Καθώς πλησιάζει η περίοδος κερδών, οι οργανισμοί αντιμετωπίζουν μια συνεχή μάχη μεταξύ ανάπτυξης και αποτελεσματικότητας. Είναι ένα εκκρεμές που ταλαντεύεται μέσα από μακροοικονομικές αλλαγές, επιχειρηματικά αποτελέσματα, προκλήσεις και επιτυχία. Οι επιχειρήσεις αμφισβητούν συνεχώς εάν πρέπει να επιταχύνουν τις δαπάνες μάρκετινγκ, να αναζητήσουν τρόπους μείωσης του κόστους και να μετρήσουν εάν ο τρέχων προϋπολογισμός τους είναι αποτελεσματικά προσανατολισμένος στην επίτευξη κατάλληλης απόδοσης επένδυσης (ROI). Συνήθως, σε όλες τις αίθουσες και τις ηγετικές ομάδες, τα γενικά και διοικητικά συστήματα (G&A) θεωρούνται γενικά έξοδα: ένα στοιχείο κόστους που απαιτείται για τον μετριασμό του κινδύνου και την τήρηση των προτύπων συμμόρφωσης, αντί για ένα στοιχείο που δημιουργεί απόδοση.
Οι επιχειρήσεις έχουν συχνά σχετικά μεγάλο προϋπολογισμό πληροφορικής και ασφάλειας—αλλά μόνο λίγα άτομα στον οργανισμό γνωρίζουν συνήθως πώς χρησιμοποιείται αυτός ο προϋπολογισμός. Δυστυχώς, ακόμη λιγότεροι μπορούν να προσδιορίσουν πραγματικά την απόδοση επένδυσης (ROI) από κάθε τμήμα της στοίβας που καταρτίζει αυτόν τον προϋπολογισμό. Για τις επιχειρήσεις που προσπαθούν να ορίσουν έναν κατάλληλο προϋπολογισμό για την ασφάλεια στον κυβερνοχώρο, η σκέψη για την απόδοση επένδυσης (ROI) δεν θα πρέπει να είναι μεταγενέστερη σκέψη – θα πρέπει να είναι ένα σημείο εκκίνησης. Το να ξοδεύετε 100.000 $ ετησίως μπορεί να μοιάζει πολύ — αλλά είναι μια καλή επένδυση εάν αποτρέψει ετήσιες απώλειες 1 εκατομμυρίου δολαρίων από κυβερνοεπιθέσεις.
Γιατί η κυβερνοασφάλεια είναι απρόσβλητη στην ύφεση
Οι εταιρείες όλων των μεγεθών είναι επιρρεπείς σε κυβερνοεπιθέσεις, ανεξάρτητα από το πόσα στρώματα άμυνας διαθέτουν. Σύμφωνα με έρευνα από το Harvard Business Review, οι οργανισμοί με 10.000 ή περισσότερους υπαλλήλους διατηρούν συνήθως σχεδόν 100 εργαλεία ασφαλείας — αλλά παρόλα αυτά, ακόμη και καθιερωμένες παγκόσμιες εταιρείες συνεχίζουν να πέφτουν θύματα κυβερνοεπιθέσεων. Η ατυχής αλήθεια είναι ότι απλά δεν είναι δυνατό να σταματήσει το 100% των επιθέσεων. Ως αποτέλεσμα, οι περισσότεροι οργανισμοί αρχίζουν να μετατοπίζουν τη σκέψη τους μακριά από την πρόληψη και να επικεντρώνονται στον περιορισμό της πιθανής ζημίας που μπορεί να προκαλέσει μια επίθεση και να κατανοούν καλύτερα πού βρίσκονται οι πραγματικές ευπάθειές τους.
Οι CIO, οι CISO και η υπόλοιπη ηγετική ομάδα είναι τελικά υπεύθυνοι για την προστασία των περιουσιακών στοιχείων της εταιρείας τους. Οι οργανισμοί ξοδεύουν εκατομμύρια δολάρια για την ασφάλεια στον κυβερνοχώρο ετησίως, καθώς η συνολική αγορά ασφάλειας οδεύει προς 300 δισεκατομμύρια δολάρια στη συνολική διευθυνσιοδοτούμενη αγορά (TAM). Έχοντας αυτό κατά νου, οι CISO αναζητούν μεγαλύτερη ευελιξία στον προϋπολογισμό για να εξασφαλίσουν ότι εκπληρώνουν τους στόχους της εταιρείας τους. Καθώς ο αριθμός των κυβερνοεπιθέσεων αυξάνεται και αυτές οι επιθέσεις γίνονται πιο εξελιγμένες, πάρα πολλοί CISO εξακολουθούν να αγωνίζονται να απαντήσουν σε βασικά ερωτήματα σχετικά με το εάν η εταιρεία τους είναι ασφαλής και πόσο καλά προστατεύονται στην πραγματικότητα τα περιουσιακά τους στοιχεία.
Προκειμένου να απαντηθούν με ακρίβεια αυτές οι ερωτήσεις, οι CISO πρέπει να είναι σε θέση να μετρούν συνεχώς και να επιδεικνύουν την αποτελεσματικότητα του κυβερνοχώρου στην ηγεσία. Πρέπει να απεικονίζουν τον κίνδυνο, να επικυρώνουν τους ελέγχους, να κατανοούν τις εκθέσεις που αντιστοιχίζονται σε πλαίσια ασφαλείας και να εξορθολογίζουν τις δαπάνες ασφαλείας κατά τη διαχείριση του κόστους. Τα καλά νέα για τις ομάδες ασφαλείας; Η κυβερνοασφάλεια θα είναι πάντα κρίσιμη για τις επιχειρήσεις. Ακόμη και σε πιο αδύναμες περιόδους, οι επιχειρήσεις θα πρέπει πάντα να επενδύουν σε λύσεις κυβερνοασφάλειας για να διατηρούν τα δεδομένα και τα άλλα περιουσιακά τους στοιχεία ασφαλή. Εφόσον οι ομάδες ασφαλείας μπορούν να χρησιμοποιούν δεδομένα για να αιτιολογήσουν ποιες λύσεις είναι απαραίτητες για τις δραστηριότητές τους, η ασφάλεια στον κυβερνοχώρο είναι αποτελεσματικά ανθεκτική στην ύφεση.
Καθιέρωση ενός σχεδίου παιχνιδιού προϋπολογισμού για την ασφάλεια στον κυβερνοχώρο
Με τις απαιτήσεις αναφοράς που κυκλοφόρησε πρόσφατα η Επιτροπή Ανταλλαγών Ασφαλείας (SEC) για την αντιμετώπιση περιστατικών στον κυβερνοχώρο, οι καταχωρίζοντες πρέπει να αποκαλύπτουν στο νέο στοιχείο 1.05 του Έντυπου 8-K οποιοδήποτε περιστατικό ασφάλειας στον κυβερνοχώρο που η SEC κρίνει ότι είναι σημαντικό. Οι εταιρείες πρέπει επίσης να περιγράφουν τις ουσιώδεις πτυχές της φύσης, της έκτασης και του χρόνου του συμβάντος, μαζί με τον αντίκτυπό του στον καταχωρίζοντα. Οι γνωστοποιήσεις του Έντυπου 10-K και του Έντυπου 20-F θα πρέπει να ξεκινούν με ετήσιες εκθέσεις για οικονομικά έτη που λήγουν στις 15 Δεκεμβρίου 2023 ή μετά. μετά την ημερομηνία δημοσίευσης στο Ομοσπονδιακό Μητρώο ή 18 Δεκεμβρίου 2023.
Αυτές οι πληροφορίες δεν εμφανίζονται απλώς με μαγικό τρόπο, και η συλλογή τους απαιτεί τη διάθεση των κατάλληλων πόρων όχι μόνο για τον εντοπισμό πιθανών περιστατικών ασφαλείας, αλλά για την αποτελεσματική τεκμηρίωση τόσο της πορείας που σχεδίασε ο εισβολέας όσο και των προσπαθειών μετριασμού που καταβάλλει ο οργανισμός. Αυτό σημαίνει ότι είναι κρίσιμο για τους οργανισμούς να έχουν πλήρη ορατότητα στα ψηφιακά τους περιβάλλοντα, με δυνατότητες συνεχούς παρακολούθησης που μπορούν να ανιχνεύουν και να τεκμηριώνουν τις αλλαγές καθώς συμβαίνουν. Αυτές οι δυνατότητες συνεχούς ορατότητας και παρακολούθησης δεν επιτρέπουν μόνο στις επιχειρήσεις να συμμορφώνονται με τις νέες κατευθυντήριες γραμμές συμμόρφωσης – συμβάλλουν επίσης στη δημιουργία μιας στέρεης βάσης για την οικοδόμηση ενός επιτυχημένου προγράμματος κυβερνοασφάλειας. Χαρτογραφώντας αποτελεσματικά τα ψηφιακά τους περιβάλλοντα και δοκιμάζοντας τα για γνωστά τρωτά σημεία, οι οργανισμοί μπορούν να έχουν μια πιο ακριβή εικόνα του μοναδικού προφίλ κινδύνου τους και να κατανοήσουν καλύτερα τα βήματα που πρέπει να λάβουν για να βελτιώσουν τη στάση ασφαλείας τους.
Στην πράξη, αυτό σημαίνει ότι οι ηγέτες πρέπει πρώτα να κάνουν απογραφή των στοιχείων ενεργητικού τους και της αξίας τους για την εταιρεία. Στη συνέχεια, θα πρέπει να εξετάσουν τι πρέπει να κάνουν προκειμένου να συμμορφωθούν με τους κανονισμούς του κλάδου που ενδέχεται να ισχύουν για την επιχείρησή τους, όπως η HIPAA της υγειονομικής περίθαλψης ή ο Γενικός Κανονισμός για την Προστασία Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR). Χρειάζονται νέες λύσεις για πρόσθετη ορατότητα; Ισχυρότερες προστασίες τελικού σημείου; Διευρυμένες δυνατότητες διαχείρισης ταυτότητας; Μόλις κατανοήσουν σταθερά ποιοι είναι οι στόχοι τους και τα βήματα που απαιτούνται για την επίτευξή τους, οι ηγέτες θα πρέπει να εξετάσουν ποιος είναι ο συνολικός προϋπολογισμός πληροφορικής της εταιρείας τους. Εάν αυτό που χρειάζεται μια εταιρεία είναι περίπου το 20-25% ή λιγότερο του γενικού προϋπολογισμού πληροφορικής σας, τότε μάλλον έχετε ένα χρήσιμο ποσό για να ξεκινήσετε. Μόλις ολοκληρωθεί, ήρθε η ώρα να εμβαθύνετε στην αξιολόγηση και την επαλήθευση του τι λειτουργεί και τι δεν έχει καμία απόδοση επένδυσης (ROI). Ακριβώς επειδή μια εταιρεία ξοδεύει χρήματα δεν σημαίνει ότι τα χρήματα δαπανώνται στα σωστά μέρη.
Ευθυγράμμιση της ασφάλειας με τις επιχειρήσεις
Αυτή η ευθύνη θα βαρύνει σε μεγάλο βαθμό τους ώμους του CISO ή του ΚΟΤ και θα πρέπει να είναι σε θέση να δηλώνουν και να επιδεικνύουν αποτελεσματικά την υπόθεσή τους στον CFO, τον COO, τον Διευθύνοντα Σύμβουλο και άλλους ενδιαφερόμενους φορείς. Δεδομένου ότι οι περισσότεροι ηγέτες επιχειρήσεων τείνουν να σκέφτονται με βάση τον τρόπο με τον οποίο οι αποφάσεις τους επηρεάζουν τα αποτελέσματα της επιχείρησης, είναι σημαντικό να μπορούμε να διατυπώνουμε σωστά την απόδοση επένδυσης (ROI) που μπορούν να έχουν οι επενδύσεις στον κυβερνοχώρο. Είτε αυτές οι επιστροφές έρχονται με τη μορφή εξάλειψης περιττών λύσεων, εξορθολογισμού των διαδικασιών ασφάλειας ή πρόληψης δαπανηρών παραβιάσεων, η διαμόρφωση των πραγμάτων σε επιχειρηματικό πλαίσιο είναι ο πιο αποτελεσματικός τρόπος για να διασφαλιστεί ότι οι ηγέτες ασφάλειας και οι υπεύθυνοι λήψης επιχειρηματικών αποφάσεων μπορούν να ευθυγραμμιστούν με τις πρωτοβουλίες τους.
Παραθέσαμε τα καλύτερα προγράμματα προστασίας από ιούς cloud.
Αυτό το άρθρο δημιουργήθηκε ως μέρος του καναλιού Expert Insights της TechRadarPro, όπου παρουσιάζουμε τα καλύτερα και πιο έξυπνα μυαλά στον κλάδο της τεχνολογίας σήμερα. Οι απόψεις που εκφράζονται εδώ είναι αυτές του συγγραφέα και δεν είναι απαραίτητα αυτές της TechRadarPro ή της Future plc. Αν ενδιαφέρεστε να συνεισφέρετε, μάθετε περισσότερα εδώ: https://www.techradar.com/news/submit-your-story-to-techradar-pro
VIA: TechRadar.com/
