Эксперт говорит, что компании должны внедрять бюджеты кибербезопасности, ориентированные на рентабельность инвестиций

Эксперт говорит, что компании должны внедрять бюджеты кибербезопасности, ориентированные на рентабельность инвестиций

4 августа 2023 г.
Откройте для себя новые модели, используемые для распределения бюджетов безопасности, которые эффективны там, где традиционные и устаревшие процессы терпят неудачу.

Согласно недавнему отчету Forrester, бюджеты на кибербезопасность выросли после длительного сокращения бюджета и экономической неопределенности. Тем не менее, компании изо всех сил пытаются бороться с угрозами кибербезопасности и обеспечивать безопасность своих компаний.

Отчет Scale «Перспективы кибербезопасности 2023» показывает, что большинство предприятий (71%) сталкиваются с тремя или более инцидентами безопасности, что на 51% больше, чем в 2022 году. Команды безопасности борются с нехваткой кадров, перегружены предупреждениями и не могут найти нужные инструменты, несмотря на то, что бюджеты на безопасность увеличиваются в среднем на 20 % на крупных предприятиях и на 5 % на средних предприятиях.

Проблема, похоже, в недостаточном финансировании, но для Иры Винклер, директора по информационной безопасности CYE Security, она сводится к тому, как определяются и распределяются бюджеты на кибербезопасность. CYE — это платформа SaaS, которая предлагает экспертные консультации для лидеров в области безопасности, чтобы максимизировать стратегии и инвестиции в кибербезопасность.

20 июля я посетил Северо-восточный виртуальный саммит по кибербезопасности, чтобы узнать о новых методах, которые можно использовать для успешного изменения способа распределения бюджетов на кибербезопасность.

Перейти к:

    Смена устаревшего мышления на модели, ориентированные на бизнес Получение одобрения от руководителей и советов директоров Бюджеты кибербезопасности, ориентированные на рентабельность инвестиций Заключительные мысли: расстановка приоритетов

Смена устаревшего мышления на модели, ориентированные на бизнес

На саммите Винклер объяснил, что индустрия кибербезопасности перешла от защиты программного и аппаратного обеспечения в рамках подхода к управлению информационными ресурсами к защите информации, которая проходит через системы, с появлением главных сотрудников по информационной безопасности. Однако компании по-прежнему распределяют бюджеты на кибербезопасность с устаревшим мышлением.

Экономика кибербезопасности, оценка кибербезопасности и модели подхода к рискам — это новые области, которые могут количественно определять риски, контрмеры и окупаемость инвестиций для обеспечения максимальной безопасности системы и минимизации потерь. Однако они плохо изучены и не применяются.

    Экономика кибербезопасности — это исследование экономических издержек и выгод кибербезопасности. Он направлен на то, чтобы понять, как организации могут принимать оптимальные инвестиционные решения в области кибербезопасности с учетом рисков, с которыми они сталкиваются. Оценки кибербезопасности — это методы, используемые для оценки стоимости активов кибербезопасности, которые могут включать данные, системы и сети. Модели риск-подхода используются для оценки рисков угрозы и их последствий. При моделировании рисков учитываются различные факторы, в том числе вероятность кибератаки, потенциальное воздействие кибератаки и стоимость снижения рисков.

«Сколько стоит инцидент с программой-вымогателем?» — спросил Винклер присутствующих. «Большинство людей действительно не знают. И что еще более важно, в кибербезопасности мы не знаем, во сколько нам обходится отсутствие инцидента. По большей части мы вообще не отслеживаем, насколько хорошо мы останавливаемся. И это фундаментальное отсутствие бизнес-дисциплины и бизнес-мышления».

Винклер объяснил, что такое отсутствие бизнес-подхода характерно только для отделов кибербезопасности. В других областях, таких как финансы и бухгалтерский учет, цепочки поставок, операции и производство, бюджеты не распределяются произвольно. Например, современные заводы обычно имеют полное представление о том, сколько стоит конкретное время простоя и какова ценность, когда завод находится в рабочем состоянии.

В эпоху управления данными специалисты по кибербезопасности должны иметь представление об отключениях, инцидентах и ​​любых других факторах, влияющих на производительность и прибыль компании. С помощью этой информации руководители могут принимать решения по бюджету на основе данных с учетом экономического воздействия, рисков и убытков по сравнению с рентабельностью инвестиций и прибылью.

Получение одобрения от руководителей и советов директоров

Ни для кого не секрет, что одной из самых больших проблем, с которыми сталкиваются директора по информационной безопасности и другие лидеры в области безопасности, является получение поддержки со стороны советов директоров и руководителей. Кроме того, группы безопасности сталкиваются с растущим давлением со стороны советов директоров, поскольку их роли и обязанности расширяются.

В последнем отчете ClubCISO за 2023 год 62 % опрошенных директоров по информационной безопасности назвали одобрение руководства наиболее важным фактором в развитии лучшей культуры безопасности. Несмотря на усиление согласованности между командами безопасности, руководителями и советами директоров, 20 % опрошенных по-прежнему говорят, что отсутствие заинтересованности и поддержки влияет на безопасность их компаний.

«К сожалению, в сфере кибербезопасности у нас есть люди, которые не знают, как обсуждать бюджеты с руководством», — сказал Винклер.

По словам Винклера, до тех пор, пока руководители службы безопасности не будут применять более научный и деловой подход к составлению бюджета, они всегда будут получать случайные ассигнования и получать нежелательные результаты. Обращаясь к руководителям за поддержкой, руководители службы безопасности должны быть хорошо информированы о допустимых уровнях риска, эффективности их контрмер и стоимости основных уязвимостей.

Винклер сказал, что руководству следует представлять только те бюджеты, которые минимизируют риски и потенциальные потери. Когда совет директоров или руководитель предлагает урезать бюджет, служба безопасности должна знать, во сколько это урезание будет стоить компании. Этот метод предоставляет руководителям более качественную информацию, позволяя им принимать более обоснованные решения, и помогает заручиться их поддержкой. Это также освобождает руководителей службы безопасности от ответственности, поскольку они информируют руководство компании о рисках до того, как они произойдут.

«Знание того, как представить программы кибербезопасности с точки зрения бизнеса, — это самый эффективный способ получить необходимый бюджет», — сказал Винклер аудитории экспертов по безопасности.

нарушения конфиденциальности; вопросы соответствия; США, ЕС и международное право; страховые расходы; штрафы; По словам Винклера, сбои, вызванные стихийными бедствиями, также должны быть включены в программы безопасности.

Бюджеты кибербезопасности, ориентированные на рентабельность инвестиций

Количественная оценка киберриска — не новая концепция, но модели подхода к оценке риска все еще находятся в зачаточном состоянии. В то время как такие организации, как Gartner, сообщают о его более широком внедрении, а ведущие поставщики, такие как Bitsight, SecurityScorecard, Corax, UpGuard и Squalify, предлагают его, внедрение всего этого может быть непосильным.

Винклер заверил, что модели риск-подхода не должны быть чрезмерно сложными. «Это единственная диаграмма в моей компании, — сказал Винклер (рис. А).

Рисунок А

Модель кибербезопасности, основанная на риск-подходе Айры Винклер. Изображение: презентация Айры Винклер на Северо-восточном саммите по виртуальной безопасности.

Красная линия на графике представляет уязвимые места компании, а все, что находится под красной линией, представляет потенциальные убытки. Когда компания приступает к моделированию рисков без контрмер, уязвимости и потенциальные потери достигают своего максимума; по мере реализации и усиления контрмер потенциальные потери начинают снижаться. Однако Винклер объяснил, что здесь есть одна загвоздка.

При управлении рисками большинство людей считают, что компания должна добавить как можно больше контрмер, чтобы достичь минимального значения уязвимостей и свести потенциальные потери к нулю. Однако это не так, поскольку стоимость реализации необходимых контрмер для сведения уязвимостей к минимуму обычно экспоненциально выше, чем стоимость уязвимостей.

Компания не хочет, чтобы стоимость ее контрмер была выше стоимости ее убытков, а также не равнялась им. Достижение правильного баланса может быть сложной задачей.

«Что вам нужно сделать, так это выяснить, что я называю точкой оптимизации риска», — объяснил Винклер. «И именно здесь вы, по сути, выясняете потенциальную потерю, которую вы готовы принять, а затем какие контрмеры теоретически могут вас туда привести». Концепция очень похожа на долгосрочные инвестиции.

Проблема как для групп безопасности, так и для руководителей состоит в том, чтобы признать, что независимо от того, что они делают, они всегда будут сталкиваться с потенциальными потерями и рисками. Кроме того, необходимо изменить общекорпоративную культуру, которая десятилетиями распределяла бюджеты на кибербезопасность, просто добавляя от 5% до 20% увеличения бюджета предыдущего года.

Выделение «произвольного бюджета дает произвольные результаты», — сказал Винклер. Он призвал экспертов по безопасности на мероприятии составить карту источников угроз, активов, уязвимостей и потенциальных потерь, чтобы понять их уязвимость. Эксперт по кибербезопасности также представил уравнение риска, чтобы объяснить, как компании могут количественно оценивать факторы, подчеркнув разрушительную силу ИИ и машинного обучения для выполнения этих математических расчетов (рис. B).

Рисунок Б

Уравнение риска Айры Винклер. Изображение: презентация Айры Винклер на Северо-восточном саммите по виртуальной безопасности.

Заключительные мысли: расстановка приоритетов

Установление приоритетов и реализация контрмер с наивысшей ценностью, обеспечивающих наибольшую рентабельность инвестиций, при анализе стоимости и вероятности уязвимостей может показаться сфальсифицированной игрой с числами, в которой неизбежны инциденты и потери. Однако принятие минимальных потерь и инцидентов намного перевешивает другие альтернативы.

Традиционные методы, используемые для распределения бюджетов на кибербезопасность, устарели, а последствия, связанные с этими типами подходов, хорошо задокументированы в отчетах об угрозах, которые показывают ежегодный рост стоимости угроз.

Больше финансирования и больше инструментов не обязательно приводит к большей безопасности. Ресурсы безопасности должны быть правильно распределены, а стоимость каждого решения по противодействию должна быть сбалансирована со стоимостью атак.

Хотя необходимо учитывать и другие факторы, такие как этические обязанности компаний по защите каждого клиента, партнера и системы, бизнес-подход к бюджету кибербезопасности, основанный на данных, несомненно, может изменить индустрию кибербезопасности.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE