Gartner发布2024年企业高管增长议程:使网络安全投资与业务增长保持一致

网络安全投资和准备被视为推动企业发展的关键因素。除了避免损失之外,高管还应利用有效的以业务为中心的安全方法,通过大规模实现敏捷性和创新来推动收入增长。

主要发现

  • 高增长公司通过扩大商业足迹来推动业绩,这需要大规模的创新、敏捷性和效率,并通过适当的网络安全投资来支持。

  • 根据企业高管对2024 年 Gartner 增长议程调查的回应,隐私和安全位居第二,仅次于人工智能,对于实现企业收入增长至关重要。

  • 高增长公司推动有效的安全和隐私方法,这些方法以结果为基础,并平衡保护企业的需求和企业增长的需求。

建议

参与数字业务战略和规划的执行领导应该:

  • 使用价值和成本分析将网络安全视为指导投资以支持企业增长的商业决策。

  • 利用结果驱动指标和保护级别协议进行网络安全尽职调查,优先考虑网络安全投资以支持企业增长。

  • 将网络安全价值衡量为交付的保护级别,并使用保护级别协议设定投资。

  • 通过利用以结果为导向的指标和保护级别协议,超越无法确保良好网络安全的安全框架、支出基准和合规性。

介绍

在充满通胀、地缘政治动荡和长期经济不确定性的全球格局动荡的背景下,企业正在扩大其业务范围——无论是收购另一家公司,还是开发或成为生态系统的一部分。在 Gartner 的 2024 年增长议程调查中,47% 的高管来自“高增长”公司,收入持续增长超过 10%。平均而言,这一群体预计未来三年约 60% 的增长将来自通过结合内部和外部战略来扩大其业务范围,其中包括:

  • 并购

  • 生态系统发展

  • 新企业

  • 扩大影响力/市场开发

网络安全是影响和支持高增长战略这些要素的关键因素。因此,高管领导越来越多地将网络安全视为一项业务决策。高管领导应通过对安全保护的投资来增强和支持公司的增长和扩张成果。

根据 Gartner 的《2024 年增长议程调查》,38%的受访者认为隐私和安全对于实现高企业增长至关重要。安全仅次于生成式人工智能 (GenAI) (47%),是实现高端增长的最关键技术(见图 1)。虽然更多的低增长公司 (50%) 报告隐私和安全至关重要,而不是高增长公司 (29%),但我们的结果也表明他们在执行方面落后。高增长公司 (50%) 报告的隐私和安全结果和成果高于低增长公司 (42%)。对于高增长公司而言,隐私和安全排名第三。

Gartner 2024 年增长议程调查的结果延续了一种日益增长的趋势,表明企业领导者正在将安全投资的重要性与业务成果相结合。

图 1:安全性被评为增长的重要要求

在将隐私和安全视为至关重要的受访者中,只有47%的人表示,他们的网络投资取得了可衡量的成果。这项研究探讨了帮助高管根据其增长目标做出正确战略投资的方法。

分析

将网络安全视为业务决策

对于寻求扩大业务范围的全球企业,高管应将网络安全视为保护和促进增长的业务决策。根据2024 年 Gartner 董事会调查显示,84 %的董事会成员表示,他们认为网络安全是一种业务风险,而不仅仅是技术风险。这一发现代表了八年来的变化:高于 2016 年 58% 的受访者,他们将其视为技术风险。

网络安全的重要性随着组织的发展和成功而不断上升。Gartner 早期的研究表明,网络安全已成为大多数组织技术投资清单中排名第一的主要支出项目。决策的需求已将网络安全支出提升到了新的关注水平。

高管应制定并规范网络安全方法,以支持企业的增长议程。他们应衡量并报告网络安全价值交付情况,以:

  • 确定在网络安全上增加或减少支出的效益。

  • 使网络安全与业务成果保持一致。

  • 与股东、客户、合作伙伴和监管机构等利益相关者一起建立防御能力。

  • 吸收不可避免的攻击和事件,同时保持与利益相关者的防御能力。

  • 让业务单位所有者直接参与网络安全准备工作,以促进其业务成果。

组织必须为网络安全创建可防御的保护级别,并证明其如何与期望的业务成果保持一致。为此,他们应该利用结果驱动指标 (ODMs) 和保护级别协议 (PLA)。

构建以业务为中心的 ODM/PLA 网络安全治理方法

技术和业务驱动因素应该影响网络安全计划的支出金额和保护级别。使用 ODM 和 PLA 可以为组织创造一种可靠、可辩护且可扩展的方法来推动网络安全优先事项和投资。

使用结果驱动指标来衡量网络投资价值

结果驱动指标衡量网络安全投资所提供的保护水平(见图 2)。

结果驱动指标衡量保护级别结果。它们提供了网络安全效益的描述,反映了运营绩效和期望的保护效益。衡量结果可立即洞察已交付的保护级别,并作为PLA 的基础。例如,如果某个组织报告称他们正在提供 30 天的修补,则表明他们具备该能力,无需进一步探索。

Gartner 正在对 16 家 ODM 进行基准测试,以创建指导网络投资的同行比较。这 16 个指标中的两个例子是:

  • 操作系统修补频率(标准):修补的价值主张减少了漏洞被利用的时间。此指标衡量的保护级别是以标准频率部署操作系统补丁所需的时间。修补速度越快,保护效果越好。

  • 第三方网络安全风险参与:第三方风险管理的价值主张是减少对组织构成重大网络安全风险的第三方数量。该指标衡量的保护水平是参与的第三方中未通过网络安全评估但业务决定与其合作的百分比。

图 2:网络安全的十六项结果驱动指标

使用保护级别协议实现网络安全治理

PLA是 IT 和高级业务主管之间达成的协议,旨在以预计成本实现所需的保护级别。PLA确定所需的安全和业务结果,以及如何通过一系列一致、充分、负责和有效的控制措施来解决这些结果(见图 3)。

PLA 是一种结构,用于促进高管、IT 和安全决策者之间的网络安全决策。网络安全投资提供的保护级别是可衡量的,并支持做出平衡保护和成本的选择。PLA 是 IT 和高级业务主管之间的协议,可实现预期成本所需的保护级别。例如,每年 100 万美元的 30 天修补就是一项 PLA。

图 3:建立以业务为中心的网络安全 PLA 的要素

高管们不必知道组织的系统需要多快修补。但是,他们可以而且应该了解保护级别和成本之间的权衡。他们应该利用成本和价值概念来确定他们准备花多少钱以及在业务驱动因素的背景下他们想要的保护级别:

  • 业务运营:使组织面临更多风险的机会或决策。

  • 监管要求:哪些 PLA 是监管机构可以接受的?

  • 股东:CEO能否捍卫组织的网络安全决策以满足客户和股东的需求?

  • 合作伙伴:有多少公司不会与该组织合作,因为它不够安全?这意味着合作伙伴关系和并购目标。

  • 网络保险资格:获得网络保险需要什么?获得网络保险的成本和要求呈上升趋势,而且更加严格。

  • 基准:其他人在做什么?

  • 可观察到的业务影响:安全事故导致多少停机时间或其他重大损失?这对可衡量的业务成果、员工和客户有何影响?

通过以这些术语讨论 PLA,高管领导可以更好地确定所需的保护级别或可以通过投资控制的 PLA。PLA 可以提高透明度,表明组织要么达到其设定的运营目标,要么没有达到。这些决策必须对客户、股东和监管机构都有说服力。例如,希望通过并购扩大业务范围的高增长企业必须能够衡量和判断其潜在合作伙伴是否具有同等的安全性。

PLA提供了许多支持决策和企业发展的好处:

  • 将网络安全视为一项业务决策。

  • 将网络安全投资置于商业环境之中。

  • 平衡成本和保护水平。

  • 吸引商业决策者。

  • 创建可衡量和可执行的风险偏好和容忍度的具体表达。

  • 用可测量、可观察的结果取代影响和可能性的估计。

  • 支持在业务或任务环境中表达安全投资。

以北达科他州BCBSND为例。

北达科他州BCBSND利用网络安全指标引导投资

BCBSND 通过开发和使用网络安全ODM和 PLA 来引导投资,实现了管理层对网络安全的像任何其他商业投资一样的对待。

问题:现有的和随时可用的技术指标对董事会成员或执行领导来说毫无意义。这些指标过于操作性,不支持企业领导层将网络安全作为业务风险进行管理。

解决方案:BCBSND决定向董事会成员和利益相关者宣传实施 ODM 的价值,以获得支持和认可。安全和风险管理团队制定了一项指标推出计划,每季度推出四个新指标,并按容易获得的指标进行优先排序。这些指标用于衡量 PLA 并指导网络安全投资。

结果:高层领导和董事会成员批准了这些指标。新的 ODM 促进了通过 PLA 管理网络安全投资的新治理。一些 ODM 提供了运营可见性,并投资于改进企业交付的 PLA。

利用 ODM 支持并购活动

大多数公司通常对网络安全问题非常关注。对于那些希望扩大业务范围的公司来说,网络安全问题更加严重,尤其是在并购方面。并购网络安全尽职调查失败是众所周知的。以万豪 2014 年收购喜达屋为例,这笔交易在 2018 年耗资 1 亿美元。

Gartner 建议企业收购方在并购过程中进行尽职调查时使用16 个ODM 。这些指标将有助于识别与网络环境相关的问题和风险。在并购整合过程中,一些领域将被确定为需要进一步投资和/或采取特定行动来补救或维持所需的安全级别。有关如何使用这些步骤的更多指导。

寻求投资新增长项目的高增长公司应选择与其投资相称的投资和安全保护级别。网络安全 ODM 专注于衡量网络安全结果,以减少和取代繁琐的尽职调查活动。ODM 为收购方创建了一个更有利的流程,使其专注于保护级别的结果,而不仅仅是如何提供保护。这样做使收购方和卖方能够:

  • 避免在尽职调查过程中可能难以实现透明度的需求。

  • 识别安全问题区域。

  • 创建与网络安全环境相关的陈述和保证基础,并影响最终的销售价格。

  • 在整合期间有效管理网络风险。

  • 当两个组织具有不同的保护级别时,促进业务决策。

每种整合模式都有明显差异。但它们也有共同点,尤其是在网络安全方面。每种整合模式都需要网络安全,并且通常基于收购方维护网络安全的方法。一旦采用,该模型将包括新成立的组织中将结合的必要网络安全方法和流程。

结论

良好的网络安全支持敏捷性、创新和效率,而这些对于企业发展至关重要。组织应选择符合其增加收入愿望的保护级别。高管领导应告知其 CxO 同行在哪些方面进行增长投资,并向他们展示如何进行适当且可辩护的网络安全投资以支持期望的增长。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/861858.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

002 使用kibana操作ElasticSearch7.x

文章目录 4.使用kibana操作es4.1.文档操作1.put方式发送数据2.post方式发送数据3.查看索引文档 GET4.更新文档 POST5.删除文档&索引 DELETE6.批量添加数据_bulk 4.2.Query DLS(查询领域对象语言)1.url 检索数据语法2.查询所有数据3.查询全部数据并排序4.查询全部数据排序并…

时序分析基本概念介绍——min period 最小时钟周期

文章目录 前言一、什么是 min period?二、为什么检查 min period?三、如何设置 min period?四、如何检查 min period?五、如何修复 min period?总结 前言 我们在实际设计中可能会碰到这种情况,如果我们的m…

介绍ES6中的class类:(一) 类的基本语法

一、类的由来与简介 1. 简介 很早很早之前,在JavaScript的世界里,生成实例对象的传统方法是通过构造函数。 嗯哼? function Point(x, y) {this.x x;this.y y; }Point.prototype.toString function () {return ( this.x , this.y )…

计算机图形学入门18:阴影映射

1.前言 前面几篇关于光栅化的文章中介绍了如何计算物体表面的光照,但是着色并不会进行阴影的计算,阴影需要单独进行处理,目前最常用的阴影计算技术之一就是Shadow Mapping技术,也就是俗称的阴影映射技术。 2.阴影映射 Shadow Map…

提升用户转化率秘诀!Xinstall的H5拉起应用技术让您领先一步!

在移动互联网时代,App的推广和运营面临着诸多挑战。其中,H5页面如何高效、便捷地拉起应用,成为了一个亟待解决的问题。今天,我们就来谈谈如何利用Xinstall品牌,轻松解决这一痛点,提升用户体验,助…

boss直聘招聘数据爬取及可视化分析2.0

boss直聘招聘数据爬取及可视化分析2.0 一、需求介绍二、完整代码2.1 爬虫代码2.2 数据可视化模块一、需求介绍 笔者在前两篇介绍boss直聘招聘数据爬取和可视化分析的博客的基础上,对代码和功能进行了完善。在数据爬取的模块,代码更加简洁易懂,且性能更加稳定;在数据可视化…

SpringBoot | 使用jwt令牌实现登录认证,使用Md5加密实现注册

对于登录认证中的令牌,其实就是一段字符串,那为什么要那么麻烦去用jwt令牌?其实对于登录这个业务,在平常我们实现这个功能时,可能大部分都是通过比对用户名和密码,只要正确,就登录成功&#xff…

关于 AD21导入电子元器件放置“3D体”STEP模型失去3D纹理贴图 的解决方法

若该文为原创文章,转载请注明原文出处 本文章博客地址:https://hpzwl.blog.csdn.net/article/details/139969415 长沙红胖子Qt(长沙创微智科)博文大全:开发技术集合(包含Qt实用技术、树莓派、三维、OpenCV…

https网站安全证书的作用与申请办法

HTTPS网站安全证书,正式名称为超文本传输安全协议证书,是通过SSL/TLS加密协议,保障互联网用户与网站间数据交换的安全性的关键技术。 一:HTTPS网站安全证书的作用 1 消除不安全提示:未使用https协议的网站&#xff0c…

threejs的学习(一)

1.万事开头难 先把环境搭好 https://github.com/mrdoob/three.js/tree/dev/src 把这个项目clone下来 yarn install 安装依赖 yarn start 启动项目 然后用vite新建一个项目 npm init vite@latest 选择第一个 Vanilla就行 然后选择js 然后成功创建之后,npm start npm …

云计算【第一阶段(22)】进程和计划任务管理

一、查看进程 1.1、程序和进程的关系 程序 保存在硬盘,光盘等介质中的可执行代码和数据静态保存的代码 进程 在cpu及内存中运行的程序代码动态执行的代码父,子进程:每个程序可以创建一个或多个进程 1.2、查看进程 1.2.1、静态查看进程…

MQTT遗嘱信息(1)

本文内容参考: 什么是MQTT遗嘱消息?如何配置和处理遗嘱消息?_mqtt last will-CSDN博客 【MQTT基础篇(十五)】MQTT遗嘱_last-will qos-CSDN博客 MQTT 协议学习:Retained(保留消息)…

纯干货丨知乎广告投放流程和避坑攻略

精准有效的广告投放企业获客的关键,知乎作为中国最大的知识分享平台,拥有着高质量的用户群体和高度的用户粘性,为广告主提供了独一无二的品牌传播与产品推广平台。然而,如何在知乎上高效、精准地进行广告投放,避免不必…

pdf转换成cad,这几个cad转换小妙招快码住!

在数字设计领域,PDF(Portable Document Format)和CAD(Computer-Aided Design)文件格式各有其独特之处。PDF常用于文件共享和打印,而CAD则是工程师和设计师们进行精确绘图和建模的必备工具。然而&#xff0c…

谷粒商城P62 Spring Cloud Alibaba整合 OSS 报错问题(成功解决)

文章目录 一、依赖版本二、整合步骤2.1 视频 / 旧版本2.2 官网 / 新版本 三、product测试四、额外补充4.1 renren-fast报错4.2 解决方案4.2.1 视频 / 旧版本4.2.2 官网 / 新版本 最近在学习谷粒商城,一直卡在P62,SpringCloud Alibaba整合OSS报错&#xf…

word图题表题公式按照章节编号(不用题注)

预期效果: 其中3表示第三章,4表示第3章里的第4个图。标题、公式编号也是类似的。 为了达到这种按照章节编号的效果,原本可以用插入题注里的“包含章节编号” 但实际情况是,这不仅需要一级标题的序号是用“开始->多级列表”自动…

SQL注入漏洞—SQL注入简介与原理

一、SQL注入基础 1.1 什么是SQL注入漏洞 SQL注入漏洞从1998年圣诞节大火以来长盛不衰,虽然开发人员想出各种方法对他进行围追堵截,却始终无法将其赶尽杀绝,SQL注入的根本原因就是将SQL代码插入或添加到应用(用户)的输…

Transformer教程之什么是Transformer

在过去的几年里,Transformer 模型已经成为了自然语言处理(NLP)领域的主流技术。无论是机器翻译、文本生成还是语音识别,Transformer 都表现出了非凡的性能。那么,什么是 Transformer?它是如何工作的&#x…

WPF----进度条ProgressBar(渐变色)

ProgressBar 是一种用于指示进程或任务的进度的控件,通常在图形用户界面(GUI)中使用。它提供了一种视觉反馈,显示任务的完成程度,帮助用户了解任务的进展情况。 基本特性 Minimum 和 Maximum 属性: 这些属…

猫也有自动厕所上了吗?自费分享好用的智能猫砂盆,看完不亏。

还有人在用普通猫砂盘吗?之前我也是用的普通猫砂盘,但我发现只要我在上班时间,我就无法顾忌到小猫的便便,但又不想回家就闻到一股臭味,更何况现在夏天也快到了,便便残留一会就会发酵发臭,导致生…