背 景

数字时代下,随着云计算、大数据、移动互联网、5G等新兴技术与不同行业生产运营及产品服务的深度融合,一方面提升了企业的生产效率、极大地提升了用户体验。另一方面,由于数字化转型技术丰富的应用场景依赖大量关键信息技术基础设施以及重要数据,无疑增加了相关企业的网络安全风险暴露面。而企业一旦发生网络安全事件,带来的不仅仅是合规层面的问题,更直观的则是对用户体验、企业声誉、经营业绩带来显著影响。

近年来,全世界国家的企业在数字化转型背景下均持续增加在网络安全方面的投入,IDC在今年发布的《IDC全球网络安全支出指南》(IDC Worldwide Security Spending Guide)中预测,到2026年全球网络安全IT总投资规模为有望达到2,875.7亿美元,五年复合增长率(CAGR)为11.3%。国内对于网络安全的重视程度也在持续提升,伴随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及相关标准指南、行业监管条例的相继出台,网络安全在国内的热度也在持续升高。由北京网络空间安全协会、公安部第三研究所等国内权威机构合作发布的《2021年全国网民网络安全感满意度调查报告》指出,国内公民对于个人信息安全保护意识相较过往普遍增强。

随着国内乃至全世界对于网络安全重视程度的增加,用户将会对于企业提供的数字化产品或服务的网络安全能力提出更高要求,数字化产品或服务是否具备良好的网络安全能力将很大程度影响产品和服务体验以及用户满意度。因此,本文希望在此大背景之下,介绍一套能够应用于网络安全领域的竞争力分析框架,指引企业在打造数字化产品或服务时提高产品服务网络安全能力,并将网络安全能力作为产品的亮点,助力企业在激烈的数字化产品竞争格局中提升综合竞争力。

竞争力及相关理论

竞争力理论起源于国外,随着众多学者或代表人物提出了不同的与竞争力相关的理论或模型,竞争力相关理论逐渐演变形成了不同的理论流派。安永研究发现,并非所有的竞争力理论或模型都足够完整且适用于网络安全这个领域,若想要将其应用于网络安全领域,需要做进一步的对比和筛选,才能帮助企业识别和构建网络安全领域的竞争力。

下文将围绕什么是竞争力、竞争力相关理论、竞争力方法论在构建网络安全竞争力的应用这一思路,介绍竞争力理论及框架模型。

什么是竞争力?

我们先对“竞争力”相关概念作明确定义(以下定义供参考):

  • Capability(能力):使企业能够通过业务流程、组织流程执行任务或活动的一种资源。

  • Competence(竞争力):是企业通过业务流程、组织流程执行任务或活动的特定资源的组合 。

  • Core Competence(核心竞争力) :企业有价值的 、稀有的、模仿成本高的、不可替代的资源和能力,使企业达到与竞争对手相比的最高水平的客户满意度。

从上述定义可以发现,“Core Competence”核心竞争力无疑最为接近我们提出的“帮助企业构建网络安全竞争力,提升用户体验与产品综合竞争力”这一目标,故本文针对Core competence的相关理论流派与方法论展开分析,探索网络安全竞争力模型。

竞争力相关理论流派及方法论

围绕“Core Competence核心竞争力”这一概念,我们发现业界关于核心竞争力的构建的主流理论大致可以分为以下三种:

1.基于资源的观点-Resource-based view:该理论认为,企业的竞争力是其资源(resource)和能力(capabilities)的集合,内部资源是企业在进行竞争战略选择和应用时的首要考虑因素。随着时间推移,企业会获得不同的资源并发展出独特的能力,一个特定行业的竞争者之间并非拥有相同的资源和能力,企业通过识别并发展自身核心竞争力可获得超额回报。

2. 产业组织经济学理论-industrial organization economics:该理论认为,相比于内部资源和能力,外部环境特征是影响企业盈利与否的首要因素。企业业绩主要取决于一系列行业属性,包括规模经济,进入市场的障碍,产品差异以及行业集中程度,企业可通过识别最具吸引力的行业提升自身业绩。

3.利益相关者方法-Stakeholder approach:该理论下,企业可以被认为是与利益相关者签订正式社会契约的纽带,利益相关者能够影响企业战略成果,对企业组织的生存、竞争力、盈利能力影响至关重要,关心主要利益相关者的公司会更有效地运作,从而创造更多的价值。企业通过建立有效的利益相关者关系管理方法,可促进企业构建自身竞争优势,创造更多价值、获取更高回报。

上述三种不同的理论均衍生出了对应的竞争力模型(即竞争力分析框架),包括产业组织模型(I/O model)、资源基础模型( resource-based model)以及利益相关者模型(stakeholder model)

图1:不同竞争力理论流派及模型

上述三种理论流派在诞生后,业界普遍认为其各自具有其优势与局限性,下图对三种理论的共同点、区别、各自局限性进行了对比。

图2:不同理论流派对比

基于不同理论的局限性,竞争力理论研究专家J. Shaner & M. Maznevski(2011)提出:“从综合的角度来看,企业可以被看做是一组市场活动的集合、一组资源的集合以及一个关系网络集合”这一观点。因此,如果希望真正帮助企业构建竞争力,则需要将三个理论进行融合,取长补短。而当前业界有一种著名的竞争力方法论,即competing for advantage model(下文简称CFA模型)正是通过将三种理论相结合,从而构建出的竞争力模型,规避了单独理论视角带来的局限性,因此, CFA模型可以作为企业构建网络安全竞争力的核心指导方法论

图3:CFA方法论与不同理论流派及模型的关系

什么是CFA方法论?

CFA方法论的来源于Competing for advantage第三版,是由ROBERT E. HOSKISSON、MICHAEL A. HITT、R. DUANE IRELAND和JEFFREY S. HARRISON四位MBA的资深教授所撰写,旨在为企业高管角色提供战略思维的指导思想。

图4:CFA方法论内容框架

CFA方法论首先指导企业从三个不同维度开展竞争力分析,产业组织维度分析可以为企业摸清行业需求提供基础方向,利益相关者维度分析用于考量不同角色对于企业构建竞争力的参考依据,而资源能力维度则指导企业挖掘内部优势,提供核心支持。

其次,将分析结论带入SWOT模型,通过产业组织维度分析产生环境的机会与威胁因素,通过内部资源维度分析得到企业内部优势与劣势,结合利益相关者的实际影响,从而综合考虑企业竞争力策略构建方向。

最后,CFA方法论在指导企业选择合适的竞争策略后,对于策略实施,策略监督和调整同样给出了详细的指导。但由于该部分内容很大程度依赖企业的内部情况,因此本文不再做过多介绍。

CFA方法论在网络安全领域的应用

在了解CFA方法论在构建企业竞争力时的框架思路后,要将CFA方法论用于构建网络安全竞争力,需要对CFA方法论进行拆分,再带入网络安全行业的特征进行具体分析,下文对如何将CFA方法论应用于网络安全领域进行介绍。

图5:CFA方法论在网络安全领域的应用思路

从产业组织维度,分析宏观环境中发展网络安全的机会与威胁。

进行产业维度分析时,重点关注与网络安全相关的宏观环境因素,例如人口、经济、法律、社会、技术、政治环境等因素。

例如,企业可以通过PEST分析法对其自身所处的宏观环境因素进行分析,从而对提高产品网络安全竞争力时,环境中存在的机会和威胁产生较清晰的认知。

  • PEST分析法

PEST分析是宏观环境分析框架,在分析一个企业集团所处的环境特征时,通常是通过政治(politics)、经济(economy)、技术(technology)、社会(society)这四个因素来分析企业集团当前所处的环境。

进行PEST分析时,建议企业事先充分洞察熟悉行业背景,从而保证分析结果的客观性与真实性。在进行网络安全及相关行业所处环境的PEST分析时,在政治因素方面,企业可以从与网络安全相关的法律法规、部门监管、国际环境、政企合作情况等方面入手;进行经济因素的分析时,企业可以从网络安全及相关产业规模、市场份额、竞争对手、进出口业务、宏观经济形势等方面展开剖析;进行社会层面的分析时,企业则可以从公民的网络安全意识、人才培养、教育资源分配等方面进行研究;科技方面,企业则可以从网络安全相关技术成熟度、新兴技术迭代情况等方面入手,分析当前所处的技术环境。

从内部资源维度,识别企业网络安全核心竞争力

四要素理论作为从内部资源维度识别核心竞争力的关键依据,只有当某个网络安全能力(capabilities)满足了价值性、稀缺性、难以复制性、不可替代性这四个要素才可以被视为一种与安全相关的核心竞争力(core competencies)。

图6:四要素理论框架

四要素理论作为一套判断标准,当实际在判断一种网络安全能力(capability)是否具有价值性、稀缺性、难以复制性、不可替代性时需要根据企业自身实际具备的资源及能力情况进行判断。下面对四要素的判断依据进行了细化,可供相关企业参考建立适合自己的判断标准。

图7:四要素理论框架细化示例

从利益相关者维度,形成更具针对性的网络安全竞争力策略

利益相关者理论由众多学者理论发展演变而来,其中以Edward Freeman的理论最为著名,总体包括利益相关者识别、分类、排序,最终针对高优先级的利益相关者对竞争策略进行适当优化,指导企业在制定和实施竞争策略的过程中维护利益相关者间的关系。安永结合现有研究成果对该方法进行了整理和细化,见下图:

图8:利益相关者维度分析过程

基于上述方法,以监管部门这一利益相关者为例。我国的工信部、网信办作为政府监管部门,拥有制定网络安全有关要求、监督企业落实的权利,针对在国内运营的相关企业有绝对的影响力,故可将其识别为网络安全领域的利益相关者。在分类阶段,工信部作为国家机构,曾有过与企业签署战略合作协议的先例,并且因其不参与市场竞争,是非营利性组织,所以其具有较大的合作潜力和较小的竞争威胁可能性,所以将其归纳为支持性利益相关者。在优先级排序方面,因其在网络安全领域具有制定监管条例和监督的权力,因此其影响力较高。另外,由于监管条例即颁布之日起便已生效,因此企业对于其要求都应迅速做出反应,紧急性较高。综合上述因素,该利益相关者优先级排序较高。企业在制定调整竞争策略时可以着重考虑主动寻求合作,满足其要求及期望,从而促进良好的合作关系。

综合分析结果,构建网络安全竞争力

企业通过PEST以及四要素方法论对外界宏观环境以及企业内部网络安全相关能力进行分析,识别出可以作为核心竞争力的网络安全能力以及外部环境中发展网络安全的机会与潜在威胁。借助SWOT模型,总结内部的优势、劣势、机会与威胁,从而考虑将内部优势与外界环境中的机遇进行结合形成竞争策略,利益相关者分析的结果可以帮助企业洞察利益相关者的需求与期望,使得竞争策略更具针对性。

图9:综合分析思路

在当今网络安全重视程度持续增加的情况下,相关数字化转型企业应运用战略性视角看待网络安全的重要性。特别的,对于提供数字化产品或服务的企业,网络安全已经不再停留在传统的合规层面,而是逐渐成为客户选择产品或服务的关键要素。所以,构建网络安全竞争力,将助力企业在激烈的数字化产品竞争格局中提升综合竞争力。

参考文献:

1.Competing for advantage ROBERT E. HOSKISSON、MICHAEL A. HITT、R. DUANE IRELAND和JEFFREY S. HARRISON

声明:本文来自安永EY,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。