新业务建设 ： 可能产生风险的六种网络安全和数字信念

风险与弹性实践 新业务建设：可能产生风险的六种网络安全和数字信念 在建立新业务的竞争中，决策者经常忽略风险管理和网络安全。我们已经确定了高管经常提出的六个误解。 这篇评论是贾斯汀·格里斯，阿里·利巴里基，帕特里克·林斯基，乔伊·史密斯和马克·索雷尔的共同努力，代表了麦肯锡网络安全实践和麦肯锡数字的观点。 如果这是个好主意,就这么做吧。在世界各地的董事会中，企业家领袖明白 被忽视的领域是网络安全-保护信息系统和网络免受恶意行为者的攻击。按照目前的增长速度，估计网络犯罪成本将达到约 成功的商业建设是把言辞付诸行动。从来没有人通过举行另一次会议来创造独角兽。尽管如此，尽管商业领袖以完成工作的能力而闻名，但价值创造基因也有另一面。在急于进入市场的过程中，人们很容易忘记，世界上最成功的公司往往经受住了对其生存能力的早期威胁。事实上，我们的经验表明，在战略中建立韧性的商业领袖最有可能创造成功的主张。 到2025年，每年10.5万亿美元-比2015年增加300%。2尽管如此，决策者往往会成为“正常偏见”的受害者，或者倾向于低估潜在危险的可能性或影响，因为他们相信事情会像过去一样继续下去。换句话说，“这不会发生在我身上。” 实际上，可能。正如Equifax首席战略和营销官Julia Houston所证明的那样， 企业建设是首席执行官议程上的重中之重：在最近的麦肯锡全球调查中，十分之八的首席执行官将新企业建设列为前五名 2017年数据泄露：“每个高管都需要成为危机的学生。”3此外，考虑到在开始新企业时建立信任的重要性，没有比早期更好的时间成为学生了。 优先事项，尽管经济波动加剧。1商业领袖每年建立的新业务比两到五年前增加50％。新业务的每一美元收入产生的企业价值几乎是核心业务收入的每一美元的企业价值的两倍。 如果新业务从一开始就将风险管理学科纳入其战略和规划，网络安全几乎不可避免地将被视为潜在的灾难性威胁 尽管如此，新业务也会带来看不见的风险。例如，在数字业务建设中，通常 to its operations. When this does not happen, it is oftenvestament to the blind excitation and energy requiredto set up the business and 网络安全可以成为产品的最大功能，在消费者心中创造信任和信心，从而扩大公司在市场上的竞争优势。 麦肯锡评论-首席执行官VinnieLiu，BishopFox 与数据无关的盗窃（即勒索软件）的机会。这种转变是显而易见的，因为几乎所有公司，无论行业如何，现在不仅保护他们的资产，而且保护他们的关键运营能力-正如最近发生的涉及石油管道，海运和肉类加工等关键基础设施的事件所证明的那样。 在企业的生态系统中，跨越供应链，供应商，子公司和新孵化的企业。他们利用这些较小，受保护程度较低的目标，因为风险-回报平衡非常有利于他们。此外，这些较小的实体通常与较大的组织保持信任关系，提供可利用的切入点。 对于大多数组织而言，未能从一开始就优先考虑安全性，类似于在安装管道之前将干墙挂在建筑物中。企业的新兴趋势是买家要求The suppliers and vendors exhibs a suitable levelof centrance detaivy mattered with their stageand size. While not every security measure is强制性的，缺乏足够的保障措施不再是可以接受的。“ 另一个普遍的误解是，攻击者只对客户记录或个人数据感兴趣。地下经济已经有了很大的发展，使得任何类型的数据都有价值。信用卡详细信息和个人身份信息仅代表更广泛范围的一小部分。黑市价值链的产业化为数据类型的多样性提供了价值，同时也创造了 “在网络安全方面，一个普遍的误解普遍存在：许多人认为攻击者专门针对大型企业。然而，现实恰恰相反。攻击者已经发展到战略上专注于最薄弱的环节 科技风险一年四次或更多。5小公司面临的一个共同挑战是，领导者了解风险和网络监督的重要性，但不确定如何建立和管理所需的能力。在本文中，我们分享了反映这些观点的六个信念，研究了它们在实践中的影响，并展示了一些前瞻性公司如何应对这一挑战。 吸引新客户。但是在成功的竞争中，新公司（NewCos）错过了为未来快速扩张奠定基础的机会。 实际上，如果事先考虑并通过设计嵌入产品中，网络安全可以成为产品的最大功能，从而在消费者心中建立信任和信心，从而可以扩大公司在市场上的竞争优势。在最近的一项调查中 六个常见的信念，造成不必要的风险 超过3000名消费者，453％的人只有在确保其数据值得信赖的声誉后才从公司购买和/或使用数字服务，而40％的人在得知公司没有保护客户数据时停止使用数字服务。换句话说，在消费者心目中的购买决策时，信任和安全至关重要。 商业领袖和企业家通常会带来积极的态度，可以推动新的企业向前发展，激励他人，吸引客户的注意力。但是，这些强大的创意本能往往导致战略思维的捷径和六个常见的误解: 一些商业建设者并不相信风险管理和网络安全应该是早期的优先事项。然而，这些态度越来越面对惯例：例如，95%的董事会委员会讨论网络和 1.错误的信念：因为我们正在测试一个新概念，所以我们不需要像 麦肯锡评论-ForgepointCapital联合创始人兼董事总经理AlbertoYepez “作为我们的生活随着我们变得越来越数字化，我们通过经常在我们的移动电话和其他个人计算设备上运行的新应用程序进行工作、学习、协作和交易。 隐私测试预算降到最低。测试通常由初级资源在压力下执行，以满足激进的部署期限。 这些动态通常会为计划或新企业的整体成功带来商业风险，而良好的网络安全卫生可以减轻这种风险。网络安全是创新和增长的基础。 这些应用程序的开发人员通常最关心的是[数字]客户体验，易于部署和可用性-他们毫不犹豫地将大部分预算用于设计工作室和可用性测试。当涉及到网络安全和隐私测试时，它通常是事后才想到的，并留下了应用程序安全性和 俗话说，一盎司的预防可能抵得上一磅的治疗。 网络安全或风险管理。我们绝对不需要担心数据隐私，因为我们还没有任何客户。 保护，因此不值得将资源分配给这些领域。 现实情况：大型公司之间的网络支出和网络成熟度通常不匹配，但在启动时，每个公司都需要基本的风险管理和网络安全水平。基础知识不难实施，但确实需要经验和专业知识。和它们在产品开发生命周期内得不到解决的时间越长，将它们整合到产品中的难度和成本就越高。 现实：如果一个执行团队决定围绕一个业务概念组建一个NewCo，那么这个概念可能已经足够成熟保证对包括人才，技术和流程在内的资源的投资。这些都是容易受到网络攻击的宝贵资产。 2.错误的信念：如果我们建立流程和/或网络安全措施，我们的启动将被推迟，我们将失去优势。而其他初创公司不做网络安全，那么我们为什么要做呢？ 4.错误的信念：我们的产品人员已经控制住了。他们了解我们的主张以及不良行为者可能会威胁到它。我们的首席技术官说他知道网络控制，所以我很舒服。 现实情况：增加风险管理和网络安全将消耗时间，但不会消耗无法控制的时间。确实，一开始所需的努力将阻止最终的返工。相反，急于推出而没有结构化风险思考的NewCos可能会面临更严重的问题，例如监管罚款，数据泄露或诉讼。 现实情况：产品团队领导和团队成员的知识水平各不相同，例如，与最新的数据加密标准或安全运营中心监控解决方案有关。网络安全是一门需要专业知识的广泛学科；即使是最有经验的专业人员也寻求 3.错误的信念：在风险管理和网络安全上的支出并不能保证 麦肯锡评论-WilliamLin，AKAIdentity首席执行官兼联合创始人 多层次，包括董事会层面、首席执行官层面和客户层面。 销售、营销、工程、产品、法律和金融等领域，都不知道他们不知道的是什么。这些技能中的每一个都有一天会成为组织的基本支柱，并成为业务推动者。网络安全是最近的专业知识正在经历转型，成为推动者。 现实情况是，当从安全角度退后一步时，有许多风险可能威胁到初创公司开展业务的能力。短期的主要关注点围绕资本，跑道和执行。 在需求的层次结构中，无论是通过收入还是通过投资者，资本确实是对公司。然而，这并不是成功的唯一要求。 这为初创企业提供了一个重要的机会，让他们在旅程的早期就意识到网络安全的价值。他们可以为这些技能在组织内有机发展奠定基础，通过投资复合，并最终成为业务推动者。” 许多行业在各种专业知识成熟之前面临的问题 “在投资之后安全初创公司十年来，我已经讨论了“鞋匠的孩子没有鞋子”的风险 有效的NewCo网络安全和风险管理的策略 创新新产品和服务时，他人的意见和咨询。 网络弹性对于考虑和构建新业务至关重要。但是，您这样做的方式和速度可能与核心业务中的网络不同。考虑到这一点，战略方法和结构化的推出可以在很大程度上避免潜在的陷阱。决策者的关键是将基于风险的思维纳入更广泛的业务计划，然后认真执行以确保覆盖所有基础。以下是可以帮助阐明前进道路的关键原则： 5.错误的信念：我们很小，微不足道，但我们的父母是个庞然大物。我相信这是在我们的风险管理和网络安全之上。 现实情况：通常，母公司安全团队没有能力保护NewCo。这可能是因为技术堆栈不匹配(例如，母公司没有 一个好的经验法则是，如果一个概念值得投资，那么值得高管花时间考虑和减轻风险。此外，在快速增长的业务中，尽早参与至关重要。这意味着建立一个框架来帮助识别主要风险和缓解措施。其中一些将适用于几乎所有业务，而另一些则取决于情况。但所有这些都应该从未来的增长和用户体验的角度进行评估。 尚未转移到云端）。母公司的安全资源通常已经捉襟见肘，这意味着当需要做出决策时，它不能对NewCo给予太多关注。 6.错误的信念：我们已经有了一个工具，我们付出了很多，所以我很确定我们至少可以承担主要风险。 前瞻性NewCos将网络安全视为业务架构的核心要素。 现实：仅靠工具是不够的。需要流程，人员和技术的组合。此外，您可以购买市场上最好的工具，但其实用性是否反映了您的需求？投资后，许多NewCos没有能力利用超过80％的解决方案。 从产品构思到最终交付都嵌入其中。对于基于技术的公司来说，采用DevSecOps（开发，安全和运营）的原则是有意义的，在软件开发过程的每个阶段都集成了安全测试。工具应针对特定的运营重点领域进行定制，确保关键投资领域受到财产保护。 他们没有内部技能来实施，他们招募外部专家来提供投入，加速交付和协调控制。 找到更多这样的内容 麦肯锡见解应用程序 决策者发现解决产品/软件和企业安全性的最有效方法是确保网络专家与企业紧密合作。 父母的角色会有所不同，具体取决于 已达到推出最低可行产品阶段的企业拥有值得保护的资产、投资和建立信任目标。在这种情况下，企业风险管理和网络安全不再是可选的。即使在资源受限的环境中，投资在风险管理方面可能会提高运营弹性，并提供保证，随着业务的增长，增强对品牌的信任。 在领导参与，交叉潜力和新公司的优先事项方面。理想情况下，需要一种细致入微的协作方法，这意味着与母公司合作以达到（通常超过）既定的风险和安全标准，但只有在有意义的地方才能利用母公司的资源。 在实施方面，一个关键原则是确保风险管理和网络安全 贾斯汀·格里斯是麦肯锡芝加哥办事处的合伙人,Ari Libarikian是纽约办公室的高级合伙人,帕特里克·林斯基是圣保罗办事处的合伙人,乔伊·史密斯是费城办公室的校友Marc Sorel是波士顿办公室的合伙人.