Gartner发布2024年企业高管增长议程：使网络安全投资与业务增长保持一致

网络安全投资和准备被视为推动企业发展的关键因素。除了避免损失之外，高管还应利用有效的以业务为中心的安全方法，通过大规模实现敏捷性和创新来推动收入增长。

主要发现

高增长公司通过扩大商业足迹来推动业绩，这需要大规模的创新、敏捷性和效率，并通过适当的网络安全投资来支持。
根据企业高管对2024 年 Gartner 增长议程调查的回应，隐私和安全位居第二，仅次于人工智能，对于实现企业收入增长至关重要。
高增长公司推动有效的安全和隐私方法，这些方法以结果为基础，并平衡保护企业的需求和企业增长的需求。

建议

参与数字业务战略和规划的执行领导应该：

使用价值和成本分析将网络安全视为指导投资以支持企业增长的商业决策。
利用结果驱动指标和保护级别协议进行网络安全尽职调查，优先考虑网络安全投资以支持企业增长。
将网络安全价值衡量为交付的保护级别，并使用保护级别协议设定投资。
通过利用以结果为导向的指标和保护级别协议，超越无法确保良好网络安全的安全框架、支出基准和合规性。

介绍

在充满通胀、地缘政治动荡和长期经济不确定性的全球格局动荡的背景下，企业正在扩大其业务范围——无论是收购另一家公司，还是开发或成为生态系统的一部分。在 Gartner 的 2024 年增长议程调查中，47% 的高管来自“高增长”公司，收入持续增长超过 10%。平均而言，这一群体预计未来三年约 60% 的增长将来自通过结合内部和外部战略来扩大其业务范围，其中包括：

并购
生态系统发展
新企业
扩大影响力/市场开发

网络安全是影响和支持高增长战略这些要素的关键因素。因此，高管领导越来越多地将网络安全视为一项业务决策。高管领导应通过对安全保护的投资来增强和支持公司的增长和扩张成果。

根据 Gartner 的《2024 年增长议程调查》，38%的受访者认为隐私和安全对于实现高企业增长至关重要。安全仅次于生成式人工智能 (GenAI) (47%)，是实现高端增长的最关键技术（见图 1）。虽然更多的低增长公司 (50%) 报告隐私和安全至关重要，而不是高增长公司 (29%)，但我们的结果也表明他们在执行方面落后。高增长公司 (50%) 报告的隐私和安全结果和成果高于低增长公司 (42%)。对于高增长公司而言，隐私和安全排名第三。

Gartner 2024 年增长议程调查的结果延续了一种日益增长的趋势，表明企业领导者正在将安全投资的重要性与业务成果相结合。

图 1：安全性被评为增长的重要要求

在将隐私和安全视为至关重要的受访者中，只有47%的人表示，他们的网络投资取得了可衡量的成果。这项研究探讨了帮助高管根据其增长目标做出正确战略投资的方法。

分析

将网络安全视为业务决策

对于寻求扩大业务范围的全球企业，高管应将网络安全视为保护和促进增长的业务决策。根据2024 年 Gartner 董事会调查显示，84 %的董事会成员表示，他们认为网络安全是一种业务风险，而不仅仅是技术风险。这一发现代表了八年来的变化：高于 2016 年 58% 的受访者，他们将其视为技术风险。

网络安全的重要性随着组织的发展和成功而不断上升。Gartner 早期的研究表明，网络安全已成为大多数组织技术投资清单中排名第一的主要支出项目。决策的需求已将网络安全支出提升到了新的关注水平。

高管应制定并规范网络安全方法，以支持企业的增长议程。他们应衡量并报告网络安全价值交付情况，以：

确定在网络安全上增加或减少支出的效益。
使网络安全与业务成果保持一致。
与股东、客户、合作伙伴和监管机构等利益相关者一起建立防御能力。
吸收不可避免的攻击和事件，同时保持与利益相关者的防御能力。
让业务单位所有者直接参与网络安全准备工作，以促进其业务成果。

组织必须为网络安全创建可防御的保护级别，并证明其如何与期望的业务成果保持一致。为此，他们应该利用结果驱动指标 (ODMs) 和保护级别协议 (PLA)。

构建以业务为中心的 ODM/PLA 网络安全治理方法

技术和业务驱动因素应该影响网络安全计划的支出金额和保护级别。使用 ODM 和 PLA 可以为组织创造一种可靠、可辩护且可扩展的方法来推动网络安全优先事项和投资。

使用结果驱动指标来衡量网络投资价值

结果驱动指标衡量网络安全投资所提供的保护水平（见图 2）。

结果驱动指标衡量保护级别结果。它们提供了网络安全效益的描述，反映了运营绩效和期望的保护效益。衡量结果可立即洞察已交付的保护级别，并作为PLA 的基础。例如，如果某个组织报告称他们正在提供 30 天的修补，则表明他们具备该能力，无需进一步探索。

Gartner 正在对 16 家 ODM 进行基准测试，以创建指导网络投资的同行比较。这 16 个指标中的两个例子是：

操作系统修补频率（标准）：修补的价值主张减少了漏洞被利用的时间。此指标衡量的保护级别是以标准频率部署操作系统补丁所需的时间。修补速度越快，保护效果越好。
第三方网络安全风险参与：第三方风险管理的价值主张是减少对组织构成重大网络安全风险的第三方数量。该指标衡量的保护水平是参与的第三方中未通过网络安全评估但业务决定与其合作的百分比。

图 2：网络安全的十六项结果驱动指标

使用保护级别协议实现网络安全治理

PLA是 IT 和高级业务主管之间达成的协议，旨在以预计成本实现所需的保护级别。PLA确定所需的安全和业务结果，以及如何通过一系列一致、充分、负责和有效的控制措施来解决这些结果（见图 3）。

PLA 是一种结构，用于促进高管、IT 和安全决策者之间的网络安全决策。网络安全投资提供的保护级别是可衡量的，并支持做出平衡保护和成本的选择。PLA 是 IT 和高级业务主管之间的协议，可实现预期成本所需的保护级别。例如，每年 100 万美元的 30 天修补就是一项 PLA。

图 3：建立以业务为中心的网络安全 PLA 的要素

高管们不必知道组织的系统需要多快修补。但是，他们可以而且应该了解保护级别和成本之间的权衡。他们应该利用成本和价值概念来确定他们准备花多少钱以及在业务驱动因素的背景下他们想要的保护级别：

业务运营：使组织面临更多风险的机会或决策。
监管要求：哪些 PLA 是监管机构可以接受的？
股东：CEO能否捍卫组织的网络安全决策以满足客户和股东的需求？
合作伙伴：有多少公司不会与该组织合作，因为它不够安全？这意味着合作伙伴关系和并购目标。
网络保险资格：获得网络保险需要什么？获得网络保险的成本和要求呈上升趋势，而且更加严格。
基准：其他人在做什么？
可观察到的业务影响：安全事故导致多少停机时间或其他重大损失？这对可衡量的业务成果、员工和客户有何影响？

通过以这些术语讨论 PLA，高管领导可以更好地确定所需的保护级别或可以通过投资控制的 PLA。PLA 可以提高透明度，表明组织要么达到其设定的运营目标，要么没有达到。这些决策必须对客户、股东和监管机构都有说服力。例如，希望通过并购扩大业务范围的高增长企业必须能够衡量和判断其潜在合作伙伴是否具有同等的安全性。

PLA提供了许多支持决策和企业发展的好处：