Кибербезопасность, не связанная с бизнес-целями, является реактивной… и ошибочной: исследование

4 апреля 2023 г.

В новом отчете компании по кибербезопасности WithSecure, основанном на опросе более 400 глобальных руководителей в области кибербезопасности и ИТ, проведенном Forrester Consulting, говорится, что многие организации проявляют реактивность в своем подходе к защите от угроз и поэтапны, когда речь идет об инвестициях в кибербезопасность. .

Результат? Цели безопасности отделяются от бизнес-целей, в результате чего организации вкладывают средства в защиту от угроз, которые не имеют отношения к их бизнесу или целям.

Безопасность на основе результатов против реактивной безопасности

Согласно Forrester, безопасность, основанная на результатах, поддерживает бизнес-цели, а не просто реагирует на предполагаемые уязвимости. Это позволяет бизнес-лидерам упростить кибербезопасность, «развивая только те возможности, которые в измеримой степени обеспечивают желаемые результаты, в отличие от традиционных методов, основанных на угрозах, действиях или рентабельности инвестиций», — говорится в отчете WithSecure.

В отчете говорится, что более целостный подход к кибербезопасности должен стремиться к результатам, связанным с управлением рисками, качеством обслуживания клиентов, устойчивостью и прозрачностью поверхности угроз и рисков. Результаты также должны относиться к навыкам, ресурсам, скорости и маневренности реакции (рис. A).

Рисунок А

Изображение: с безопасным. Организации надеются добиться бизнес-результатов благодаря усилиям по обеспечению кибербезопасности.

Пол Бруччиани, советник по кибербезопасности и руководитель отдела маркетинга продуктов в компании WithSecure, сказал, что концепция кибербезопасности, основанной на результатах, представляет собой способ привести меры кибербезопасности в соответствие с бизнес-целями, а также уменьшить беспорядок и избыточность решений и тактик безопасности. Это попытка Мари Кондо бросать предметы на пол и отказываться от тех уровней контроля, которые стратегически не поддерживают бизнес-цели.

ПОСМОТРЕТЬ: Компании, ставящие перед собой цель увеличить количество облаков, должны ожидать дождя.

«Безопасность на основе результатов — это способ принимать решения о том, что вам нужно защитить и как. Но это дисциплина: очень легко купить и внедрить новый инструмент, гораздо сложнее отключить устаревшие системы. Чтобы отключить вещи [которые бесполезны]», — сказал Бруччиани.

Несмотря на то, что 83 % респондентов опроса заявили, что они заинтересованы, планируют внедрить или расширяют внедрение ориентированных на результат решений и услуг в области безопасности, 60 % заявили, что их организации реагируют, а не превентивно; они реагируют на отдельные проблемы кибербезопасности по мере их возникновения.

Пятая часть компаний связывает кибербезопасность с бизнес-приоритетами

Исследование, целью которого было понять приоритеты организационной кибербезопасности и бизнес-цели, выявило:

Только 20% респондентов заявили, что их организация полностью соответствует приоритетам кибербезопасности и результатам бизнеса. 75% респондентов заявили, что управлению киберрисками уделяется повышенное внимание со стороны советов директоров их организаций. 60 % фирм готовы тратить 6 % или более своей операционной прибыли, чтобы получить преимущества, которые они видят в принятии ориентированного на результат подхода к инвестициям в кибербезопасность. 50 % фирм пытаются измерить ценность кибербезопасности и не могут сформулировать вклад безопасности в результаты бизнеса.

Парадигма «рынка лимонов» усложняет инвестиции в безопасность

Бюджеты кибербезопасности растут, но может ли сам размер и охват рынка услуг кибербезопасности побуждать покупателей ИТ бессистемно распределять бюджеты?

SEE: В этом вопросе и ответе ИТ-эксперт и консультант рассказывает о том, как сделать безопасность приоритетной в бюджете.

Бруччиани сказал, что это, вероятно, так, поскольку нынешний рынок программного обеспечения для кибербезопасности как услуги сам по себе представляет собой «рынок лимонов» — термин, введенный экономистом Джорджем Акерлофом для описания обстоятельств, при которых рынок наполнен хорошими и плохими продуктами и покупатель хромает из-за неспособности различить, что есть что.

«Кибербезопасность — это огромный бизнес; в зависимости от того, как вы определяете рынок, в мире существует 10 000 компаний, занимающихся кибербезопасностью, что создает шумный рынок, и многие из этих компаний поддерживаются венчурным капиталом, поэтому их задача состоит в том, чтобы выйти на рынок как можно быстрее. Как следствие, это создает рынок, на котором трудно ориентироваться, с дополнительной проблемой измерения качества: у покупателей нет возможности оценить качество того, что им продают», — сказал Бруччиани.

Что компании ищут в инструментах и ​​услугах кибербезопасности

Респонденты опроса назвали некоторые из самых серьезных проблем безопасности: понимание киберрисков, поиск необходимых навыков и ресурсов, а также быстрое и эффективное реагирование (рис. B).

Рисунок Б

Изображение: с безопасным. Проблемы кибербезопасности по отраслям.

Результаты, которые, по словам респондентов, они ожидали от усилий по обеспечению кибербезопасности, включают:

44% опрошенных хотят снизить риск. 40% хотят, чтобы безопасность улучшала качество обслуживания клиентов. 34 % хотят, чтобы безопасность способствовала росту доходов. 33 % хотят повысить операционную устойчивость. 32% хотят, чтобы безопасность была направлена ​​на управление и соответствие требованиям.

Получение значимых показателей, связывающих безопасность с бизнес-результатами, — еще одна проблема.

Руководители, опрошенные Forrester, перечислили проблемы, связанные с получением полезных показателей, связывающих приоритеты безопасности с результатами бизнеса:

37% выразили трудности с измерением ценности кибербезопасности. 36% заявили, что не могут собрать последовательные и значимые данные. 28 % нашли проблемы в преодолении парадокса: инвестиции в эффективную безопасность приводят к меньшему количеству возможностей продемонстрировать ценность. 23% столкнулись с трудностями при преобразовании показателей кибербезопасности во что-то значимое для совета директоров.

Кроме того, 42% заявили, что у них недостаточное понимание текущего и целевого состояния зрелости, по которому следует оценивать ценность безопасности. Бруччиани объяснил, что целевое состояние в контексте безопасности является выражением целей безопасности предприятия и зависит от таких факторов, как:

Воздействие кибератаки на предприятие. Толерантность к риску — влияние, которое предприятие может поглотить и функционировать. Готовность рисковать безопасностью. Безопасность, которую ожидают регулирующие органы и клиенты.

«Обычно предприятиям нужен более высокий уровень безопасности, чем сейчас», — сказал Бруччиани. «Вопрос в том, насколько достаточно безопасности? Их стратегия киберриска — если она будет последовательной — будет определяться этими факторами». Он добавил, что NIST предлагает полезную основу для поддержки принятия решений в области безопасности.

Как превратить бизнес-результаты в безопасность

Исследование включало рекомендации о том, как привести инвестиции в кибербезопасность в стратегическое соответствие бизнес-целям:

Бизнес-результаты должны быть согласованы с заинтересованными сторонами и сопоставлены с вашими инвестициями в безопасность, моделью угроз и средствами управления безопасностью. Результаты безопасности должны включать в себя преимущества для бизнеса (например, аутентификация на основе рисков в электронной коммерции улучшает клиентский опыт, устраняя дополнительные шаги и трения, связанные с транзакциями с низким уровнем риска).

Приоритеты безопасности должны соотноситься с бизнес-результатами, избегая ненужных инвестиций в безопасность, которые не требуются для бизнес-результатов. Отделы закупок и юристы должны быть готовы к закупке ценных бумаг на основе результатов.

---

Оригинал