网络安全投资和准备被视为推动企业发展的关键因素。除了避免损失之外,高管还应利用有效的以业务为中心的安全方法,通过大规模实现敏捷性和创新来推动收入增长。
主要发现
-
高增长公司通过扩大商业足迹来推动业绩,这需要大规模的创新、敏捷性和效率,并通过适当的网络安全投资来支持。
-
根据企业高管对2024 年 Gartner 增长议程调查的回应,隐私和安全位居第二,仅次于人工智能,对于实现企业收入增长至关重要。
-
高增长公司推动有效的安全和隐私方法,这些方法以结果为基础,并平衡保护企业的需求和企业增长的需求。
建议
参与数字业务战略和规划的执行领导应该:
-
使用价值和成本分析将网络安全视为指导投资以支持企业增长的商业决策。
-
利用结果驱动指标和保护级别协议进行网络安全尽职调查,优先考虑网络安全投资以支持企业增长。
-
将网络安全价值衡量为交付的保护级别,并使用保护级别协议设定投资。
-
通过利用以结果为导向的指标和保护级别协议,超越无法确保良好网络安全的安全框架、支出基准和合规性。
介绍
在充满通胀、地缘政治动荡和长期经济不确定性的全球格局动荡的背景下,企业正在扩大其业务范围——无论是收购另一家公司,还是开发或成为生态系统的一部分。在 Gartner 的 2024 年增长议程调查中,47% 的高管来自“高增长”公司,收入持续增长超过 10%。平均而言,这一群体预计未来三年约 60% 的增长将来自通过结合内部和外部战略来扩大其业务范围,其中包括:
-
并购
-
生态系统发展
-
新企业
-
扩大影响力/市场开发
网络安全是影响和支持高增长战略这些要素的关键因素。因此,高管领导越来越多地将网络安全视为一项业务决策。高管领导应通过对安全保护的投资来增强和支持公司的增长和扩张成果。
根据 Gartner 的《2024 年增长议程调查》,38%的受访者认为隐私和安全对于实现高企业增长至关重要。安全仅次于生成式人工智能 (GenAI) (47%),是实现高端增长的最关键技术(见图 1)。虽然更多的低增长公司 (50%) 报告隐私和安全至关重要,而不是高增长公司 (29%),但我们的结果也表明他们在执行方面落后。高增长公司 (50%) 报告的隐私和安全结果和成果高于低增长公司 (42%)。对于高增长公司而言,隐私和安全排名第三。
Gartner 2024 年增长议程调查的结果延续了一种日益增长的趋势,表明企业领导者正在将安全投资的重要性与业务成果相结合。
图 1:安全性被评为增长的重要要求
在将隐私和安全视为至关重要的受访者中,只有47%的人表示,他们的网络投资取得了可衡量的成果。这项研究探讨了帮助高管根据其增长目标做出正确战略投资的方法。
分析
将网络安全视为业务决策
对于寻求扩大业务范围的全球企业,高管应将网络安全视为保护和促进增长的业务决策。根据2024 年 Gartner 董事会调查显示,84 %的董事会成员表示,他们认为网络安全是一种业务风险,而不仅仅是技术风险。这一发现代表了八年来的变化:高于 2016 年 58% 的受访者,他们将其视为技术风险。
网络安全的重要性随着组织的发展和成功而不断上升。Gartner 早期的研究表明,网络安全已成为大多数组织技术投资清单中排名第一的主要支出项目。决策的需求已将网络安全支出提升到了新的关注水平。
高管应制定并规范网络安全方法,以支持企业的增长议程。他们应衡量并报告网络安全价值交付情况,以:
-
确定在网络安全上增加或减少支出的效益。
-
使网络安全与业务成果保持一致。
-
与股东、客户、合作伙伴和监管机构等利益相关者一起建立防御能力。
-
吸收不可避免的攻击和事件,同时保持与利益相关者的防御能力。
-
让业务单位所有者直接参与网络安全准备工作,以促进其业务成果。
组织必须为网络安全创建可防御的保护级别,并证明其如何与期望的业务成果保持一致。为此,他们应该利用结果驱动指标 (ODMs) 和保护级别协议 (PLA)。
构建以业务为中心的 ODM/PLA 网络安全治理方法
技术和业务驱动因素应该影响网络安全计划的支出金额和保护级别。使用 ODM 和 PLA 可以为组织创造一种可靠、可辩护且可扩展的方法来推动网络安全优先事项和投资。
使用结果驱动指标来衡量网络投资价值
结果驱动指标衡量网络安全投资所提供的保护水平(见图 2)。
结果驱动指标衡量保护级别结果。它们提供了网络安全效益的描述,反映了运营绩效和期望的保护效益。衡量结果可立即洞察已交付的保护级别,并作为PLA 的基础。例如,如果某个组织报告称他们正在提供 30 天的修补,则表明他们具备该能力,无需进一步探索。
Gartner 正在对 16 家 ODM 进行基准测试,以创建指导网络投资的同行比较。这 16 个指标中的两个例子是:
-
操作系统修补频率(标准):修补的价值主张减少了漏洞被利用的时间。此指标衡量的保护级别是以标准频率部署操作系统补丁所需的时间。修补速度越快,保护效果越好。
-
第三方网络安全风险参与:第三方风险管理的价值主张是减少对组织构成重大网络安全风险的第三方数量。该指标衡量的保护水平是参与的第三方中未通过网络安全评估但业务决定与其合作的百分比。
图 2:网络安全的十六项结果驱动指标
使用保护级别协议实现网络安全治理
PLA是 IT 和高级业务主管之间达成的协议,旨在以预计成本实现所需的保护级别。PLA确定所需的安全和业务结果,以及如何通过一系列一致、充分、负责和有效的控制措施来解决这些结果(见图 3)。
PLA 是一种结构,用于促进高管、IT 和安全决策者之间的网络安全决策。网络安全投资提供的保护级别是可衡量的,并支持做出平衡保护和成本的选择。PLA 是 IT 和高级业务主管之间的协议,可实现预期成本所需的保护级别。例如,每年 100 万美元的 30 天修补就是一项 PLA。
图 3:建立以业务为中心的网络安全 PLA 的要素
高管们不必知道组织的系统需要多快修补。但是,他们可以而且应该了解保护级别和成本之间的权衡。他们应该利用成本和价值概念来确定他们准备花多少钱以及在业务驱动因素的背景下他们想要的保护级别:
-
业务运营:使组织面临更多风险的机会或决策。
-
监管要求:哪些 PLA 是监管机构可以接受的?
-
股东:CEO能否捍卫组织的网络安全决策以满足客户和股东的需求?
-
合作伙伴:有多少公司不会与该组织合作,因为它不够安全?这意味着合作伙伴关系和并购目标。
-
网络保险资格:获得网络保险需要什么?获得网络保险的成本和要求呈上升趋势,而且更加严格。
-
基准:其他人在做什么?
-
可观察到的业务影响:安全事故导致多少停机时间或其他重大损失?这对可衡量的业务成果、员工和客户有何影响?
通过以这些术语讨论 PLA,高管领导可以更好地确定所需的保护级别或可以通过投资控制的 PLA。PLA 可以提高透明度,表明组织要么达到其设定的运营目标,要么没有达到。这些决策必须对客户、股东和监管机构都有说服力。例如,希望通过并购扩大业务范围的高增长企业必须能够衡量和判断其潜在合作伙伴是否具有同等的安全性。
PLA提供了许多支持决策和企业发展的好处:
-
将网络安全视为一项业务决策。
-
将网络安全投资置于商业环境之中。
-
平衡成本和保护水平。
-
吸引商业决策者。
-
创建可衡量和可执行的风险偏好和容忍度的具体表达。
-
用可测量、可观察的结果取代影响和可能性的估计。
-
支持在业务或任务环境中表达安全投资。
以北达科他州BCBSND为例。
北达科他州BCBSND利用网络安全指标引导投资
BCBSND 通过开发和使用网络安全ODM和 PLA 来引导投资,实现了管理层对网络安全的像任何其他商业投资一样的对待。
问题:现有的和随时可用的技术指标对董事会成员或执行领导来说毫无意义。这些指标过于操作性,不支持企业领导层将网络安全作为业务风险进行管理。
解决方案:BCBSND决定向董事会成员和利益相关者宣传实施 ODM 的价值,以获得支持和认可。安全和风险管理团队制定了一项指标推出计划,每季度推出四个新指标,并按容易获得的指标进行优先排序。这些指标用于衡量 PLA 并指导网络安全投资。
结果:高层领导和董事会成员批准了这些指标。新的 ODM 促进了通过 PLA 管理网络安全投资的新治理。一些 ODM 提供了运营可见性,并投资于改进企业交付的 PLA。
利用 ODM 支持并购活动
大多数公司通常对网络安全问题非常关注。对于那些希望扩大业务范围的公司来说,网络安全问题更加严重,尤其是在并购方面。并购网络安全尽职调查失败是众所周知的。以万豪 2014 年收购喜达屋为例,这笔交易在 2018 年耗资 1 亿美元。
Gartner 建议企业收购方在并购过程中进行尽职调查时使用16 个ODM 。这些指标将有助于识别与网络环境相关的问题和风险。在并购整合过程中,一些领域将被确定为需要进一步投资和/或采取特定行动来补救或维持所需的安全级别。有关如何使用这些步骤的更多指导。
寻求投资新增长项目的高增长公司应选择与其投资相称的投资和安全保护级别。网络安全 ODM 专注于衡量网络安全结果,以减少和取代繁琐的尽职调查活动。ODM 为收购方创建了一个更有利的流程,使其专注于保护级别的结果,而不仅仅是如何提供保护。这样做使收购方和卖方能够:
-
避免在尽职调查过程中可能难以实现透明度的需求。
-
识别安全问题区域。
-
创建与网络安全环境相关的陈述和保证基础,并影响最终的销售价格。
-
在整合期间有效管理网络风险。
-
当两个组织具有不同的保护级别时,促进业务决策。
每种整合模式都有明显差异。但它们也有共同点,尤其是在网络安全方面。每种整合模式都需要网络安全,并且通常基于收购方维护网络安全的方法。一旦采用,该模型将包括新成立的组织中将结合的必要网络安全方法和流程。
结论
良好的网络安全支持敏捷性、创新和效率,而这些对于企业发展至关重要。组织应选择符合其增加收入愿望的保护级别。高管领导应告知其 CxO 同行在哪些方面进行增长投资,并向他们展示如何进行适当且可辩护的网络安全投资以支持期望的增长。