#main-nav-header { display:none; }

將網路安全與戰略性商業價值聯繫起來

長期以來，企業領導者一直狹隘地將網路安全視為風險和威脅管理。他們的重點一直放在投入上——投資於最新工具、人員和控制措施，以抵禦攻擊者。然而，儘管這些能力確實有其必要，但這種思維模式卻未能將網路安全工作與實際的策略性企業價值連結起來。

安全團隊通常採取被動應對的戰術，緊追每一種新型惡意程式碼或攻擊。他們忙於部署最新的 AI 系統或先進的防火牆，卻很少停下來思考：「這些工作如何幫助我們實現最重要的組織目標？」

正是由於不問這個根本問題，安全團隊有時難以合理分配資源，難以維持長期戰略重心，更難以在管理階層中佔據重要地位。若要提升安全安全在企業戰略中的角色，安全領導者必須從根本上轉變思維，將焦點放在定義並達成能與企業優先目標相契合、甚至推動這些目標的積極成果上。

成果是指有效安全措施所帶來的實質成果，例如：

而投入是為了保障組織安全而進行的投資，例如工具、技術、訓練和人員。投入是組織發展的關鍵基石。而成果則是這些投資實際帶來的成果。

可以把「投入」與「成果」的關係，想像成開車的過程。先進的安全氣囊、煞車系統和導航功能，都是很有價值的「投入」。但如果您不知道自己要去哪裡（也就是您的目的地），那這些功能其實幫不上什麼忙。安全團隊需要清楚知道他們正引導企業前往何方，而「成果」正是提供這個方向的關鍵。

我發現，定義網路安全戰略成果最有效的方法是逆向思考。這種方法首先設想您的最終目標，然後確定需要採取哪些措施才能逐步實現目標。

舉例來說，假設您希望在一年後將企業因網路事件而遭受的干擾降到最低。有哪些可衡量的成果能夠證明您已達成這個目標？這些可能包括：

在明確這些成果之後，您現在可以從目標倒推，去瞭解實現這些成果所需的能力與資源。哪些工具或技能可以縮短回應時間與停機時間？哪些存取控制與備份機制能有效避免支付贖金？

逆向思維法能夠清楚地聚焦目標。您可以從企業目標入手，而不是陷入被動的策略。

在證明安全投資合理性的過程中，常見的挑戰在於如何將其與企業真正重視的事項建立連結。安全領導者必須將投資所帶來的成果直接對應到組織的優先目標與任務上。

例如，如果頂層目標包括快速擴展到新市場和加速產品開發，則相關成果可能是：

這確保了安全工作能夠成為推動力，而非阻礙因素。將資源投入有助於支援或推動關鍵成果的能力上，更容易獲得合理的回報。

成果也必須能夠透過指標與 KPI 進行量化。不要只是籠統地說「我們將降低風險」，而是應該明確定義為「在下一個財政年度內，將我們的整體網路風險分數從 78 分降低至 68 分」。這樣才能對進展情況進行實際的測量與評估。

能夠橫跨技術、財務與業務等多個層面的指標是最理想的：

執行效益實現分析可以進一步量化在提高生產力、品牌聲譽和合規性等領域的好處。

確定了明確的成果後，真正的工作就開始了——找到合適的人員、工具和技術組合，來實現這些目標。這需要將安全戰略與實際執行緊密結合。

AI 和自動化等新技術確實能帶來極大的助益，但前提是必須有明確的目標導向，專注於推動具體的成果，例如加快回應速度或減少外洩事件。否則，即便是最先進的工具，也可能淪為浪費預算的擺設。

有時，最佳措施並非購買熱門的新網路功能，而是精簡或移除那些分散注意力的工具。將重複的廠商整合到統一的平台上，可以釋放先前在整合和維護上浪費的預算和頻寬。

透過指標持續追蹤進度，能夠提供關鍵回饋，從而改善方法和投資。如果特定功能未能推進優先成果，則可能需要重新考慮或重新配置。這種衡量方法能夠協助制定敏捷且不斷發展的安全策略。

我們的焦點依然牢牢鎖定在實現那些能創造商業價值的既定目標上。有了這個明確的方向（北極星）指引決策，安全領導者就能夠自信地面對前方曲折的道路。

將網路安全的重點從獲取投入轉向實現成果，對於提升其戰略作用至關重要。企業領導者需要安全團隊對支援組織使命的實質成果負責。

這種對積極業務影響的外部關注，也有助於在 IT、財務、行銷、法務和其他部門之間建立至關重要的內部合作關係。它促進協作，從而推動安全成果，最終實現企業整體目標。

最後，即使在混亂時期，專注於結果也能帶來清晰的方向。新的威脅將不斷出現，投資也必然伴隨風險。但只要有了這些根植於企業需求的明確目標，安全領導者就能自信地指引未來的道路。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其一。

John Engates — @jengates
Cloudflare 現場技術長

閱讀本文後，您將能夠瞭解：

收到最熱門網際網路深入解析的每月回顧！