Gartner发布CIO网络安全指南：设定三大战略目标强化网络安全价值

网络安全价值是无形的，但对组织的成功至关重要。首席信息官可以通过制定战略目标并进行与首席执行官优先事项相符的直接投资来提升网络安全价值。

主要发现

• 网络安全的战略目标明确了价值，包括保护、优化和改造组织。

• 以战略目标为导向的网络安全投资能够支持超越风险的业务价值。

建议

• 通过设定网络安全的战略目标来与 CEO 的优先事项保持一致。

• 通过引导投资和衡量影响来提高网络安全价值。

概述

网络安全的无形价值与知识产权、商业机密和品牌资产的无形价值相似。其价值看不见摸不着，但对组织的成功至关重要。首席信息官可以通过与首席执行官的优先事项更加紧密地保持一致来增强网络安全的无形价值。网络安全的主要作用是降低风险。但网络安全价值故事往往始于风险，终于风险，而事实并非如此。首席执行官和董事会真正关心的只有三件主要的事情：收入（增长）、成本和风险。首席执行官优先考虑的是增长，其次是成本，风险则排在最后（见图1）。

图 1：网络安全价值与 CEO 的优先事项并不完全一致

首席信息官可以通过采取以下两个步骤来增强网络安全价值：

• 通过设定网络安全的战略目标来与 CEO 的优先事项保持一致。

• 通过将投资导向战略目标来提高网络安全价值（见图 2）。

图 2：设定战略目标并直接进行网络安全投资

CIO 应该：

• 通过设定“保护”的战略目标来维持强大的风险缓解基础。

• 如果首席执行官优先考虑成本、生产力和速度，则推进“优化”的战略目标。

• 如果首席执行官优先考虑增长，那么战略雄心就会一路推进到“转型”。

分析

设定网络安全战略目标

“保护”、“优化”和“转型”网络安全战略目标是指导组织安全方法的长期愿景。设定网络安全战略目标有助于首席信息官与首席执行官在收入和成本方面的业务重点更加紧密地保持一致。每个级别的战略目标都建立在前一个级别的基础上。没有哪个网络安全战略目标比其他目标更好。有些首席信息官可能设定了“保护”的战略目标，而有些首席信息官甚至可能同时设定了“保护”、“优化”和“转型”三个目标。

保护

网络安全的首要和最重要的目的是提供威胁防护，并最大限度地减少损害或未经授权的访问。这是“保护”战略目标的重点。

它将变得越来越具有挑战性，可能需要大量的转型和投资。尽管网络威胁瞬息万变，但必须在保护需求与成本之间取得平衡。网络安全保护和监管合规极其困难。它将变得越来越具有挑战性，可能需要大量的转型和投资。尽管网络威胁瞬息万变，但必须在保护需求与成本之间取得平衡。

众所周知，网络安全保护对于维持运营、保护客户和公民、限制财务损失以及防范中断至关重要。然而，人们不太了解的是，网络安全的作用远不止降低风险。

建议

• 将网络安全保护视为最重要的战略目标。

• 通过确定 CEO 的成本优化优先事项来评估超越“保护”的必要性。

优化

如果 CEO 高度重视成本，那么 CIO 应该将战略抱负扩展到风险缓解之外，以实现优化。

优化的战略目标涵盖了首席信息官为保护组织所做的一切工作。它不仅如此，还支持生产力、成本、速度、员工和客户安全以及利益相关者的信任。

建议

• 当首席执行官想要降低运营费用、提高生产力和/或提高速度时，提前实现战略优化。当首席执行官想要降低运营费用、提高生产力和/或提高速度时，提前实现战略优化。

• 通过确定 CEO 的收入增长优先事项来分析超越必要性。通过确定 CEO 的收入增长优先事项来分析超越优化的必要性。

转型

如果增长是CEO的首要业务重点，CIO就应该拓展战略雄心，以实现转型。转型的战略雄心涵盖了CIO为保护和优化组织所做的一切工作。转型更进一步，旨在帮助CEO实现市场份额、盈利能力和/或收入的增长。

在Gartner 2025年CEO和高级业务主管调查中，认为网络安全是实现业务增长的关键要素。网络安全与增长之间的联系是三大战略目标中最为关键却又最不为人理解的。网络安全不会直接为网络安全市场以外的大多数组织创造收入增长。但它确实提供了间接支持，这对于希望提高收入增长的CEO来说至关重要。大多数CEO对此表示认同。在Gartner 2025年CEO和高级业务主管调查中，85%的受访者认为网络安全是实现业务增长的关键要素。

基于网络安全的信任和差异化是支持增长的最一致但效果最差的方式。人们很容易相信，基于网络安全的信任通过更强的品牌声誉、客户获取、净推荐值、忠诚度和合作伙伴关系来推动增长。这些断言的问题在于，首席执行官们并没有将信任视为促进增长的首要任务。强大的网络安全是客户、合作伙伴、监管机构、投资者和员工开展业务的基本期望。

在竞争激烈的市场中，如果竞争对手也符合安全标准，信任就难以脱颖而出。在第三方风险成为主要考量因素的情况下，缺乏网络安全能力可能会使提供商失去资格，但这很少成为选择提供商的原因。许多消费者更看重便利性和成本，而非安全性，因此基于信任的差异化对增长的影响微乎其微。信任和网络安全往往成为应对违规行为的焦点，而非主动的增长战略。相比信任，网络安全能够助力人工智能创新、数字化转型、新市场进入、并购和资产剥离，从而为支持和保障增长提供更好的机会。

建议

• 如果首席执行官优先考虑收入增长、市场扩张和通过并购实现增长，那么就需要推进“转型”的战略雄心。

• 通过展示网络安全如何推动人工智能创新和数字化转型，创造最强大但最不为人理解的增长故事。

直接网络安全投资和衡量影响

设定网络安全战略目标并不会自动使CIO与CEO的优先事项保持一致。CIO可以通过将投资导向其设定的、与CEO优先事项保持一致的战略目标，从而实现更高的网络安全价值（参见图3）。

图 3：面向战略目标的直接网络安全投资

让我们看一下 CEO 在风险、成本和增长方面的优先事项的例子，以及 CIO 如何指导网络安全投资和衡量影响（见表1 ）：

• 如果风险是CEO的首要任务，那么首席信息官就应该设定网络安全的战略目标。如上所述，所有首席信息官都需要保护作为网络安全的基础。这一战略目标的目标之一可能是避免声誉受损。首席信息官可以引导网络安全投资，通过部署深度伪造音频检测技术，结合其他风险信号，来提升生物识别语音识别的弹性，以阻止攻击。衡量这项投资效果的网络安全成果驱动指标可以是事件补救时间。

• 如果成本管理是CEO的首要任务，CIO应该将战略目标从“保护”提升到“优化”。这一战略目标的目标之一可能是提高员工生产力。CIO可以将网络安全投资导向减少网络安全引发的摩擦。这可能包括购买多因素身份验证 (MFA) 工具，以减少员工登录时间。衡量这项投资影响的网络安全成果驱动指标可以是员工每天在 MFA 上花费的时间。

• 如果增长是CEO的首要任务，首席信息官应该将战略目标从优化提升到转型。这一战略目标的目标之一可能是支持并购带来的增长。首席信息官可以引导网络安全投资，以确保资产的安全转移。衡量这项投资影响的网络安全成果驱动指标可以是安全转移资产的百分比。

表 1： 将网络安全投资导向战略目标，实现更强的网络安全价值（示例）

网络安全的战略目标	业务目标（示例）	如何引导网络安全投资 （示例）
保护	遵守法规	针对符合 NIST 网络安全框架 (CSF) 或 ISO 27002 的新监管要求或战略合规计划启动差距评估。
保护	支持品牌和声誉	通过部署深度伪造音频检测并结合其他风险信号来阻止攻击，从而提高生物特征语音识别的弹性。
保护	维护利益相关者的信任	实施、基准测试和传达结果驱动指标，以支持利益相关者的防御能力和保护利益相关者利益的责任。
优化	提高员工生产力	通过消除无意的控制冗余和建立用户友好的异常请求流程来减少网络安全引起的摩擦。
优化	优化成本	通过与基础设施和运营部门合作，尽可能实现安全和运营流程自动化，提高效率并减少手动工作量。
优化	提高速度	利用支持自动响应触发器和立即指导如何逐步解决问题的网络安全人工智能助手。
优化	提高开发人员速度	与软件工程领导者合作，简化开发过程的安全方面，并共同定义部署频率的结果驱动指标。
优化	缩短添加新供应商的周期时间	与采购领导者合作，简化第三方风险评估并减少添加新供应商的时间。
优化	支持员工和客户的安全	与数据和分析领导者合作，提供匿名、抽象或合成数据，以提高试点和测试的质量。
转型	以增长为重点的人工智能创新	保护用于训练和操作的大型数据集，防止其遭到泄露、未经授权的访问和篡改。尽可能提供合成数据。 保护与人工智能算法相关的知识产权，这些知识产权可能成为盗窃或逆向工程的目标。 ·         与人工智能领导者共同制定人工智能项目的结果驱动指标（例如，交付人工智能功能的时间、批准用于 GenAI 应用程序的数据资产的百分比）。
转型	数字化转型	保护新的数字平台、应用程序和服务免受攻击、漏洞和未经授权的访问。 提供强大的网络安全措施来保护传输中的数据并防止泄露。 通过安全编码实践和监管机构安全测试开发应用程序，以通过数字创新实现更快、更安全的增长。 利用用户身份验证系统来保障数字创新。 利用访问控制机制来保护用户帐户和敏感信息。 与数字领导者共同制定数字能力的结果驱动指标（例如数字收入、消费水平/重复使用）。
转型	新的地理市场	遵守当地的数据保护和隐私法，以避免与当地监管机构发生冲突，从而扰乱运营或损害组织的声誉。 实现安全的本地支付和其他交易和通信。 利用运营技术网络安全来保护新地理市场的设施和物理流程。
转型	合并与收购（M&A）	在交易前、交易中和交易后保护数据和系统，确保集成安全。这有助于确保交易的价值和成本。 利用网络安全结果驱动指标来评估目标并确保估值反映公司的真实价值（请参阅使用结果驱动指标进行并购网络安全尽职调查）。 通过保护敏感数据和知识产权并确保资产安全转移来实现并购（参见使用结果驱动指标管理资产剥离中的网络安全）。
转型	为客户提供网络安全服务	Target（零售）通过其网络融合中心 (CFC) 提供开源解决方案。例如，Merry Maker 可以打击数字盗刷威胁。 摩根大通（银行）设有网络安全意识团队，为客户提供网络安全教育。此外，它还设有欺诈预防团队，负责监控交易中是否存在异常活动，并在发生欺诈时提供实际支持。此外，它还设有客户服务团队，负责评估异常互动，以发现可疑行为。 波音公司（制造业）建立了企业 C-SCRM 计划，以应对针对供应商、客户审计和新制定的监管要求的网络攻击呈指数级增长。

建议

• 通过将网络安全投资导向并购或人工智能驱动的增长等特定目标，实现既定的战略目标。

• 通过建立结果驱动的指标来衡量网络安全投资的影响。