435 万美元。6 为什么遏制网络威胁如此困难？一个原因是：从经济角度来说，这根本就不是一场公平的战斗。多年以来，网络犯罪分子一直采取富有耐心、有条不紊的机会主义方法，只需极低的成本和风险就能实现超高的回报。他们通常很少或根本不会为自己的行为承担后果。而且，他们只需成功一次就能够获得丰厚的回报。网络安全的新经济学“网络安全是新时代十年的重大问题。”4IBM 首席执行官 Arvind Krishna 6图 2 运营障碍在整个企业中整合必要的工具和人才对于网络弹性至关重要，但实现难度较大。58% 缺乏常用工具54% 缺乏技能（人才）51% 缺乏技能（人才）51% 缺乏统一治理（标准）48% 业务部门之间缺乏整合对于网络防御者来说，经济学问题显然要复杂得多。组织将直接承担相关成本。这包括与威胁缓解和恢复相关的直接成本，（甚至还包括更重要的）与声誉、知识产权、品牌声望、客户和竞争优势损失相关的间接成本，以及运营中断、保险费率增加和监管罚款。在安全事件发生后的数年内，所有这些成本都将持续累积。7在这个经济学等式中，人才差异也是不可或缺的一部分。威胁行为体可以雇佣技能和工资相对较低的合同工或者采用自动化机器人来探测漏洞，而网络防御者则需要支付高价聘请高技能的稀缺性人才。事实上，对技术能力和高技能专业化的需求正在推动网络人才市场的变革：受访高管表示，其组织通过外包方式聘请的安全人员比例现已达到 58%。 网络防御者面临的挑战并不仅限于经济问题。复杂的运营流程也构成了重大障碍。组织需要对不断扩大的广阔攻击面保持警惕，有效应对内部和外部威胁，还要管理与利益相关者、客户、员工、合作伙伴、竞争对手、政策制定者以及监管机构之间的关系。只要失误一次，组织就将承担重大的潜在责任，尤其是当各种风险以不可预测的方式相互叠加，抑或是未能及时识别难以察觉的系统漏洞。网络防御者必须做到万无一失。然而，即使是能力最出众的团队也会受到时间、注意力、技能、能力和工具的限制。犯错几乎是不可避免的。我们的研究表明，组织整体网络弹性的最大障碍主要包括协同问题以及能力和技能欠缺（参见图 2）。问：贵组织在网络弹性上面临的最大障碍是什么？6 7此外，企业最高管理层内部在安全领域缺乏战略协同也构成了另一项挑战。CIO (36%)、CTO (35%) 和 CEO (35%) 之间似乎在网络战略制定方面存在分歧。而如果 CIO 关 注运营目标，CTO 关注技术目标，而 CEO 注重战略可见性，则组织可能无法通过业务、IT 与信息安全团队之间的有效协同来创造更大的价值。安全组合的演变意味着 IT 和信息安全问题日益相互依赖。74% 的受访高管表示其网络安全预算只是整体 IT 预算及其审批流程的一部分，只有 26% 的受访高管表示其组织保持独立的信息安全预算。如今，安全运营模式涉及不同职能领域之间的重要协作 — CIO、CISO 或 CTO 将（按此顺序）负责领导安全产品组合的大部分工作。最后，在当今变幻莫测的商业环境中，许多未知因素都是不可忽视的。例如，第三方服务为企业提供日益广泛的支持，从而加剧了安全运营的复杂性。而如果未采取适当的战略性措施，则这一问题将尤为突出。这会加剧系统性和传递性风险（与第三方的相互联系产生的关系所驱动的风险）。这两种风险都难以理解、预测或建模。组织越发依赖共享基础设施、互联服务以及数量激增的设备和机器，这意味着他们所面临的风险要高出其自我认知。然而，我们的调研表明，受访高管估计不同类型的风险都会产生大致相同的业务影响，这反映企业高管可能并不了解不同的风险向量会产生哪些相对应的影响范围和财务后果。这些运营盲点本身就是一项重大风险。因此，企业高管往往无法清楚了解其所面临的网络风险，尤其是对下游运营和财务的影响。对于许多网络安全高管而言，缺乏相关资源和决策能力是一项重大挑战。企业高管们要忙于协同运营与资源限制，处理相互竞争的优先任务，而且无法深入认识到哪些信息安全投资对业务成果有最大的贡献。这些不确定性必然会增加运营复杂性，这通常会导致网络安全支出分配效率低下，而且难以为运营环境提供充分支持。事实上，管理多学科网络安全计划的潜在复杂性促使 43% 的受访组织将整体安全计划治理和运营外包给供应商。如今，安全运营模式涉及不同职能领域之间的重要协作 — CIO、CISO 或 CTO 将（按此顺序）负责安全产品组合的大部分工作。管理多学科网络安全计划的复杂性促使 43% 的受访组织将整体安全计划治理和运营外包给合作伙伴。 8网络风险管理将安全投资从预算项目转变为价值引擎组织正在设法理解如何确定其安全投资的领域和优先级。一种理想的方案是使用风险量化和相关指标，例如使用证券投资回报率 (ROSI) 作为传统 ROI 指标的补充，进一步纳入通过规避或缓解风险创造的财务收益。理解风险价值指标对于支持跨网络风险和网络安全生命周期的决策至关重要。这是因为安全的价值基础一直在不断发生变化。过去，网络安全一直被视为一项必不可少的支出。而现在，网络安全已经可以在引领战略转型计划方面发挥关键作用。最近，企业在云安全和零信任功能领域中的投资就是一项佐证。8（参见案例研究“美国航空公司降低网络风险并加速推动转型。”）大多数企业最高管理层都支持这一观点。66% 的受访高管将网络安全视为收入引擎，而只有 34% 的受访高管将网络安全视为成本中心。根据情绪因素进行调整后，五分之四的受访高管表示他们将安全投资视为一项价值引擎，这凸显了安全投资在业务和 IT/信息安全转型计划中的重要作用。精明的领导者会敏锐地发现其中的商机：在改善运营和财务绩效方面，网络风险是一个容易被忽视的环节。通过提高效率、缓解财务影响以及规避收入损失，组织可以大幅提升盈利水平。此外，抗风险能力更强的组织更有弹性，也不易受到阻碍其长期战略执行的干扰因素的影响。这有助于推动业务和收入增长（参见图 3）。图 3风险意识带来可观回报更深入地理解和规避安全风险有助于改善绩效。价值 风险比成本 价值比成熟度较低成本价值比持续降低...成熟度较高网络风险成熟度...而价值风险比持续增加价值钟摆从成本 转向风险安全投资成为成本中心安全投资成为收入引擎 945% | 43%Workforce skills案例研究美国航空公司降低网络风险并加速推动转型9面对全然不同的威胁环境，美国某航空公司实施了广泛的数字化转型计划，包括将其应用迁移至云端。该公司需要积极改善网络弹性态势，设定降低网络风险的目标，并制定与其转型旅程相一致的零信任战略。该航空公司的云和安全领导团队选择采用了一种云安全架构，旨在建立敏捷性以及形成更成熟的安全态势。最初，该航空公司的团队专注于采用涵盖其整个 IT 环境的微分段 (micro-segmentation) 和零信任方法。这种方法旨在防止入侵者访问敏感数据以及规避勒索软件风险。成功部署这一企业级解决方案之后，该航空公司增强了对网络风险的可见性，并且能够快速实时隔离威胁和高风险系统。随后，该团队开始专注于开发 DevSecOps 模式，从而推动其应用开发流程转型。这有助于增强开发人员意识，实现更主动的安全方法。在正式上线一年后，该企业级安全解决方案帮助这家航空公司降低了新应用和新云环境中的残留风险，从而加速了数字