Ręce precz od budżetu na bezpieczeństwo! Znajdź efektywność zmniejszającą ryzyko

Zdaniem KPMG, 91% dyrektorów generalnych w USA uważa, że ​​USA zmierzają w stronę recesji. W wielu firmach trwają już cięcia kosztów.

CXO szukającym sposobów na zaciśnięcie pasa można wybaczyć to, że długo przyglądają się swoim budżetom na bezpieczeństwo, ponieważ Gartner prognozuje, że wydatki na technologie i usługi bezpieczeństwa wyniosą w ciągu najbliższych czterech lat będzie rosnąć o 11% rocznie. Jeśli jednak częstotliwość i koszt oprogramowania ransomware i innych cyberataków nie dają spokoju, powinny to zrobić szybko zmieniające się wymogi regulacyjne i dotyczące zgodności. W rezultacie wielu menedżerów szuka sposobów usprawnienia i zmiany priorytetów, a nie ograniczania swoich budżetów na bezpieczeństwo.

Zagrożenia o rosnącej częstotliwości i wpływie

Chociaż tempo ataków oprogramowania ransomware spadło w 2022 r., powracają one ze zdwojoną siłą. Analiza łańcuchowa przewiduje że płatności za oprogramowanie ransomware mogą osiągnąć prawie 900 milionów dolarów w 2023 r., co oznacza wzrost o 45% rok do roku. A liczba wszystkich naruszeń wciąż rośnie — Ponemon raportuje średnie naruszenie kosztuje obecnie 4.45 mln dolarów, co stanowi wzrost o ponad 15% od 2020 r.

Jednak prawdziwy koszt ataku ransomware może znacznie przekroczyć rzeczywisty okup. Od przestojów po naprawę systemu i utratę reputacji – naruszenia mogą mieć negatywny wpływ na firmy przez lata. W rezultacie zamiast ograniczać budżety na bezpieczeństwo, 51% organizacji planuje zwiększyć inwestycje w bezpieczeństwo, szczególnie w zakresie planowania i testowania reakcji na incydenty, szkoleń pracowników oraz narzędzi do wykrywania zagrożeń i reagowania.

Zmieniające reguły gry wymagania prawne i dotyczące zgodności

Niedawno ogłosiła to Komisja Papierów Wartościowych i Giełd regulacje dotyczące ujawniania i raportowania cyberbezpieczeństwa powinno także pobudzić do działania wiele firm. Nowe przepisy nakładają na spółki publiczne obowiązek ujawniania wszystkich istotnych naruszeń cyberbezpieczeństwa w ciągu czterech dni. Co więcej, organizacje muszą publikują swoje strategie i podejścia do zarządzania ryzykiem cybernetycznym, strategię i zarządzanie w swoich rocznych raportach.

Nie tylko SEC zaostrza przepisy. Na horyzoncie pojawia się PCI 4.0 nowej generacji, podobnie jak FedRAMP Rev. 5. Koszty biznesowe wynikające z nieprzestrzegania przepisów również stają się coraz bardziej znaczące, ponieważ firmy powinny spodziewać się wyższych kar lub sankcji. Co gorsza, podwyższony poziom przejrzystości i raportowania oznacza, że ​​naruszenia (i reakcja firmy) będą upubliczniane i szczegółowo analizowane. Organizacje bez skutecznych, dobrze skoordynowanych i zgodnych z przepisami rozwiązań w zakresie bezpieczeństwa mogą doświadczyć utraty reputacji, utraty klientów i niższych wycen akcji.

Te zmiany regulacyjne sugerują raczej zwiększone wydatki na bezpieczeństwo niż cięcia budżetowe. Organizacje będą musiały zmodernizować procesy, zestawy narzędzi i protokoły raportowania w celu poprawy reagowania na zagrożenia cyberbezpieczeństwa i poziomu ich wiedzy specjalistycznej w zakresie bezpieczeństwa. Według PwCwiele przedsiębiorstw jest źle przygotowanych na transformację.

Znajdowanie efektywności w budżetach IT i bezpieczeństwa

Alternatywą dla zmniejszania budżetów na bezpieczeństwo organizacje powinny wykorzystywać możliwości eliminowania nieefektywności i kosztów zewnętrznych:

• Identyfikuj powielanie i marnotrawstwo. Szczegółowy audyt infrastruktury może odkryć możliwości ograniczenia lub realokacji wydatków. Na przykład, czy istnieją aplikacje, które można wycofać lub zasoby sprzętowe, które można wycofać z użytku lub skonsolidować? Czy można obniżyć lub renegocjować opłaty eksploatacyjne lub licencyjne?
• Priorytetem jest wpływ. Szybko zmieniający się krajobraz bezpieczeństwa oznacza, że ​​priorytety finansowane w zeszłym roku mogą nie przynieść takich samych rezultatów w przyszłorocznym budżecie. Ustalenie priorytetów i finansowanie najważniejszych kwestii (oraz ograniczenie zasobów na inicjatywy drugorzędne) może pomóc w przeniesieniu środków na bezpieczeństwo w celu uzyskania największego wpływu.
• Przyspiesz wdrażanie chmury. Przejście do chmury może obniżyć koszty infrastruktury, zmniejszyć wymagania dotyczące zarządzania oraz przyspieszyć tworzenie i wdrażanie aplikacji. Migracja do chmury może również obniżyć koszty kapitałowe i ludzkie.

Połączenie NOC i SOC — zmiana strategiczna

Przejście do chmury kładzie większy nacisk na zarządzanie oprogramowaniem jako usługą (SaaS) w przeciwieństwie do tradycyjnej infrastruktury. Integracja funkcji centrum operacji sieciowych (NOC) i centrum operacji bezpieczeństwa (SOC) może zoptymalizować wykorzystanie zasobów i obniżyć koszty. Integracja ta promuje również lepszą widoczność i współpracę oraz zapewnia szerszy kontekst dla lepszej analizy incydentów.

Konsolidacja NOC i SOC to znacząca zmiana, która może mieć wpływ na raportowanie, strukturę organizacyjną, a nawet kulturę firmy. Może przynieść znaczne korzyści finansowe i operacyjne, ale wymaga silnego, odgórnego zaangażowania ze strony zespołu wykonawczego.

Bezpieczeństwo pozostaje najwyższym priorytetem

Organizacje szukają sposobów na cięcie kosztów w niepewnej gospodarce, ale stają w obliczu częstszych i bardziej niszczycielskich cyberataków oraz szybko zmieniającego się otoczenia regulacyjnego. Znalezienie efektywności i zmiana priorytetów zasobów zamiast ograniczania budżetów na bezpieczeństwo może pomóc firmom zmniejszyć ryzyko i utrzymać efektywną infrastrukturę bezpieczeństwa.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/risk/hands-off-the-security-budget-find-efficiencies-reduce-risk