עזוב את תקציב האבטחה! מצא יעילות להפחתת סיכונים

לפי KPMG, 91% מהמנכ"לים בארה"ב מאמינים שארה"ב הולכת לקראת מיתון. קיצוץ עלויות כבר מתרחש בחברות רבות.

CXOs המחפשים דרכים להדק את החגורות שלהם עשויות להיסלח על הסתכלות ממושכת על תקציבי האבטחה שלהם, שכן גרטנר צופה הוצאות על טכנולוגיות ושירותי אבטחה לגדול מדי שנה ב-11% בארבע השנים הבאות. עם זאת, אם התדירות והעלות של תוכנות כופר והתקפות סייבר אחרות לא נותנות להן הפסקה, דרישות רגולציה ותאימות מתפתחות במהירות. כתוצאה מכך, מנהלים רבים בוחנים דרכים לייעל ולתעדף מחדש, במקום לצמצם, את תקציבי האבטחה שלהם.

האיומים הולכים וגדלים בתדירות והשפעה

בעוד שקצב התקפות כופר הואט ב-2022, הם חזרו עם נקמה. Chainalysis מנבא שתשלומי תוכנת הכופר יכולים להגיע לכמעט 900 מיליון דולר בשנת 2023, עלייה של 45% משנה לשנה. ומספר כל ההפרות ממשיך לעלות - פונמון מדווח הפרצה הממוצעת עולה כעת 4.45 מיליון דולר, עלייה של למעלה מ-15% מאז 2020.

עם זאת העלות האמיתית של התקפת תוכנת כופר יכולה לעלות בהרבה על הכופר בפועל. החל מזמן השבתה ועד לתיקון המערכת ופגיעה במוניטין, הפרות יכולות להשפיע לרעה על חברות במשך שנים. כתוצאה מכך, במקום לקצץ בתקציבי האבטחה, 51% מהארגונים מתכננים להגדיל את ההשקעות באבטחה, במיוחד עבור תכנון ובדיקות תגובה לאירועים, הדרכת עובדים וכלי זיהוי ותגובה של איומים.

דרישות רגולציה ותאימות משנות משחק

הרשות לניירות ערך הודיעה לאחרונה תקנות גילוי ודיווח בנושא אבטחת סייבר אמור לשמש גם קריאת השכמה לחברות רבות. הכללים החדשים מחייבים חברות ציבוריות לחשוף את כל הפרות הסייבר המהותיות בתוך ארבעה ימים. יתר על כן, ארגונים חייבים לפרסם את גישות ניהול סיכוני הסייבר, האסטרטגיה והממשל שלהם בדוחות השנתיים שלהם.

לא רק ה-SEC מחמיר את התקנות. הדור הבא של PCI 4.0 נמצא באופק, וכך גם FedRAMP Rev. 5. גם העלויות העסקיות בגין אי ציות לרגולציה הופכות משמעותיות יותר, מכיוון שחברות צריכות לצפות לקנסות או סנקציות מוגדלות. גרוע מכך, רמות גבוהות יותר של שקיפות ודיווח פירושה שהפרות (ותגובת החברה) יפורסמו ברבים וינותחו בפירוט. ארגונים ללא תגובות אבטחה אפקטיביות, מתואמות היטב ותואמות את התנאים עלולים לחוות נזק למוניטין, אובדן לקוחות והערכות שווי נמוכות יותר של מחירי המניה.

שינויים רגולטוריים אלה מצביעים על הגדלת הוצאות האבטחה ולא קיצוצים בתקציב. ארגונים יצטרכו לחדש תהליכים, ערכות כלים ופרוטוקולי דיווח לשפר את התגובה לאיומי אבטחת הסייבר ואת רמת המומחיות שלהם באבטחה. לפי PwC, חברות רבות אינן מוכנות למעבר.

מציאת יעילות בתקציבי IT ואבטחה

כחלופה להפחתת תקציבי האבטחה, ארגונים צריכים לחפש הזדמנויות כדי למנוע חוסר יעילות ועלויות מיותרות:

• זיהוי כפילות ובזבוז. ביקורת תשתית מפורטת יכולה לגלות הזדמנויות לצמצום או להקצות מחדש הוצאות. לדוגמה, האם יש יישומים שניתן לפרוש או נכסי חומרה שניתן לבטל או לאחד? האם ניתן להפחית את דמי האחזקה או הרישוי או לנהל משא ומתן מחדש?
• תעדוף להשפעה. נוף האבטחה המשתנה במהירות גורם לכך שסדרי העדיפויות הממומנים בשנה שעברה עשויים שלא לספק את אותן תוצאות בתקציב של השנה הבאה. תעדוף ומימון הנושאים המובילים (וקיצוץ משאבים ליוזמות משניות) יכולים לעזור להקצות מחדש מימון אבטחה להשפעה הגדולה ביותר.
• האץ את אימוץ הענן. מעבר לענן יכול להוזיל את עלויות התשתית, להפחית את דרישות הניהול ולהאיץ את זמני הפיתוח וההשקה של יישומים. הגירת ענן יכולה גם להפחית את עלויות ההון ומשאבי האנוש.

שילוב של NOC ו-SOC - שינוי אסטרטגי

המעבר לענן שם דגש רב יותר על ניהול תוכנה כשירות (SaaS), בניגוד לתשתית מסורתית. שילוב פונקציות מרכז תפעול רשת (NOC) ומרכז תפעול אבטחה (SOC) יכול לייעל את ניצול המשאבים ולהוזיל עלויות. שילוב זה גם מקדם נראות ושיתוף פעולה משופרים ומספק הקשר רחב יותר לניתוח תקריות משופר.

איחוד ה-NOC וה-SOC הוא שינוי משמעותי שיכול להשפיע על הדיווח, המבנה הארגוני ואפילו תרבות החברה. זה יכול לספק יתרונות פיננסיים ותפעוליים ניכרים אך דורש מחויבות חזקה מלמעלה למטה מהצוות ההנהלה.

האבטחה נשארת בעדיפות עליונה

בעוד שארגונים מחפשים דרכים לצמצם עלויות בכלכלה לא בטוחה, הם גם מתמודדים עם התקפות סייבר תכופות והרסניות יותר ונוף רגולטורי המשתנה במהירות. מציאת יעילות ותעדוף מחדש של משאבים, במקום קיצוץ בתקציבי אבטחה, יכולים לעזור לחברות להפחית סיכונים ולשמור על תשתית אבטחה יעילה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/risk/hands-off-the-security-budget-find-efficiencies-reduce-risk