Forrester：重新思考网络安全成果的价值 以增加企业弹性、生产力和竞争力

长期以来，网络安全一直被视为保护组织免受攻击所必需的一项合规性和风险管理驱动性活动。随着组织业务转变和的数字化转型，网络安全已经从一种主体责任转变为推动业务升级迭代的积极措施。因此，企业必须超越对当前攻击面的可见性，采取积极主动的、战略性的网络安全措施，根据网络安全对业务目标保护和减少风险的程度来衡量和改进措施，促使领导者创建更明智的风险管理战略，并将网络安全投资集中在业务目标上。

Forrester对拥有至少250名员工的大型企业的409 名全球网络安全和 IT 决策者进行了一项在线调查，以探讨其组织的网络安全优先事项、业务目标、面临的挑战以及希望通过网络安全投资实现的目标。根据调查发现，企业对网络安全采取一种被动式管理方法，寻求一种基于结果的网络安全方法，以维护企业业务安全、推动业务成果、提高复原力、生产力和竞争力。

地缘政治动荡、加速数字化转型以及大量的监管要求使网络安全成为组织的首要任务。

日益提高的技术水平导致威胁行为者的恶意活动难以预测，因此大多数公司都采用被动或应急措施进行网络风险管理，这导致人员、流程和技术之间的错位。在对400多名全球网络安全和 IT 决策者的调查中发现，有60% 的受访者表示，这种错位导致安全专业人员在遭受网络攻击时被战术活动限制，而不是遵循其战略的行动方案。

网络安全策略的构建处于被动状态，而非战略性的。有66%的企业领导者表示，其组织只有在出现网络安全问题时才会作出反应。其中，从行业类型来看，有71%的制造行业受访者强调了这种反应性，高监管度的金融服务行业也有一半以上处于被动状态。

拥有明确的网络安全愿景和与业务成果相一致的目标对于组织的网络安全战略是否成功至关重要。然而，由于网络安全的目标设定来自多个方向，其成功的压力和难度也随之增加。该调查还提到了组织在确定目标上的方式不同，有36%的受访者表示组织的网络安全目标取决于业务周期规划阶段的重要事项，31%的受访者表示目标由各个业务部门决定，30%的受访者表示目标是根据合规需求确定的。基于以上数据可以发现，决定网络安全目标的主体不同，影响了组织有效保护其业务的能力。

Forrester将基于结果的网络安全定义为一种简化网络安全策略、培养实现预期结果的能力、不同于传统的基于威胁、活动或投资回报的方法。这种方法不仅可以助力组织应对风险，也能够积主动支持业务目标。

据上图数据显示，组织调整其网络安全策略应该包含以下几种关键业务成果：

● 风险管理。在当今这个高度互联的世界中，使用基于战略风险的策略对高效的风险管理至关重要。44%的受访者表示，其组织希望降低风险以实现首要网络安全目标。安全领导者的风险降低目标需要以清晰、精确和务实的方式与业务保持一致。

● 客户体验（CX）。五分之二的受访者表示，其组织希望通过网络安全目标来改善CX。部分领导者认识到，网络安全可以从合规和风险管理驱动的活动演变为业务驱动因素。例如，当客户或合作伙伴的数据被泄露时，将对企业的品牌形象造成破坏，失去客户信任。

● 提高运营弹性。33%的受访者认为，提高运营弹性是组织想要实现的业务成果。了解组织当前和期望的网络安全弹性水平，明确业务风险范围和攻击面，以提高运营效率。

经过调查发现，超过90%的组织在处理网络安全事件时都会遇到挑战，其中最大的挑战包括：

● 了解网络风险。随着网络犯罪激增，利益相关者——包括董事会、监管机构、投资者、商业伙伴和客户都希望对企业的网络安全风险管理战略有更多了解。报告显示，41%的受访者在执行风险管理战略时曾陷入困境。如果没有组织结构和外部监督的支撑，网络安全战略将无法完全发挥其作用，以识别风险、创造商业价值并提高企业业绩。其中，50%的媒体或娱乐公司的受访者表示，与其他行业的相比，在发现网络安全事件时，其组织无法立即识别网络安全，作出有效响应。

● 寻找所需技能和资源。35%的受访者认为，网络安全人才短缺是应对网络攻击的首要挑战之一。其中，金融服务行业的受访者认为，这是目前所面临的最大挑战（47%）。

● 快速有效地作出响应。34%的受访者认为，响应速度与有效性的缺失使得组织无法及时作出反应，以降低攻击程度、缩小攻击范围。40%的金融服务行业受访者表示，这是一个关键挑战。

只有五分之一的受访者表示其组织的网络安全优先事项与业务成果完全一致。据调查，网络安全优先事项与业务成果保持一致的障碍主要有以下几点：

● 管理复杂的IT环境。面对数字化转型、不断增加的数据量以及不断变化网络威胁，40%的受访者表示，其组织无法有效管理IT环境，阻碍其与业务成果保持一致的能力。随着企业继续投资于不同的解决方案，分散的技术环境将导致这种挑战将持续增长。

● 处理网络安全和业务目标的冲突。当企业追求其商业目标或开发新产品和服务时，网络安全往往被视为一个附加或无效的事后想法。38%的受访者表示，其组织的网络安全和业务目标相互冲突，由于来自不同利益相关者的网络安全优先事项之间相互竞争，使得有效保护业务的能力陷入停滞。

● 保持检测技术的预期效果。随着攻击面的扩大和生态系统的复杂化，威胁的类型和数量也在增加。37%的受访者表示，威胁的逐步碎片化使得最基本的战术活动也需耗费大量时间，检测安全防御功效成为挑战。

近一半的受访者表示，很难衡量网络安全优先事项是否提供了所需的结果，在将网络安全优先事项与业务成果相结合方面主要面临一下几种挑战：

● 了解组织的网络安全成熟度。安全领导需要了解组织的网络安全状况，以便制定路线图实现预期的最终目标。然而，近五分之二的受访者表示，其组织并不清楚当前和期望的目标状态成熟度水平，无法衡量其安全态势。其中，零售行业有50%的受访者认为，这是目前面临的最大挑战。

● 衡量网络安全的价值。为提升安全与业务的关系，网络安全部门必须衡量安全战略为业务带来的价值。37%的受访者认为这是一项挑战，即衡量其网络安全优先事项如何有效地支持业务目标。此外，近50%的组织表示在衡量网络安全价值方面存在困难，难以阐明安全对业务成果的贡献。

● 获取一致且有意义的数据。超过三分之一的受访者表示，在衡量网络安全优先事项如何实现业务成果时，获取一致且有意义的数据是一个挑战。拥有正确数据和洞察力是对网络安全战略、政策和方法做出明智决定的基础。反过来，这也将帮助组织更好地了解成功所需的关键绩效指标，以清晰有效的数据驱动组织持续发展。

此外，还有超过三分之一的受访者表示，其组织的行政领导或董事会并不了解网络安全需求。如果无法从商业影响的角度来讨论风险，安全专家将难以优化网络安全战略，为网络安全投资构建商业案例，并实现预算增长。

面对不断演变的威胁格局，组织需要一种新的思维，需要从更具战略性的角度来处理安全问题。83%的受访者表示，其组织有兴趣、计划采用或扩大采用基于结果的网络安全解决方案和服务以实现其业务成果。超过三分之一的受访者表示，正在积极朝着这一目标迈进，并计划在未来12个月内转向基于结果的网络安全策略。

同时，72%的受访者表示，与网络安全供应商签订以结果为导向的合同将提高网络防御成功率。这是因为基于结果的网络安全策略使供应商与买家的激励机制保持一致，将与安全供应商的合作关系转变为真正的战略伙伴关系。

根据调查数据显示，与其说组织是否会转向基于结果的网络安全策略，不如说组织何时会这样做以及进展如何，企业采用基于结果的网络安全策略的程度不同，预期收益也有所不同。

● 更好地管理成本。通过成本管理能够帮助网络安全专业人士更好地制定战略投入，并最大限度地降低网络风险成本。

● 初创企业希望通过提高灵活性来获得竞争优势。

明确业务决策的风险影响并主动采取行动，可以帮助企业更好地服务客户、采用新技术或更快地渗透到新市场。在计划在未来12个月内采用基于结果的安全策略的企业中，近三分之一的受访者认为这将成为企业获得竞争优势的一个主要推动因素。

● 最大限度地提高运营效率。使用基于结果的安全策略可以促使组织加快决策制定，以便以便简化网络安全流程或解决方案，从而确定下一步是投资还是撤资。

使用基于结果的方法为业务领导者提供了简化网络安全的机会，通过摒弃传统的基于威胁、基于活动和基于 ROI 的方法，只培养那些能够可衡量地实现预期结果的能力。Forrester通过对网络安全和 IT 决策者进行的针对基于结果的网络安全策略的深入调查，得出了以下几项重要建议：

例如，获得相关利益相关者（例如董事会、执行团队等）对企业追求的目标的明确意见，并明确安全投资将如何做出贡献。

将您的利益相关者沟通从“我们采用此安全措施是因为它更好”转变为“以下是我们从此特定安全措施中获得的具体好处。”例如，在电子商务中使用基于风险的身份验证可以通过消除低风险交易中的额外步骤和摩擦来改善CX。

企业不需要完美的安全性，而是需要足够的安全性。

为更好地与供应商达成合作，企业的IT部门和法律团队需要共同制定条款，避免最后的合同纠纷。

安全并不存在于一个孤岛中，而是支持业务的一种手段。企业需要经常与来自安全或IT部门以外的利益相关者进行交流，其提出的宝贵意见可以作为企业决策时需要考虑的因素。

分析企业当前的安全技术以确定其是否能够达到预期效果，加快淘汰落后的安全技术装备，提升企业安全生产保障水平，增强防范和遏制重特大事故能力。

企业需要对商定的指标进行持续监督，以向利益相关者证明安全投资的正确性。保持指标的简单性，以避免过度关注指标本身。