深層云時(shí)代，重新思考業(yè)務(wù)轉(zhuǎn)型的網(wǎng)絡(luò)風(fēng)險(xiǎn)

·66%的受訪高管將網(wǎng)絡(luò)安全投資視為收入引擎。

·網(wǎng)絡(luò)安全成熟度最高的組織過去五年的收入增長(zhǎng)率要比成熟度低的組織高出43%。

·43%的組織表示將其安全計(jì)劃治理和運(yùn)營(yíng)外包給合作伙伴。

為了更深入地理解企業(yè)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全的看法，IBM商業(yè)價(jià)值研究院（IBV）聯(lián)合牛津經(jīng)濟(jì)研究院，針對(duì)25個(gè)國(guó)家/地區(qū)的18個(gè)行業(yè)的2,300多位業(yè)務(wù)、運(yùn)營(yíng)、技術(shù)、網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全高管開展了一項(xiàng)調(diào)研。

這些研究結(jié)果描繪了一幅令人信服的畫面：網(wǎng)絡(luò)安全正在成為一種核心戰(zhàn)略能力，可幫助企業(yè)降低財(cái)務(wù)風(fēng)險(xiǎn)、提高運(yùn)營(yíng)效率以及發(fā)掘新的價(jià)值來源。

//看圖說話1：風(fēng)險(xiǎn)意識(shí)帶來可觀回報(bào)

精明的領(lǐng)導(dǎo)者敏銳地發(fā)現(xiàn)這樣的商機(jī)：在改善運(yùn)營(yíng)和財(cái)務(wù)績(jī)效方面，網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)容易被忽視的環(huán)節(jié)。通過提高效率、緩解財(cái)務(wù)影響以及規(guī)避收入損失，組織可以大幅提升盈利水平。此外，抗風(fēng)險(xiǎn)能力更強(qiáng)的組織更有彈性，也不易受到阻礙其長(zhǎng)期戰(zhàn)略執(zhí)行的干擾因素的影響。這有助于推動(dòng)業(yè)務(wù)和收入增長(zhǎng)。

案例研究

美國(guó)航空公司降低網(wǎng)絡(luò)風(fēng)險(xiǎn)并加速推動(dòng)轉(zhuǎn)型

美國(guó)某航空公司實(shí)施了廣泛的數(shù)字化轉(zhuǎn)型計(jì)劃，包括將其應(yīng)用遷移至云端。該航空公司的云和安全領(lǐng)導(dǎo)團(tuán)隊(duì)選擇采用了一種云安全架構(gòu)，旨在建立敏捷性以及形成更成熟的安全態(tài)勢(shì)。最初，該航空公司的團(tuán)隊(duì)專注于采用涵蓋其整個(gè)IT環(huán)境的微分段和零信任方法，旨在防止入侵者訪問敏感數(shù)據(jù)以及規(guī)避勒索軟件風(fēng)險(xiǎn)。

成功部署這一企業(yè)級(jí)解決方案之后，隨后，該團(tuán)隊(duì)開始專注于開發(fā)DevSecOps模式，從而推動(dòng)其應(yīng)用開發(fā)流程轉(zhuǎn)型。這有助于增強(qiáng)開發(fā)人員意識(shí)，實(shí)現(xiàn)更主動(dòng)的安全方法。在正式上線一年后，該企業(yè)級(jí)安全解決方案幫助這家航空公司降低了新應(yīng)用和新云環(huán)境中的殘留風(fēng)險(xiǎn)，從而加速了數(shù)字化轉(zhuǎn)型進(jìn)程，并提供更加個(gè)性化的客戶體驗(yàn)，實(shí)現(xiàn)更高效、更具成本效益的運(yùn)營(yíng)，從而超越競(jìng)爭(zhēng)對(duì)手。

//看圖說話2：從價(jià)值的角度重新思考安全投資

·戰(zhàn)略和網(wǎng)絡(luò)風(fēng)險(xiǎn)：

執(zhí)行安全戰(zhàn)略并確保建立與風(fēng)險(xiǎn)態(tài)勢(shì)相一致的控制措施。

·功能成熟度：

在云安全、DevSecOps和安全架構(gòu)等領(lǐng)域，建立現(xiàn)代化核心安全功能并實(shí)現(xiàn)協(xié)同交付。

·安全運(yùn)營(yíng)模式：

跨安全職能設(shè)計(jì)、構(gòu)建和編排技術(shù)、流程、技能與治理。

·業(yè)務(wù)整合：

跨核心業(yè)務(wù)職能，從戰(zhàn)略層面擴(kuò)展安全功能。

·生態(tài)系統(tǒng)協(xié)同：

廣泛引入生態(tài)系統(tǒng)合作伙伴，共同設(shè)計(jì)和交付安全功能與新價(jià)值主。

我們發(fā)現(xiàn)，不同組織從較低安全成熟度發(fā)展至較高安全成熟度的路徑各不相同。組織在某些

領(lǐng)域?qū)Ω黜?xiàng)功能的優(yōu)先級(jí)排序?qū)Q定其通往高成熟度的路徑。例如，當(dāng)作為現(xiàn)代安全戰(zhàn)略的

一部分發(fā)揮效用時(shí)，有的組織將安全功能擴(kuò)展至生態(tài)系統(tǒng)。通過引入合作伙伴共擔(dān)風(fēng)險(xiǎn)與職

責(zé)，此類組織正在通過信息共享、聯(lián)合防御和縱深防御等實(shí)踐建立更強(qiáng)大的安全態(tài)勢(shì)。

//看圖說話3：共建彈性面向公共利益的安全方法

經(jīng)歷了前云時(shí)代的傳統(tǒng)安全方法到淺層云時(shí)代的共擔(dān)責(zé)任安全方法，在當(dāng)前的深層云時(shí)代，以共擔(dān)責(zé)任、共建彈性和共享價(jià)值為核心的生態(tài)系統(tǒng)合作關(guān)系正在變革安全運(yùn)營(yíng)模式。企業(yè)需要共建彈性，與生態(tài)系統(tǒng)合作伙伴之間保持多邊協(xié)同，共同建立強(qiáng)大的聯(lián)合安全態(tài)勢(shì)以主動(dòng)限制攻擊者的能力。這種安全方法被視為共同公共利益，可以降低風(fēng)險(xiǎn)，建立開放平臺(tái)，推動(dòng)價(jià)值創(chuàng)造和轉(zhuǎn)型。

案例研究

生命科學(xué)制造商將安全投資視為業(yè)務(wù)引擎

面對(duì)非核心職能的成本壓力以及整個(gè)IT和信息安全產(chǎn)品組合的技能短缺，一家生命科學(xué)制造公司決定將其IT運(yùn)營(yíng)外包給合作伙伴。解決方案的第一步是制定積極的過渡計(jì)劃和相關(guān)轉(zhuǎn)型路線圖，其中包含一個(gè)提供24x7全天候威脅管理功能的開放平臺(tái)，同時(shí)推動(dòng)加速轉(zhuǎn)型為新的IT和信息安全服務(wù)提供商。該公司建立了一個(gè)統(tǒng)一治理模型，可跨多個(gè)戰(zhàn)略合作伙伴實(shí)現(xiàn)持續(xù)協(xié)同。

現(xiàn)在，通過整合安全運(yùn)營(yíng)和更高的安全成熟度，該公司成功改善了網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，并提高了威脅管理效率。通過運(yùn)用精簡(jiǎn)化的轉(zhuǎn)型方法，該公司成功擴(kuò)大了成本節(jié)省，并加快了價(jià)值實(shí)現(xiàn)速度，成功將其安全投資轉(zhuǎn)化為業(yè)務(wù)引擎。

網(wǎng)絡(luò)安全行動(dòng)建議：

本報(bào)告的作者IBM安全服務(wù)全球副總裁兼總經(jīng)理Chris McCurdy、IBM安全服務(wù)全球合伙人Shlomi Kramer以及IBM商業(yè)價(jià)值研究院的安全研究專家們，針對(duì)處于網(wǎng)絡(luò)安全成熟所有階段組織們提出了三條一般性建議：達(dá)成戰(zhàn)略共識(shí)；消除孤島；與生態(tài)系統(tǒng)合作伙伴共建治理和共創(chuàng)價(jià)值。針對(duì)不同網(wǎng)絡(luò)安全成熟度的組織，本報(bào)告還有更具體的行動(dòng)建議，期待您親自去發(fā)現(xiàn)。