#main-nav-header { display:none; }

将网络安全与战略商业价值联系起来

长期以来，企业领导者一直狭隘地从风险和威胁管理的角度看待网络安全。他们的重点一直放在对最新工具、人员和控制措施的投资，以防范攻击者。然而，虽然这些功能必不可少，但这种思维方式未能将网络安全工作与实际的战略商业价值联系起来。

安全团队通常采取被动战术，在每一种新型恶意软件或攻击发现之后开始追赶。他们忙于部署最新的 AI 系统或先进的防火墙，并逐渐迷失了方向。但却很少停下来思考：“这些努力怎样帮助我们实现最重要的企业目标？”

正是因为没有提出这个基本的问题，导致安全团队有时难以证明资源配置的合理性，难以保持长期的战略重点，也无法在管理层中占据有影响力的席位。为了提升网络安全的战略商业作用，安全领导者必须从根本上将重点转向定义并实现积极成果，这些成果与优先业务目标相符且有助于实现目标。

成果是指有效的安全措施带来的有形结果，例如：

相比之下，投入是指为保障企业安全而进行的投资，例如工具、技术、培训和人员。投入是不可或缺的基础。但成果是这些投资带来的实际收获。

将投入与成果比作驾驶汽车。先进的安全气囊、刹车系统和导航功能都是宝贵的投入。但如果您不知道自己的目的地，这些功能就没有多大价值。安全团队需要清晰地了解如何推动企业发展。成果提供了明确的方向。

我发现，定义战略网络安全成果最有效的方法是逆向思维。这种方法需要首先设定最终目标，然后确定实现目标的具体步骤。

例如，设想从现在开始的一年内，您希望将网络事件对业务的影响降至最低。有哪些可衡量的结果可以证明已经实现了这个目标呢？具体可能包括：

定义这些之后，您可以逆向思维，弄清楚实现这些结果需要哪些能力和资源。哪些工具或技能可以缩短响应时间和宕机时间？哪些访问控制和备份可以免除勒索软件赎金支付？

逆向思维方法能够提供清晰的思路和重点。让您从业务目标着手，而不是迷失在被动策略中。

在论证网络安全投资的合理性时，一个常见的难题是如何将其与业务重点联系起来。安全领导者必须将成果与企业的优先事项目标和宗旨直接联系起来。

例如，如果顶层目标包括快速拓展新市场和加速产品开发，则相关的成果可能是：

这将确保安全工作是推动因素，而不是阻碍因素。将资源投入到有助于支持或推动关键成果的功能，更容易证明投资的合理性。

必须通过指标和关键绩效指标 (KPI) 来量化成果。与其说“我们将降低风险”，不如说“在一个财年内，将整体网络风险评分从 78 分降至 68 分”。这样才能真正衡量进展。

涵盖技术、财务和业务因素的指标是理想之选：

进行效益实现分析可以进一步量化提高生产力、品牌声誉，以及保持合规等各方面的改善情况。

明确目标之后，就可以启动真正的工作：确定合适的人员、工具和技术组合，将这些成果转成为现实。这要求将安全战略与实际执行紧密结合。

AI 和自动化等新技术可能会带来巨大的帮助，但前提条件是这些技术必须侧重于推动实现特定的目标成果，无论是加快响应速度还是减少数据泄露。否则，即使是最先进的工具，也会变成闲置的预算消耗品。

有时候，最优举措并非购买热门的新型网络功能，而是精简或移除那些已经成为干扰因素的工具。将重复的供应商整合到统一平台，可以释放之前在集成和维护方面浪费的预算和带宽。

持续跟踪指标进度，提供关键反馈，以改进方法和投资。如果特定功能无法推进优先事项成果，则可能需要重新思考或重新分配。这种衡量标准有助于制定敏捷、不断演变的安全策略。

重点始终是实现既定的目标，也就是创造商业价值。借助这个指南提供的决策指引，安全领导者可以从容地驾驭未来的曲折道路。

将网络安全的重点从获取投入转向实现成果，是提高其战略作用的关键。企业领导者需要安全团队对支持企业使命的切实成果负责。

这种对积极业务影响力的外向性关注，也有助于与 IT、财务、市场营销、法务和其他部门之间建立重要的内部合作伙伴关系。它会促进协作，推动实现安全成果，从而在整个企业范围内提升目标。

最后，即使在混乱时期，关注成果也能提供清晰的思路。新的威胁层出不穷；投资也伴随着风险。借助这些根据业务需求制定的明确目标，安全领导者可以从容地驾驭前行的道路。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

John Engates - @jengates
Cloudflare 现场首席技术官

阅读本文后，您将能够了解：

接收有关最流行互联网见解的每月总结。