С приближением сезона доходов компании сталкиваются с постоянной борьбой между ростом и эффективностью. Это маятник взад и вперед, который качается через макроизменения, бизнес-результаты, проблемы и успехи. Компании постоянно задаются вопросом, следует ли им увеличивать расходы на маркетинг, искать способы сокращения затрат и оценивать, действительно ли их текущий бюджет ориентирован на достижение адекватного возврата инвестиций (ROI). В залах заседаний советов директоров и исполнительных командах общие и административные системы (G&A) обычно рассматриваются как накладные расходы: статья затрат, необходимая для снижения рисков и поддержания стандартов соответствия, а не статья, которая генерирует прибыль.
Компании часто имеют относительно большие бюджеты на ИТ и безопасность, но лишь немногие сотрудники обычно знают, на что на самом деле используется этот бюджет. К сожалению, еще меньше людей могут определить рентабельность инвестиций в каждую часть бюджета. Для компаний, пытающихся определить подходящий бюджет на кибербезопасность, рентабельность инвестиций должна быть не второстепенной мыслью, а отправной точкой. Потратить 100 000 долларов в год может показаться большой суммой, но это хорошая инвестиция, если она предотвратит ежегодные потери от кибератак в размере 1 миллиона долларов.
Почему кибербезопасность невосприимчива к рецессии
Предприятия всех размеров уязвимы для кибератак, независимо от того, сколько уровней защиты они имеют. Согласно исследованию Harvard Business Review, компании с 10 000 и более сотрудников обычно имеют около 100 инструментов безопасности, но даже признанные глобальные компании продолжают становиться жертвами кибератак. Печальная правда заключается в том, что остановить 100% атак просто невозможно. В результате большинство организаций начинают смещать свое внимание с предотвращения на ограничение потенциального ущерба, который может нанести атака, и лучше понимать, в чем заключаются их истинные уязвимости.
ИТ-директора, директора по информационной безопасности и остальные члены руководящей команды в конечном итоге несут ответственность за защиту активов своей компании. Компании ежегодно тратят миллионы долларов на кибербезопасность, поскольку общая рыночная стоимость всего рынка безопасности приближается к 300 миллиардам долларов. Учитывая это, директора по информационной безопасности стремятся к большей гибкости бюджета, чтобы гарантировать достижение целей своей организации. Поскольку число кибератак увеличивается и эти атаки становятся все более изощренными, слишком многим директорам по информационной безопасности все еще сложно ответить на основные вопросы о том, безопасна ли их организация и насколько хорошо на самом деле защищены их активы.
Чтобы точно ответить на эти вопросы, директора по информационной безопасности должны иметь возможность постоянно измерять и демонстрировать руководству киберэффективность. Они должны иллюстрировать риски, проверять средства контроля, понимать угрозы, связанные с системами безопасности, и рационализировать расходы на безопасность, одновременно контролируя затраты. Хорошие новости для служб безопасности? Кибербезопасность всегда будет иметь решающее значение для бизнеса. Даже в трудные времена компании всегда должны инвестировать в решения кибербезопасности для защиты своих данных и других активов. Пока команды безопасности могут использовать данные для обоснования того, какие решения необходимы для их операций, кибербезопасность практически не подвержена рецессии.
Создание плана бюджета кибербезопасности
В связи с недавно введенными Комиссией по ценным бумагам и биржам (SEC) требованиями к отчетности о киберинцидентах, владельцы регистрации должны раскрывать любые инциденты кибербезопасности, которые SEC сочтет существенными, в новом пункте 1.05 формы 8-K. Компании также должны описать существенные аспекты характера, масштаба и времени происшествия, а также его влияние на владельца регистрации. Раскрытие информации в формах 10-K и 20-F подлежит раскрытию по состоянию на годовые отчеты за финансовые годы, заканчивающиеся 15 декабря 2023 года или после этой даты. Раскрытие информации по формам 8-K и 6-K должно начаться через 90 дней после даты публикации в Федеральном реестре или 18 декабря 2023 года, в зависимости от того, что наступит позже.
Эта информация не появляется просто волшебным образом, и ее сбор требует наличия необходимых ресурсов, чтобы не только обнаруживать потенциальные инциденты безопасности, но и эффективно документировать действия злоумышленника и усилия по смягчению последствий, предпринимаемые организацией. Это означает, что для организаций крайне важно иметь полную видимость своей цифровой среды с возможностями непрерывного мониторинга, которые могут обнаруживать и документировать изменения по мере их возникновения. Эти возможности непрерывного наблюдения и мониторинга не только позволяют организациям соблюдать новые правила соответствия, но также помогают создать прочную основу для построения успешной программы кибербезопасности. Эффективно отображая свою цифровую среду и проверяя ее на наличие известных уязвимостей, организации могут получить более точное представление о своем индивидуальном профиле рисков и лучше понять, какие шаги им необходимо предпринять для улучшения своей безопасности.
На практике это означает, что менеджеры должны сначала оценить свои информационные активы и их ценность для компании. Затем им следует подумать о том, что им нужно сделать, чтобы соответствовать отраслевым нормам, которые могут применяться к их организации, например HIPAA в сфере здравоохранения или Общему регламенту ЕС по защите данных (GDPR). Вам нужны новые решения для обеспечения большей прозрачности? Более надежная защита конечных точек? Расширенные функции управления идентификацией? Получив четкое представление о своих целях и шагах, необходимых для их достижения, лидеры должны рассмотреть весь ИТ-бюджет своей компании. Если потребности компании составляют около 20–25 % или меньше вашего общего ИТ-бюджета, у вас, вероятно, есть приемлемая цифра для начала. Как только это будет завершено, пришло время углубиться в оценку и анализ того, что работает, а что не обеспечивает окупаемости инвестиций. Тот факт, что компания тратит деньги, не означает, что они тратятся в нужных местах.
Баланс между безопасностью и бизнесом
Эта ответственность в значительной степени ложится на директора по информационной безопасности или технического директора, и они должны иметь возможность эффективно представить и продемонстрировать свою позицию финансовому директору, главному операционному директору, генеральному директору и другим заинтересованным сторонам. Поскольку большинство бизнес-лидеров склонны думать о том, как их решения влияют на прибыль компании, важно иметь возможность четко сформулировать рентабельность инвестиций, которую могут достичь инвестиции в кибербезопасность. Независимо от того, придет ли эта отдача в форме устранения избыточных решений, оптимизации процессов безопасности или предотвращения дорогостоящих нарушений, рассмотрение дел в бизнес-контексте является наиболее эффективным способом гарантировать, что руководители служб безопасности и лица, принимающие бизнес-решения, смогут согласовать свои инициативы.
Мы перечислили лучшие облачные антивирусы.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
