網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的發(fā)展繁榮之道：重新思考業(yè)務(wù)轉(zhuǎn)型的網(wǎng)絡(luò)風(fēng)險(xiǎn)

網(wǎng)絡(luò)風(fēng)險(xiǎn)以及加速推動(dòng)業(yè)務(wù)轉(zhuǎn)型。通過(guò)確保您的安全戰(zhàn)略與業(yè)務(wù)相一致，我們可以幫助您將安全/security2“如今，網(wǎng)絡(luò)經(jīng)濟(jì)關(guān)乎國(guó)家經(jīng)濟(jì)命脈。網(wǎng)絡(luò)受到破壞將嚴(yán)重?fù)p害國(guó)家安全?！?66%的受訪高管將網(wǎng)絡(luò)安全投資視為轉(zhuǎn)變思維方式，將安全投資視為價(jià)值而非預(yù)算，這有助于與網(wǎng)絡(luò)安全成熟度最低的組織相比，成熟度最高的組織在過(guò)去五年內(nèi)的收入增長(zhǎng)率要高出43%。采用高級(jí)安全功能的組織正在將安全投資轉(zhuǎn)化為更矚目的43%的組織表示將其安全計(jì)劃治理和的受訪者正在攜手安全合作伙伴，共同推動(dòng)安全架構(gòu)實(shí)現(xiàn)2運(yùn)營(yíng)領(lǐng)導(dǎo)者需要逆轉(zhuǎn)網(wǎng)絡(luò)犯罪等式—即轉(zhuǎn)變自己的網(wǎng)絡(luò)安全思維方式，而不再是尋求金錢損失與支出增加兩者的平衡。在未來(lái)四年中，全球網(wǎng)絡(luò)犯罪造成的損失(到2025年將達(dá)到每年10.5萬(wàn)億美元)預(yù)計(jì)將達(dá)到全球網(wǎng)絡(luò)安全支出(到2026年將達(dá)到每年267340倍以上。2兩者可謂是相去天淵。隨著組織整體攻擊面的不斷擴(kuò)大以及社會(huì)對(duì)互聯(lián)服務(wù)的依賴帶來(lái)更多的漏洞，威脅行為錢損失企業(yè)領(lǐng)導(dǎo)者需要將安全性視為將業(yè)務(wù)與技術(shù)戰(zhàn)略聯(lián)系在一起的重要紐帶，而不是常年生活在防御狀態(tài)，投入大量精力應(yīng)對(duì)威脅，在夾縫中求生。技術(shù)驅(qū)動(dòng)的業(yè)務(wù)轉(zhuǎn)型不再僅限于通過(guò)投資于各個(gè)領(lǐng)域來(lái)發(fā)展成熟的功能，而是需要結(jié)合技術(shù)與能力來(lái)釋放更大的價(jià)為了將安全性轉(zhuǎn)變?yōu)槌晒D(zhuǎn)型和增長(zhǎng)的關(guān)鍵動(dòng)力，許多組織正在紛紛將其側(cè)重點(diǎn)從風(fēng)險(xiǎn)敞口轉(zhuǎn)移至網(wǎng)絡(luò)彈性(參見(jiàn)圖1)。這樣一來(lái)，組織將降低對(duì)固定邊界的依賴程度，更加密切地與合作伙伴整合在一起，并針對(duì)當(dāng)今運(yùn)營(yíng)環(huán)境中的未知因素保持更高的彈性。這種更成熟的新興安全態(tài)勢(shì)將在特定行業(yè)中以及每個(gè)組織的轉(zhuǎn)型旅程中以不同方式表現(xiàn)33依賴于合作伙伴的有效的網(wǎng)絡(luò)安全措施與其說(shuō)是應(yīng)依賴于合作伙伴的和規(guī)避不良事件。為了更深入地理解企業(yè)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全的看法，IBM商業(yè)價(jià)值研究院(IBV)聯(lián)合牛津經(jīng)濟(jì)研究院，針對(duì)25個(gè)國(guó)家/地區(qū)的18個(gè)行業(yè)的2,300多位業(yè)務(wù)、絡(luò)安全高管開(kāi)展了一項(xiàng)調(diào)研 (參見(jiàn)第28頁(yè)的“研究和分析方法”)。這項(xiàng)研究從迄今為止最全面的視角，深入分析了負(fù)責(zé)推動(dòng)企業(yè)IT和信息安全(IS)轉(zhuǎn)型議程的高管的獨(dú)到見(jiàn)解。這些研究結(jié)果描繪了一幅令人信服的畫(huà)面—網(wǎng)絡(luò)安全正在成為一種核心戰(zhàn)略能力，可幫助企業(yè)降低財(cái)務(wù)動(dòng)式方法算運(yùn)營(yíng)負(fù)擔(dān)(例如延期關(guān)注整個(gè)安全生命周期中的風(fēng)險(xiǎn)和彈性跨業(yè)務(wù)和合作伙伴的依靠合作伙伴實(shí)現(xiàn)成效利用更深入的洞察來(lái)優(yōu)化源和預(yù)算運(yùn)營(yíng)效益(例如規(guī)避成本)34“網(wǎng)絡(luò)安全是新時(shí)代十年的重大問(wèn)題。”4長(zhǎng)至2024年的10%以上。86%的受訪高管表示其組織已經(jīng)采取了安全戰(zhàn)略，但只有35%的組織已經(jīng)將該戰(zhàn)略落實(shí)到行動(dòng)中。而且，只有大約50%的受訪高管同時(shí)，這項(xiàng)調(diào)研的受訪高管還表示，僅在過(guò)去一年，其組織就平均發(fā)生了349起網(wǎng)絡(luò)安全事件和9起數(shù)據(jù)泄露事件。根據(jù)IBM和PonemonInstitute發(fā)布的《2022年數(shù)據(jù)泄露成本一個(gè)原因是：從經(jīng)濟(jì)角度來(lái)說(shuō)，這根本就不是一場(chǎng)公平的戰(zhàn)斗。多年以來(lái)，網(wǎng)絡(luò)犯罪分子一直采取富有耐心、有條不紊的機(jī)會(huì)主義方法，只需極低的成本和風(fēng)險(xiǎn)就能實(shí)現(xiàn)超高的回報(bào)。他們通常很少或根本不會(huì)為自己的行為承擔(dān)后果。而且，他們只需成功一次就能夠獲絡(luò)防御者來(lái)說(shuō)，經(jīng)濟(jì)學(xué)問(wèn)題顯然要復(fù)雜得多。組將直接承擔(dān)相關(guān)成本。這包括與威脅緩解和恢復(fù)相關(guān)的直接成本，(甚至還包括更重要的)與聲譽(yù)、知識(shí)產(chǎn)及運(yùn)營(yíng)中斷、保險(xiǎn)費(fèi)率增加和監(jiān)管罰款。在安全事件在這個(gè)經(jīng)濟(jì)學(xué)等式中，人才差異也是不可或缺的一部體可以雇傭技能和工資相對(duì)較低的合同工化機(jī)器人來(lái)探測(cè)漏洞，而網(wǎng)絡(luò)防御者則需請(qǐng)高技能的稀缺性人才。事實(shí)上，對(duì)技術(shù)專業(yè)化的需求正在推動(dòng)網(wǎng)絡(luò)人才市場(chǎng)的變表示，其組織通過(guò)外包方式聘請(qǐng)的安全人員比例現(xiàn)已達(dá)到58%。網(wǎng)絡(luò)防御者面臨的挑戰(zhàn)并不僅限于經(jīng)濟(jì)問(wèn)題。復(fù)雜的組織需要對(duì)不斷擴(kuò)大的廣闊攻擊面保持警惕，有效應(yīng)對(duì)內(nèi)部和外部威脅，還要管理與利益相關(guān)者、客戶、員工、合作伙伴、競(jìng)爭(zhēng)對(duì)手、政策制定者以及監(jiān)管機(jī)構(gòu)之間的關(guān)系。只要失誤一次，組織就將承擔(dān)重大的潛在責(zé)任，尤其是當(dāng)各種風(fēng)險(xiǎn)以不可預(yù)測(cè)的方式相互疊加，抑或是未能及時(shí)識(shí)別難以察覺(jué)的系統(tǒng)漏洞。網(wǎng)絡(luò)防御者必須做到萬(wàn)無(wú)一失。然而，即使是能力最出眾的團(tuán)隊(duì)也會(huì)受到時(shí)間、注意力、技能、能力和工具我們的研究表明，組織整體網(wǎng)絡(luò)彈性的最大障礙主要包括協(xié)同問(wèn)題以及能力和技能欠缺(參見(jiàn)圖2)。在整個(gè)企業(yè)中整合必要的工具和人才對(duì)于網(wǎng)絡(luò)彈性至關(guān)6))48%業(yè)務(wù)部門之間缺乏整合問(wèn)：貴組織在網(wǎng)絡(luò)彈性上面臨的最大障礙是什么？高管理層內(nèi)部在安全領(lǐng)域缺乏戰(zhàn)略協(xié)同也構(gòu)成了另一項(xiàng)挑戰(zhàn)。CIO(36%)、CTO(35%)和CEO(35%)之間似乎在網(wǎng)絡(luò)戰(zhàn)略制定方面存在分歧。而如果OCTOCEO。安全組合的演變意味著IT和信息安全問(wèn)題日益相互依賴。74%的受訪高管表示其網(wǎng)絡(luò)安全預(yù)算只是整體IT，只有26%的受訪高管表示其組織保持獨(dú)立的信息安全預(yù)算。如今，安全運(yùn)營(yíng)模式涉及不同職能領(lǐng)域之間的重要協(xié)作—CIO、CISO或CTO將(按此順序)負(fù)責(zé)領(lǐng)導(dǎo)安全產(chǎn)品組合的大部最后，在當(dāng)今變幻莫測(cè)的商業(yè)環(huán)境中，許多未知因素都是不可忽視的。例如，第三方服務(wù)為企業(yè)提供日益廣泛的支持，從而加劇了安全運(yùn)營(yíng)的復(fù)雜性。而如果未采取適當(dāng)?shù)膽?zhàn)略性措施，則這一問(wèn)題將尤為突出。這會(huì)加劇系統(tǒng)性和傳遞性風(fēng)險(xiǎn)(與第三方的相互聯(lián)系產(chǎn)生的關(guān)系所驅(qū)動(dòng)的風(fēng)險(xiǎn))。這兩種風(fēng)險(xiǎn)都難以理如今，安全運(yùn)營(yíng)模式涉及不同職能領(lǐng)域之間的重要協(xié)作—CIO、CISO或CTO將(按此順序)負(fù)責(zé)安全產(chǎn)品組合的大部分工作。管理多學(xué)科網(wǎng)絡(luò)安全計(jì)劃的復(fù)雜性促使43%的受訪組織將整體安全計(jì)劃治理和運(yùn)營(yíng)外包給合作伙伴。組織越發(fā)依賴共享基礎(chǔ)設(shè)施、互聯(lián)服務(wù)以及數(shù)量激增的設(shè)備和機(jī)器，這意味著他們所面臨的風(fēng)險(xiǎn)要高出其自我認(rèn)知。然而，我們的調(diào)研表明，受訪高管估計(jì)不同類型的風(fēng)險(xiǎn)都會(huì)產(chǎn)生大致相同的業(yè)務(wù)影響，這反映企業(yè)高管可能并不了解不同的風(fēng)險(xiǎn)向量會(huì)產(chǎn)生哪些相對(duì)應(yīng)的影響范圍和財(cái)務(wù)后果。這些運(yùn)營(yíng)盲點(diǎn)本身就是因此，企業(yè)高管往往無(wú)法清楚了解其所面臨的網(wǎng)絡(luò)風(fēng)尤其是對(duì)下游運(yùn)營(yíng)和財(cái)務(wù)的影響。對(duì)于許多網(wǎng)絡(luò)安全高管而言，缺乏相關(guān)資源和決策能力是一項(xiàng)重大挑企業(yè)高管們要忙于協(xié)同運(yùn)營(yíng)與資源限制，處理相互的優(yōu)先任務(wù)，而且無(wú)法深入認(rèn)識(shí)到哪些信息安全投性必然會(huì)增加運(yùn)營(yíng)復(fù)雜性，這通常會(huì)導(dǎo)致網(wǎng)支出分配效率低下，而且難以為運(yùn)營(yíng)環(huán)境提供充。事實(shí)上，管理多學(xué)科網(wǎng)絡(luò)安全計(jì)劃的潛在復(fù)雜性促使43%的受訪組織將整體安全計(jì)劃治理和運(yùn)營(yíng)外78安全投資成為安全投資成為中心安全投資成為安全投資成為中心價(jià)值鐘擺從成本轉(zhuǎn)向風(fēng)險(xiǎn)...而價(jià)值風(fēng)險(xiǎn)比持續(xù)增加成本價(jià)值比持續(xù)降低...網(wǎng)絡(luò)風(fēng)險(xiǎn)管理將安全投資從預(yù)算項(xiàng)目轉(zhuǎn)變?yōu)閮r(jià)值引擎組織正在設(shè)法理解如何確定其安全投資的領(lǐng)域和優(yōu)先。一種理想的方案是使用風(fēng)險(xiǎn)量化和相關(guān)指標(biāo)，例如使用證券投資回報(bào)率(ROSI)作為傳統(tǒng)ROI指標(biāo)的補(bǔ)解風(fēng)險(xiǎn)價(jià)值指標(biāo)對(duì)于支持跨網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全生命全一直被視為一項(xiàng)必不可少的支出。而現(xiàn)在，網(wǎng)絡(luò)安全已經(jīng)可以在引領(lǐng)戰(zhàn)略轉(zhuǎn)型計(jì)劃方面發(fā)揮關(guān)鍵作近，企業(yè)在云安全和零信任功能領(lǐng)域中的投資就是一項(xiàng)佐證。8(參見(jiàn)案例研究“美國(guó)航空公司降低網(wǎng)大多數(shù)企業(yè)最高管理層都支持這一觀點(diǎn)。66%的受訪高管將網(wǎng)絡(luò)安全視為收入引擎，而只有34%的受訪高管將網(wǎng)絡(luò)安全視為成本中心。根據(jù)情緒因素進(jìn)行調(diào)整之四的受訪高管表示他們將安全投資視為一項(xiàng)價(jià)值引擎，這凸顯了安全投資在業(yè)務(wù)和IT/信息安全轉(zhuǎn)領(lǐng)導(dǎo)者會(huì)敏銳地發(fā)現(xiàn)其中的商機(jī)：在改善運(yùn)營(yíng)和方面，網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)容易被忽視的環(huán)節(jié)。通率、緩解財(cái)務(wù)影響以及規(guī)避收入損失，組織可升盈利水平。此外，抗風(fēng)險(xiǎn)能力更強(qiáng)的組織更也不易受到阻礙其長(zhǎng)期戰(zhàn)略執(zhí)行的干擾因素的影響。這有助于推動(dòng)業(yè)務(wù)和收入增長(zhǎng)(參見(jiàn)圖3)。風(fēng)險(xiǎn)意識(shí)帶來(lái)可觀回報(bào)安全風(fēng)險(xiǎn)有助于改善績(jī)效。成熟度較低網(wǎng)絡(luò)風(fēng)險(xiǎn)成熟度成熟度較低99速推動(dòng)轉(zhuǎn)型9面對(duì)全然不同的威脅環(huán)境，美國(guó)某航空公司實(shí)施了廣泛的數(shù)字化轉(zhuǎn)型計(jì)劃，包括將其應(yīng)用遷移至云端。該公司需要積極改善網(wǎng)絡(luò)彈性態(tài)勢(shì)，設(shè)定該航空公司的云和安全領(lǐng)導(dǎo)團(tuán)隊(duì)選擇采用了一種云安全架構(gòu)，旨在建立敏捷性以及形成更成熟的安全態(tài)勢(shì)。最初，該航空公司的團(tuán)隊(duì)專注于采用涵IT境的微分段(micro-segmentation)和零信任方法。這種方法旨在防止入侵者訪問(wèn)敏感數(shù)據(jù)以及規(guī)避勒索軟件風(fēng)險(xiǎn)。成功部署這一企業(yè)級(jí)解決方案之后，該航空公司增強(qiáng)了對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的可見(jiàn)性，并且能夠快速DevSecOps流程在正式上線一年后，該企業(yè)級(jí)安全解決方案幫助這家航空公司降低了新應(yīng)用和新云環(huán)境中的殘留風(fēng)險(xiǎn)，從而加速了數(shù)字化轉(zhuǎn)型進(jìn)程。通過(guò)將安全投資作為轉(zhuǎn)型的核心，該航空公司可以滿懷信心地將運(yùn)營(yíng)遷移至云端，并提供更加個(gè)性化的客戶體驗(yàn)，實(shí)現(xiàn)更高效、更具成本效益的運(yùn)營(yíng)，從而超越945%|43%Workforceskills跨IT和信息安全職能的治理、風(fēng)險(xiǎn)與合規(guī)性(GRC)計(jì)安全運(yùn)營(yíng)的補(bǔ)充，這種方法側(cè)重于保護(hù)和預(yù)防活網(wǎng)絡(luò)安全職責(zé)主要由企業(yè)高管共同承擔(dān)，主要包括CIO、CISO和CTO。從本質(zhì)上說(shuō)，網(wǎng)絡(luò)風(fēng)險(xiǎn)實(shí)學(xué)科，因此這是消除運(yùn)營(yíng)孤島最為直接的方式之一。(請(qǐng)參見(jiàn)案例研究“保險(xiǎn)公司協(xié)同安全與業(yè)務(wù)從本質(zhì)上說(shuō)，網(wǎng)絡(luò)風(fēng)險(xiǎn)實(shí)踐涉及多個(gè)學(xué)科，因此這是消除運(yùn)營(yíng)孤島最為直接的方式之一。1061%的受訪高管表示提高網(wǎng)絡(luò)彈性是網(wǎng)絡(luò)安全投資的一項(xiàng)重要業(yè)務(wù)驅(qū)動(dòng)因素，而只有25%的受訪高管實(shí)施了網(wǎng)絡(luò)風(fēng)險(xiǎn)量化功能。并未將開(kāi)發(fā)更成熟網(wǎng)絡(luò)風(fēng)險(xiǎn)功能的愿一，54%的受訪高管表示其組織并未建立與其風(fēng)險(xiǎn)態(tài)勢(shì)安全態(tài)勢(shì)方面，開(kāi)發(fā)高級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)領(lǐng)域之一。正如下一節(jié)所述，借助卓理能力以及更具前瞻性的生態(tài)系統(tǒng)協(xié)同11推動(dòng)轉(zhuǎn)型11網(wǎng)絡(luò)彈性功能來(lái)完善其網(wǎng)絡(luò)安全戰(zhàn)略。這需要全面評(píng)估行業(yè)趨勢(shì)和新興技策。1213“安全支出與我們客戶的愿景密切相關(guān)，包括遷移上云、推動(dòng)與其客戶建立更直接的關(guān)系、實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)現(xiàn)代化以及在適應(yīng)新工作方式的同時(shí)提高效率。”12我們的研究結(jié)果表明，安全轉(zhuǎn)型方法并不是一成不變的。為了更深入地理解不同組織所采取的安全發(fā)展路徑，我們研究了安全功能對(duì)業(yè)務(wù)成效首先，我們從五個(gè)領(lǐng)域評(píng)估了受訪組織的安全成熟度。要在一個(gè)領(lǐng)域?qū)崿F(xiàn)較高的成熟度，組織需要采取特定的行動(dòng)，建立特定的能力，并結(jié)合運(yùn)用這些相互依存的因素來(lái)創(chuàng)造更多價(jià)值(參見(jiàn)圖4)?？及踩顿Y1執(zhí)行安全戰(zhàn)略并確保建立與風(fēng)險(xiǎn)態(tài)勢(shì)相一致的控制措施234功能成熟度全運(yùn)營(yíng)模式跨安全職能設(shè)計(jì)、和安全架構(gòu)等領(lǐng)域，建構(gòu)建和編排技術(shù)、戰(zhàn)略層面擴(kuò)展安全立現(xiàn)代化核心安全功能并實(shí)現(xiàn)協(xié)同交付5生態(tài)系統(tǒng)協(xié)同廣泛引入生態(tài)系統(tǒng)合作伙伴，共同設(shè)計(jì)和交付安全功能與新價(jià)值主張的價(jià)值安全運(yùn)營(yíng)生態(tài)系統(tǒng)協(xié)同功能成熟度表明，組織處于安全成熟度的不同階段，從最低成熟度(第1階段)到中等成熟度(第2A和2B階段)，再到更高的成熟度(第3階段；參見(jiàn)圖5)。–第1階段的組織通常規(guī)模較小(基于收入指標(biāo))，環(huán)雜，在技術(shù)與運(yùn)營(yíng)方面成熟度較低，而且在安全成熟度的不同階段相對(duì)平均值的百分比差異，其中0%表示所有受訪組織的平均值-60%-40%-20%-0%20%40%60%80%網(wǎng)絡(luò)風(fēng)險(xiǎn)成熟度網(wǎng)絡(luò)風(fēng)險(xiǎn)成熟度功能成熟度運(yùn)營(yíng)成熟度整合成熟度生態(tài)系統(tǒng)成熟度-53%-22%-27%-27%-23%-23%-15%8%-2%17%37%37%0%-8%3%-17%28%28%77%22%29%25%基于IBV分析。14115–安全態(tài)勢(shì)與網(wǎng)絡(luò)風(fēng)險(xiǎn)之間的協(xié)同水平較低––安全態(tài)勢(shì)與網(wǎng)絡(luò)風(fēng)險(xiǎn)之間的協(xié)同水平較低–59%的受訪組織將安全投資視為收入引擎–注重安全態(tài)勢(shì)與網(wǎng)絡(luò)風(fēng)險(xiǎn)之間的協(xié)同–與合作伙伴之間的安全協(xié)同水平較低–不成熟的安全運(yùn)營(yíng)模式–83%的受訪組織將安全投資視為收入引擎–在整個(gè)企業(yè)中嵌入安全功能–有效協(xié)同安全戰(zhàn)略與業(yè)務(wù)戰(zhàn)略–強(qiáng)大的安全治理流程–90%的受訪組織將安全投資視為收入引擎 (成熟度中等)3階段組織的規(guī)模較大，采用了云和AI等新興技–在成熟度較低的組織中，只有三分之一將其安全職能成熟度較高的組織中，這一比例則高達(dá)90%。–在第1階段組織中，只有22%的高管表示網(wǎng)絡(luò)安全組織中，這一比例為52%。織從較低安全成熟度發(fā)展至較高安，組織在某些領(lǐng)域?qū)Ω黜?xiàng)功能的優(yōu)先級(jí)排序?qū)Q定其通往高成熟度的路徑(參見(jiàn)圖6)。將其關(guān)注點(diǎn)從戰(zhàn)略轉(zhuǎn)向功能。通過(guò)全運(yùn)營(yíng)模式，此類組織正在依靠合為現(xiàn)代安全戰(zhàn)略的一部分發(fā)揮效用時(shí)，將安全功能擴(kuò)展至生態(tài)系統(tǒng)可以有效打擊網(wǎng)絡(luò)犯罪，而不僅僅是引入更廣泛的漏洞和風(fēng)險(xiǎn)。通過(guò)引入合作伙伴共擔(dān)風(fēng)險(xiǎn)與職責(zé)，此類組織正在通過(guò)信息共享、聯(lián)合防御和縱深防相比之下，第2B階段的組織正側(cè)重于理解網(wǎng)絡(luò)風(fēng)險(xiǎn)，并確保安全投資與網(wǎng)絡(luò)戰(zhàn)略相一致。此類組織也獲得了而且還提高了安全運(yùn)營(yíng)效率。此外，第2B階段的組織為了實(shí)現(xiàn)更高水平的安全功能，達(dá)到第3階段，第2A和2B階段的組織需要擴(kuò)大其關(guān)注點(diǎn)，并擴(kuò)展在其他成熟度領(lǐng)域的功能。這兩類組織均表示意識(shí)到了安全投資在創(chuàng)造機(jī)遇方面的潛力—59%的第2A階段高管和安全轉(zhuǎn)型路徑織的業(yè)務(wù)和安全戰(zhàn)略會(huì)對(duì)運(yùn)營(yíng)優(yōu)先級(jí)–比較有限地使用新興重大安全功能–技術(shù)成熟度較低–重大風(fēng)險(xiǎn)盲點(diǎn)–33%的受訪組織將安全投資視為收入引擎–注重與合作伙伴之間的安全協(xié)同–先進(jìn)的安全運(yùn)營(yíng)模式 (成熟度較低) (成熟度中等) (成熟度較高)1516151050151050回報(bào)：安全功能助力改善業(yè)務(wù)績(jī)效安全化為更加卓越的業(yè)務(wù)績(jī)效，這反映在收入增長(zhǎng)和段組織高43%。此外，此類組織還實(shí)現(xiàn)了更高的盈利能力，這反映在營(yíng)業(yè)利潤(rùn)率指標(biāo)上(參見(jiàn)圖7)。第2A階段和第2B階段組織在構(gòu)建安全功能時(shí)側(cè)重于不同領(lǐng)域，但這兩類組織均實(shí)現(xiàn)了同等水平的業(yè)務(wù)績(jī)效。這進(jìn)一步反映了組織針對(duì)第3階段采取的適當(dāng)步驟取決于其業(yè)務(wù)和安全策略將對(duì)運(yùn)營(yíng)優(yōu)先級(jí)產(chǎn)生哪些安全成熟度推動(dòng)增長(zhǎng)3階段組織實(shí)現(xiàn)了更高的收入增長(zhǎng)率(5年內(nèi)的復(fù)合年均增長(zhǎng)率為43%)和盈利能力(2021年高41%)。收入增長(zhǎng)百分比(2018年指數(shù)=100)160150140130120110100第3階段第第3階段第2B階段第2A階段第1階段201820192020202120222023營(yíng)業(yè)利潤(rùn)率占收入的百分比第3階段第2B階段第2A階段第1階段2019-202022019-2020基于IBV分析。17+45%+69%+45%+69%+159%+25%+69%+136%從其他績(jī)效因素來(lái)看，第3階段組織更有可能在敏捷新、數(shù)據(jù)管理和人才發(fā)展等關(guān)鍵領(lǐng)域超越競(jìng)爭(zhēng)對(duì)手—所有這些領(lǐng)域?qū)τ谵D(zhuǎn)型都至關(guān)重要。此類組織正包括在組織內(nèi)部實(shí)現(xiàn)更高的IT彈性、促進(jìn)生態(tài)系統(tǒng)合作以及積極與外部合作伙伴開(kāi)展開(kāi)放創(chuàng)新(參見(jiàn)圖8)。第3階段組織更有可能在敏捷性、創(chuàng)新、數(shù)據(jù)管理和人才發(fā)展等關(guān)鍵領(lǐng)域超越競(jìng)爭(zhēng)對(duì)手。安全投資塑造業(yè)務(wù)成功資轉(zhuǎn)化為可改善業(yè)務(wù)績(jī)效網(wǎng)絡(luò)安全對(duì)這些功能產(chǎn)生積極影響的百分比第1階段第2A階段第2B階段第3階段80%70%60%50%40%30%20%10%0%運(yùn)營(yíng)效率創(chuàng)收開(kāi)放創(chuàng)新網(wǎng)絡(luò)彈性客戶合作生態(tài)系統(tǒng)整合18證券投資回報(bào)率(ROSI)是受訪高管認(rèn)為在評(píng)估潛在安全投資方面最重要的一項(xiàng)財(cái)務(wù)指標(biāo)。在這些指標(biāo)上，組織普遍表示實(shí)現(xiàn)了可觀的回報(bào)。在所有受訪組織中，平均ROI為184%，而平均ROSI為292%。有點(diǎn)出乎意料的是，第1階段組織的ROSI要高于第3階段組織的ROSI。這可能是因?yàn)檫呺H收益發(fā)生了遞減。換句話說(shuō)，更復(fù)雜、更大規(guī)模運(yùn)營(yíng)所需的投資越高，整體ROSI就越低。相比之下，尚未做出重大安全投資的小型組織通?？梢园盐崭唷耙子趯?shí)現(xiàn)”的投資機(jī)會(huì)，從而實(shí)現(xiàn)更高的ROSI。度最高的組織充分展現(xiàn)了安全投資能夠成為強(qiáng)大的收入引擎，但不應(yīng)將第3階段視為安全旅程的終持續(xù)適應(yīng)不斷變化的安全需求，領(lǐng)導(dǎo)者需要在中另辟新徑，擴(kuò)展安全服務(wù)的價(jià)值，甚至擴(kuò)展統(tǒng)中的外部合作伙伴和供應(yīng)商。這樣一來(lái)，他效應(yīng)對(duì)新的風(fēng)險(xiǎn)向量，建立更全面的責(zé)任共擔(dān)19“增強(qiáng)安全投資應(yīng)當(dāng)成為業(yè)務(wù)引擎。安全投資業(yè)保護(hù)數(shù)字轉(zhuǎn)型創(chuàng)造的生產(chǎn)力效益。”14通過(guò)共擔(dān)風(fēng)險(xiǎn)、共擔(dān)責(zé)任和共建轉(zhuǎn)變?yōu)楣矒?dān)責(zé)任模式標(biāo)志著組織在安全戰(zhàn)略上的重大進(jìn)步。隨著越來(lái)越多的組織開(kāi)始將安全投資視為價(jià)值引擎而非成本中心，這種進(jìn)步將日益普及。問(wèn)題是：企業(yè)應(yīng)當(dāng)如何將共同這種進(jìn)步始于企業(yè)內(nèi)部，主要表現(xiàn)就是企業(yè)最高管理層和業(yè)務(wù)線高管建立了更有效的合作共擔(dān)責(zé)任模式還進(jìn)一步涉及與生態(tài)系統(tǒng)合作伙伴的多邊合作，其戰(zhàn)略、風(fēng)險(xiǎn)應(yīng)對(duì)方法和執(zhí)行能力將形成互補(bǔ)。這不僅有助于增強(qiáng)專業(yè)能力，而且還可以充分發(fā)揮共同投資(例如，超大規(guī)?；A(chǔ)架構(gòu)和服務(wù))的價(jià)值。而這又有助于企業(yè)超越自身能力限制，創(chuàng)造更廣闊的共同價(jià)值。(請(qǐng)參閱第21頁(yè)的案例研究“生命科學(xué)制造商將安全投資視為業(yè)務(wù)引擎”。)第3階段的受訪組織展示了成熟度最高的組織如何將能力擴(kuò)展到共擔(dān)責(zé)任模式之外，實(shí)現(xiàn)集共同價(jià)值與共建彈性優(yōu)勢(shì)于一體的安全框架(參見(jiàn)圖9)。對(duì)于此類組織，合作伙伴正在利用標(biāo)準(zhǔn)化和統(tǒng)一治理來(lái)擴(kuò)大其共同利益。這包括建立共同的利益、知識(shí)或?qū)嵺`，以及2020%17%20%17%要通過(guò)加強(qiáng)協(xié)作以及增強(qiáng)運(yùn)營(yíng)整合來(lái)實(shí)現(xiàn)共同價(jià)值。56%的受訪高管認(rèn)為與下游業(yè)務(wù)合作伙伴最普遍的一項(xiàng)益處。其他益處還包括通過(guò)合法來(lái)控制風(fēng)險(xiǎn)。此外，在選擇生態(tài)系統(tǒng)合作訪高管還將性價(jià)比因素置于潛在風(fēng)險(xiǎn)因素之，隨著生態(tài)系統(tǒng)關(guān)系變得更加復(fù)雜，傳遞性許多組織都需要通過(guò)加強(qiáng)與合作伙伴的協(xié)作及運(yùn)營(yíng)整合來(lái)創(chuàng)造共同價(jià)值。將安全投資擴(kuò)展至生態(tài)系統(tǒng)與合作伙伴攜手協(xié)作合作伙伴受益于風(fēng)險(xiǎn)和責(zé)任共擔(dān) 與安全合作伙伴共建標(biāo)準(zhǔn)化安全跨合作伙伴建立標(biāo)準(zhǔn)化的事件響 我們與下游生態(tài)系統(tǒng)合作伙伴共擔(dān)風(fēng)險(xiǎn)與第三方簽訂合同協(xié)議在限制潛在風(fēng)險(xiǎn)方面發(fā)揮重要作用57%57%22%447%36%19%從不或偶爾19%從不或偶爾34%有時(shí)經(jīng)常56%12%3256%12%53%35%153%35%38%14%38%14%完全沒(méi)有或非常有限完全沒(méi)有或非常有限在一定程度上程度上問(wèn)：您的組織在多大程度上與合作伙伴合作實(shí)施責(zé)任共擔(dān)網(wǎng)絡(luò)安全模式？問(wèn)：您組織的網(wǎng)絡(luò)安全投資和功能可在多大程度上惠及生態(tài)系統(tǒng)合作伙伴？21業(yè)務(wù)引擎15面對(duì)非核心職能的成本壓力以及整個(gè)IT和信息安全產(chǎn)品組合的技能短缺，一家生命科學(xué)制造公司決定將其IT運(yùn)營(yíng)外包給合作伙伴。為了幫助客戶在IT提供商與IT安全職能部門之間實(shí)現(xiàn)職責(zé)分離，該公司選擇利用托管安全務(wù)引擎。22模型從風(fēng)險(xiǎn)價(jià)值(value-at-risk)轉(zhuǎn)變?yōu)閮r(jià)值風(fēng)險(xiǎn)(value-to-risk)，并通過(guò)組織內(nèi)部的橫向合作以及與外部合作之間的合作來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)共擔(dān)，從而實(shí)現(xiàn)新的價(jià)值主有效協(xié)同運(yùn)營(yíng)。從安全泄漏占安全事件的比率等指可以看出，此類組織正在廣泛聯(lián)合其合作伙伴來(lái)增強(qiáng)整體網(wǎng)絡(luò)彈性(參見(jiàn)圖10)。與其他同行相比，此類組織在一個(gè)重要方面表現(xiàn)出眾—那就是此類組織將以在安全領(lǐng)域更加出眾，一個(gè)重要原因就將機(jī)會(huì)轉(zhuǎn)化為增長(zhǎng)。它們?cè)诰W(wǎng)絡(luò)風(fēng)險(xiǎn)和生態(tài)系伴協(xié)同方面擁有更成熟的能力，以及更高的效率、速度、專業(yè)水平和規(guī)?！羞@一切都得益于組這主要是因?yàn)樗鼈儗踩顿Y視為成熟度更高的組織將安全成效視為業(yè)務(wù)成效。這種戰(zhàn)略轉(zhuǎn)變?nèi)Q于組織如何推進(jìn)云轉(zhuǎn)型。關(guān)鍵差異該組織從最初的互聯(lián)服務(wù)和共享運(yùn)營(yíng)轉(zhuǎn)變?yōu)椤吧疃仍啤狈N挑戰(zhàn)和不確定性因素導(dǎo)致安全運(yùn)營(yíng)環(huán)境日益通過(guò)轉(zhuǎn)變對(duì)風(fēng)險(xiǎn)、價(jià)值和彈性的態(tài)度，企業(yè)領(lǐng)有效逆轉(zhuǎn)這一趨勢(shì)。這讓他們能夠優(yōu)先考慮可的商業(yè)環(huán)境，網(wǎng)絡(luò)經(jīng)濟(jì)在事實(shí)上的興造了一個(gè)里程碑時(shí)刻，并且將在未來(lái)十年中產(chǎn)生持深遠(yuǎn)的影響。而積極擁抱這種全新模式的組織可以更好地把握這一未來(lái)機(jī)遇。本報(bào)告隨附的“行動(dòng)指南”2323云云式。傳統(tǒng)安全方法(前云時(shí)代)–企業(yè)自建安全系統(tǒng)來(lái)抵御網(wǎng)絡(luò)攻擊者–注重安全邊界、低效能–協(xié)作水平較低脅IT共擔(dān)責(zé)任(淺層云時(shí)代)–一些IT功能遷移至不同的云并具有各自的安全態(tài)勢(shì)(強(qiáng)于企業(yè)IT)–雙邊安全協(xié)同–可提高效率并改善安全態(tài)勢(shì)值共建彈性(深層云時(shí)代)–生態(tài)系統(tǒng)合作伙伴之間保持多邊協(xié)同–強(qiáng)大的聯(lián)合安全態(tài)勢(shì)可主動(dòng)限制攻擊者的能力–安全方法成為共同公共利益作伙伴B合合作伙伴C23241.–對(duì)與組織的業(yè)務(wù)、IT、風(fēng)險(xiǎn)偏好和安全戰(zhàn)略相關(guān)的當(dāng)前安全轉(zhuǎn)型路線圖進(jìn)行全面評(píng)估。–與同行企業(yè)攜手合作，更深入地理解您組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法。模經(jīng)濟(jì)，絡(luò)–運(yùn)用價(jià)值流評(píng)估來(lái)確定IT和信息安全投資組合中的哪些要素能夠?qū)φw轉(zhuǎn)型工作貢獻(xiàn)最大的–與IT/信息安全投資組合中的同行開(kāi)展合作，通過(guò)協(xié)同業(yè)務(wù)、IT和信息安全投資來(lái)估算共同價(jià)–根據(jù)您的業(yè)務(wù)戰(zhàn)略、IT/信息安全戰(zhàn)略和風(fēng)險(xiǎn)態(tài)勢(shì)，對(duì)實(shí)現(xiàn)預(yù)期業(yè)務(wù)成效所需的投資進(jìn)行定性和3.創(chuàng)價(jià)值安。實(shí)25–調(diào)動(dòng)整個(gè)組織制定轉(zhuǎn)型路線圖，推動(dòng)將安全運(yùn)營(yíng)從成本中心轉(zhuǎn)變?yōu)槭杖胍妗（C利用廣闊的高ROI和高ROSI投資機(jī)會(huì)來(lái)增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全能力，以及推動(dòng)更廣泛的IT/信息安全轉(zhuǎn)型。–專注于增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理成熟度。–繼續(xù)增強(qiáng)運(yùn)營(yíng)模式和生態(tài)系統(tǒng)合作伙伴成熟度，同時(shí)加強(qiáng)業(yè)務(wù)整合與功能成態(tài)系統(tǒng)–利用更有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理來(lái)改善業(yè)務(wù)成效(例如，降低財(cái)務(wù)風(fēng)險(xiǎn)以及減少不良事件的幾率)。–專注于增強(qiáng)業(yè)務(wù)整合和生態(tài)系統(tǒng)合作，從而提升效率以及增強(qiáng)規(guī)模經(jīng)濟(jì)。的風(fēng)險(xiǎn)狀況以及業(yè)務(wù)和IT/信息安全因素將如何創(chuàng)造新的挑戰(zhàn)與機(jī)遇。–認(rèn)識(shí)到組織仍然可以受益于不斷完善的能力成熟度，并確定哪些能力可以產(chǎn)生最大的影響。26總經(jīng)理IBM安全服務(wù)/in/chrismmccurdy/cmccurdy@在過(guò)去15年以來(lái)，Chris曾擔(dān)任多個(gè)領(lǐng)導(dǎo)職位，負(fù)責(zé)指導(dǎo)IBM安全服務(wù)的銷售和戰(zhàn)略，始終一如既往地推動(dòng)安全業(yè)務(wù)的快速增長(zhǎng)。在加入IBM之前，他曾在Andersen、InternationalNetworkServices和LucentTechnologies等多家咨詢公司擔(dān)任管理顧問(wèn)。他還在美國(guó)的一家大型零售汽車集團(tuán)擔(dān)任CIO。Chris擁有貝勒大學(xué)信息系統(tǒng)工商管理學(xué)士學(xué)位，并且是一名認(rèn)證信息系統(tǒng)審計(jì)師。IBM安全服務(wù)全球合伙人incominshlomikSHLOMIKShlomi在基礎(chǔ)設(shè)施和安全服務(wù)領(lǐng)域擁有超過(guò)20年的專業(yè)經(jīng)驗(yàn)。他曾在多個(gè)行業(yè)開(kāi)展國(guó)際性工作，協(xié)助客戶簡(jiǎn)化與安全數(shù)字化轉(zhuǎn)型相關(guān)的復(fù)雜業(yè)務(wù)與技術(shù)問(wèn)題。多年以來(lái)，他一直擔(dān)任業(yè)務(wù)領(lǐng)導(dǎo)職務(wù)，與客戶和國(guó)際業(yè)務(wù)主管開(kāi)展合作，幫助他們制定和執(zhí)行銷售轉(zhuǎn)型計(jì)GeraldParhamIBM商業(yè)價(jià)值研究院yparhamgparham@Gerald在IBM商業(yè)價(jià)值研究院負(fù)責(zé)領(lǐng)導(dǎo)安全和CIO研究領(lǐng)域。他致力于為高管和董事會(huì)成員提供技術(shù)與安全戰(zhàn)略、網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)價(jià)值鏈方面的建議。Gerald在行政領(lǐng)導(dǎo)、創(chuàng)新和知識(shí)產(chǎn)權(quán)開(kāi)發(fā)領(lǐng)域擁有超過(guò)20年的經(jīng)驗(yàn)。他擁有加州州立大學(xué)和南加州大學(xué)的科學(xué)和美術(shù)高級(jí)學(xué)位，以及約翰霍普金斯大學(xué)的寫(xiě)作學(xué)士學(xué)位。JacobDencik博士Jacob負(fù)責(zé)領(lǐng)導(dǎo)IBM商業(yè)價(jià)值研究(IBV)開(kāi)展技術(shù)相關(guān)主題以及技負(fù)責(zé)人術(shù)對(duì)全球經(jīng)濟(jì)影響的研究工作。他致力于為全球范圍內(nèi)的企業(yè)提供IBM商業(yè)價(jià)值研究院全球運(yùn)營(yíng)和定位戰(zhàn)略咨詢，并且擁有豐富的相關(guān)經(jīng)驗(yàn)。他還以競(jìng)爭(zhēng)/in/jacob-dencik-126861力、外國(guó)直接投資(FDI)、部門/集群分析和創(chuàng)新領(lǐng)域的專家和經(jīng)濟(jì)學(xué)jacob.dencik@家的身份向政府提供建議。Jacob擁有英國(guó)巴斯大學(xué)公共政策和經(jīng)濟(jì)學(xué)專業(yè)的博士學(xué)位。IBVJoannaWilkins、LilyPatel和Kristin其他在編輯評(píng)審、研究部署和細(xì)部編輯方面提供幫val和DanielleIvannikova表示感謝。此外，整個(gè)IBM了指導(dǎo)和專業(yè)知識(shí)。我們非常重視與同事之間的合作力于為業(yè)務(wù)主管就公共和私營(yíng)領(lǐng)域的關(guān)鍵問(wèn)事實(shí)的戰(zhàn)略洞察。洞察根據(jù)對(duì)自身主要研究mIBM，我們積極與客戶協(xié)作，運(yùn)用業(yè)務(wù)洞察和先進(jìn)的研究方法與技術(shù)，幫助他們?cè)谒蚕⑷f(wàn)變的商業(yè)環(huán)境中保持獨(dú)特的競(jìng)爭(zhēng)優(yōu)勢(shì)。和自動(dòng)化助力網(wǎng)絡(luò)安全：領(lǐng)導(dǎo)者如何統(tǒng)籌技術(shù)得成功信任網(wǎng)絡(luò)，增強(qiáng)網(wǎng)絡(luò)彈性dscasLZMXOM混合云的業(yè)務(wù)價(jià)值：無(wú)邊界企業(yè)如何推動(dòng)收入增長(zhǎng)/downloads/cas/QPRDPR7BIBM商業(yè)價(jià)值研究院(IBV)成立于2002年。憑借IBM會(huì)針對(duì)成千上萬(wàn)高管、消費(fèi)者和專家展開(kāi)調(diào)研、訪談和互動(dòng)，將他們的觀點(diǎn)綜合成可信賴的、振奮人心和切實(shí)需要IBV最新研究成果，請(qǐng)?jiān)?ibv上注冊(cè)以接收IBV的電子郵件通訊。您可以在Twitter上關(guān)注@訪問(wèn)IBM商業(yè)價(jià)值研究院中國(guó)官網(wǎng)，免費(fèi)下載研究報(bào)2728研究和分析方法備注和參考資料為了更深入地理解企業(yè)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全的看法，IBM商業(yè)價(jià)值研究院聯(lián)合牛津經(jīng)濟(jì)研究院，針對(duì)25個(gè)國(guó)家/地區(qū)的18個(gè)行業(yè)的2,300多位業(yè)務(wù)、運(yùn)議程的領(lǐng)導(dǎo)者的見(jiàn)解，包括CEO、COO、CIO、CTO、CISO、首席風(fēng)險(xiǎn)官(CRO)、首席供應(yīng)鏈官、首席采購(gòu)CPODPO信息安全(IS)職能、網(wǎng)絡(luò)風(fēng)險(xiǎn)管理職能和信息技術(shù)(IT)職能部門的高管(副總裁或以上級(jí)別)。側(cè)重于安全功能對(duì)安全運(yùn)營(yíng)和業(yè)務(wù)成效的影括關(guān)于數(shù)據(jù)的描述性分析以及通過(guò)更詳盡的分–戰(zhàn)略和網(wǎng)絡(luò)風(fēng)險(xiǎn)。是否能夠執(zhí)行安全戰(zhàn)略并確保控制相一致–功能成熟度。是否能夠在云安全和安全架構(gòu)原則等領(lǐng)同一致的核心安全功能–安全運(yùn)營(yíng)模式。是否能夠跨安全職能評(píng)級(jí)模型成熟度–業(yè)務(wù)整合。是否能夠跨核心業(yè)務(wù)職能，從戰(zhàn)略層面擴(kuò)–生態(tài)系統(tǒng)協(xié)同。是否能夠廣泛引入生態(tài)系統(tǒng)合作伙，根據(jù)這些組織在五個(gè)領(lǐng)域?qū)⑵鋭澐值剿膫€(gè)不同的類別中。我們對(duì)不同類方法、安全對(duì)業(yè)務(wù)績(jī)效的影響以及總體財(cái)務(wù)績(jī)比較分析，從而確定安全成熟度在交付業(yè)務(wù)價(jià)ommandDCSINTHandbookNo1.02.August2005./document/15676-us-army-training-and-doctrine-com-mand-dcsintWorldlionAnnuallybyCybercrimeMagazineNovember2020./hackerpocalypse-cybercrime-report-2016/;Upadhyay,Shailendra,RahulYadav,etal.“Forecast:InformationSecurityandRiskManagement,Worldwide,2020-2026,2Q2022Update./document/4016190?ref=algobottom-HYPERLINK"/docum