作者:埃森哲(Accenture)注册成立于爱尔兰,是全球最大的上市咨询公司和《财富》世界500强公司之一(2020年排名279位),为客户提供战略、咨询、数字、技术和运营服务及解决方案。埃森哲为超过120个国家200个城市的客户提供服务,其客户包括超过四分之三的世界500强企业、各国政府机构以及军队。埃森哲立足商业与技术的前沿,业务涵盖40多个行业,凭借独特的业内经验与专业技能,以及翘楚全球的交付网络,帮助客户实现具有深远意义的变革,提高客户的绩效水平,其专业的服务和质量在客户中享有盛誉。
编译者:李欣悦(上海市人工智能与社会发展研究会编译员,复旦大学法律硕士)来源
State of Cybersecurity Resilience 2021:How aligning security and the business creates cyber resilience
https://www.accenture.com/_acnmedia/PDF-165/Accenture-State-Of-Cybersecurity-2021.pdf
报告背景
通过对4744位全球受访者关于网络安全弹性认知的年度调查,研究组发现,85%的首席信息安全官(CISO)认为,现有网络安全布局对业务目标实现的认知是落后的;与之相对的是,在2021年的调查中,78%的受访企业高管仍未意识到网络安全事件对组织发展可能产生的影响,而在2020年这一数字是69%。
随着网络攻击发生频率以及网络安全需求的复杂性的增加,该报告研究了网络安全战略与业务战略相一致对网络弹性的影响,并确定了网络弹性的四个层次:网络冠军、商业阻滞者、网络风险承受者和脆弱者。来阐述对业务绩效和网络弹性的影响。
什么是网络弹性
网络弹性集网络安全能力、业务连续性和企业弹性于一体,通过在整个业务生态系统中嵌入安全性,应用流动安全策略来快速响应威胁,从而将损害降到最低并能尽快恢复企业运作。
研究确定了网络弹性的四个群体(图1)。网络冠军(Cyber championships)在网络抵御能力方面取得了平衡,相比其他群体能更好阻止攻击、更快地发现和修复漏洞并降低其影响,并且能与业务战略保持一致,以实现更好的业务结果。此外研究还确定了另外几个反映了不同网络弹性方法的新群体:将网络安全放在首位却没有与业务战略保持一致的商业阻滞者(Business Blocker);将业务战略放在首位而不是与网络安全保持一致的网络风险承受者(Cyber Risk Taker);而网络恢复力的最差的群体则被定义为脆弱者(The Vulnerable)。
现在的网络安全状况
01更多的网络攻击
报告指出,在此次调查的受访者中,每家企业平均受到270次攻击(未经授权的数据、应用程序、服务、网络或设备的访问),比2020年增加了31%。
第三方风险(即供应链)成功侵入组织从2020年的44%增加到61%。
02更多的安全投资
报告指出,超过82%的受访者表示,他们的预算在去年有所增加(图3)。网络安全预算目前占网络总支出的15%,比2020年报告的支出高5%。报告认为这种变化可能是由于COVID-19疫情影响,企业经营业务的方式发生改变从而使得安全需求增加;云计算的广泛应用也使得更多安全工具必须加以更新,以适应新的需求。
03云应用与安全之间的复杂性
报告指出,在未来的三到五年内,超过三分之二的工作负载将转移到云计算上,世界上大部分地区约三分之一的企业会将超过75%的工作负载转移到云计算上。尽管大多数受访者认为云应用和操作比本地托管更安全,但近三分之一(32%)的人表示,云应用的安全性不是决定是否使用的影响因素。
安全与业务相结合的三种类型
01商业阻滞者(Business Blockers)
商业阻滞者在网络安全方面的表现优于网络风险承担者和脆弱者,但在网络恢复能力的所有关键指标上却落后于网络冠军。如图6所示,他们比网络风险承受者和脆弱者遭遇的入侵要少,但比网络冠军(17%)更多。
当攻击发生时,商业阻滞者比网络风险承受者和脆弱者更快地发现和补救攻击,但在这两个指标上都比网络冠军慢一天。
商业阻滞者拥有完全预算授权的首席信息官所占比例最高(32%),相较于网络冠军 (21%)、网络风险承受者 (21%)和脆弱者(16%),这种由首席信息官驱动的支出自主化或许可以解释为什么人们对网络安全的关注超过了对商业战略的关注。
同时报告指出,如果商业阻滞者将其性能提高到网络冠军级别,每次成功攻击可降低48%的成本,每次攻击可节省约29.4万美元。
02网络风险承担者(Cyber Risk Takers)
网络风险承担者采取商业第一的方式,不太强调与网络安全战略的一致性,其业务重点是以网络安全成功为代价的。
报告指出,确保更多的预算并不能转化为更好的网络弹性。尽管或网络风险承受者有更高的网络预算,但在成功入侵和重大攻击的平均份额方面的表现是最差的。
报告分析了该现象产生的原因——资源配置层面上的缺乏战略性。如果缺乏有效的网络安全战略而只关注商业方面的利益,网络弹性基础的确实将会为企业造成未来更大的风险以及更高的网络安全成本。报告分析,如果网络风险承担者将他们的性能提高到网络冠军级别,每次成功攻击可降低65%的成本,每次攻击可节省约226,000美元。
03网络冠军(Cyber championships)
报告认为,网络冠军的特点在于其网络安全战略与商业战略的紧密结合。网络冠军所经历的成功入侵的数量比商业拦截者低8%,比网络风险承担者低36%,并有着最少数量的重大攻击。
他们重视商业数据在网络攻击中的保留,报告显示仅有4%网络冠军丢失了超过50万份记录,该比例相较比网络风险承担者少6.5倍(27%)。
如何成为网络冠军
03重视首席信息安全官的地位
报告认为,首席信息安全官应当更紧密与企业业务主管合作以了解业务风险和优先级,从而更好地服务于整个企业业务。研究团队发现,网络冠军在报告结构方面与其他三种类型存在差异,大约70%的网络冠军由首席信息安全官直接向董事会报告,比其他团队高出7倍。在预算授权方面,只有19%的网络冠军公司的预算需要CEO或董事会的授权,这意味着他们在财务方面有更多的自主权,对CEO和董事会批准的依赖更少。
03以网络风险为中心并与业务保持一致
报告也发现,网络冠军明白平衡安全与业务的重要性并经常进行度量和监视,通过不断改进它们的安全功能,以使业务能够管理风险。近90%的网络冠军至少每年或更频繁地衡量其网络安全项目的成熟度。通过测量和监控他们的风险状况,并将这些数据提供给领导层,从而更好地与业务保持一致。
03充分利用安全云
报告认为,随着云存储技术的广泛应用,从云计算中获取全部价值变得非常重要。当向云转移时,组织应该抓住机会,像我们的网络冠军那样,更早、更有效地重置他们的安全态势。有83%的网络冠军表示会提前将云计算的安全性纳入业务转移的过程中,以更安全地迁移到云上。
结论
最后,报告强调了网络安全在企业发展中日益重要的关键作用,以及与企业战略相结合的重要性。正如在调查研究中所了解的那样,只关注业务增长的企业正在错过网络弹性发展对企业长远发展所可能带来的好处。对于那些主动寻求安全与业务之间协同一致的企业而言,将网络安全努力与商业战略相结合,企业不仅可以获得更好的商业成果,还可以在未来发展竞争中占据优势。
