Важнейшие расходы на кибербезопасность не получают того бюджета, которого они заслуживают
Подготовка и утверждение бюджета кибербезопасности — одна из самых важных обязанностей руководителей ИТ-безопасности. Бюджет напрямую влияет на способность организации избегать или преодолевать кибератаки. Но ландшафт кибербезопасности сложен и изменчив. Так что всегда есть реальная возможность не увидеть полной картины рисков, выставленных предприятию. Если бюджет кибербезопасности не может адекватно покрыть все ключевые базы, организация может быть вынуждена потратить гораздо больше на меры по исправлению положения позже, чтобы сдержать успешную кибератаку. Хотя более очевидные расходы на кибербезопасность имеют решающее значение, важно не упускать из виду не столь очевидные расходы, в том числе следующие.
1. Затраты на оплату труда
Расходы на персонал — это, возможно, одна вещь, которую вы не ожидаете провалить. Тем не менее, удивительное количество лиц, принимающих решения, не включают расходы на сотрудников в свой бюджет на кибербезопасность. Иногда предполагается, что с кадровым обеспечением нужно иметь дело отдельно. Однако это потенциально дорогостоящая ошибка.
Эксперты по кибербезопасности не дешевы. В течение многих лет сохраняется большая нехватка квалифицированных специалистов по ИТ-безопасности по сравнению с вакансиями в отрасли. Ожидается, что этот дефицит сохранится на долгие годы. Естественно, это означает, что средняя заработная плата специалистов по кибербезопасности будет продолжать расти.
Но это не единственный аспект расходов на персонал, который должен быть в бюджете на кибербезопасность. Бюджетные расходы на сотрудников должны включать расходы на обучение персонала, направленные на устранение злонамеренного поведения, небрежности или ошибок пользователей.
2. Реагирование на инцидент
Реагирование на инциденты — это еще одна статья расходов на кибербезопасность, которая не всегда получает то внимание бюджета и ассигнования, которых она заслуживает. Возможно, это связано с тем, что в большинстве организаций серьезные и успешные инциденты безопасности не происходят еженедельно, ежемесячно или даже ежеквартально. Реагирование на инциденты легко отодвинуть на второй план и рассматривать как запоздалую мысль.
Только когда происходит кибератака, организация пытается выделить средства на реагирование на инцидент. Такой подход к управлению инцидентами — упущенная возможность. Хорошо продуманная и надлежащим образом финансируемая стратегия реагирования на инциденты может уменьшить или ограничить финансовые потери в результате кибератаки.
Стоимость реагирования на инциденты должна включать обзор плана инцидентов, обучение персонала и закупку программного обеспечения.
3. Недооценка замещения ресурсов
Рассматривая ресурсы, которые могут быть скомпрометированы или уничтожены в результате кибератаки, лица, принимающие решения в области кибербезопасности, сосредоточатся на критически важных системах. Оценки затрат на замену рассчитываются с учетом этих чувствительных и уязвимых систем. И в значительной степени это казалось бы правильным поступком.
Тем не менее, атаки на менее чувствительные и менее уязвимые системы могут значительно ухудшить способность организации работать и выполнять свои обязательства. Без учета этих систем в затратах на замену ресурсов бизнесу будет трудно быстро восстановить работу до нормального или близкого к нему уровня.
4. Консультанты
Организации не всегда любят консультантов и часто считают, что это роскошь, когда речь идет о расходах на кибербезопасность. Есть ощущение, что консультантам платят непомерные гонорары за то, что они констатируют очевидное. Но консультанты — необходимое зло, особенно в сфере кибербезопасности. Когда происходит кибератака, лишь немногие организации обладают внутренним опытом для сдерживания и разрешения инцидента самостоятельно.
Потребуется привлечь третьих лиц, которые лучше разбираются в этом типе атак и могут предоставить основанное на опыте руководство, которое приведет к быстрому и окончательному разрешению проблемы. Без выделения бюджета на консультантов по кибербезопасности реакция бизнеса может быть серьезно ограничена. Каждая минута, пока атака остается неразрешенной, дает киберпреступникам больше времени для достижения своих гнусных целей.
5. Киберстрахование
Многие организации начинают рассматривать киберстрахование как ключевой компонент своей стратегии кибербезопасности. Тем не менее, на удивление большое количество предприятий не считают киберстрахование достаточно важным, чтобы включать его в свой бюджет на кибербезопасность.
Отсутствие киберстрахования означает, что организация должна нести все финансовые потери и расходы, связанные с нарушением. Киберстрахование настолько полезно, что оно по-прежнему полезно, даже если вы в конечном итоге не подписываетесь на полис. Сам процесс андеррайтинга может выявить пробелы в безопасности. Заполнение этих пробелов может улучшить вашу среду безопасности независимо от того, подписываетесь ли вы в конечном итоге на страховой полис или нет.
6. Облачные службы безопасности
Прошли те времена, когда вам нужно было делать все, что связано с безопасностью, самостоятельно. Вычислительная среда сильно изменилась за последние несколько лет. Облачные серверы — это корпоративная норма. Поэтому, если вы управляете крупной организацией или имеете ограниченное количество сотрудников по кибербезопасности, вам следует подумать о том, чтобы выделить бюджет на безопасность как на услугу.
Это снижает нагрузку на ваш персонал по кибербезопасности, позволяя вам использовать опыт команды с большим опытом в области облачной безопасности. В отсутствие облачной безопасности ваши сотрудники службы безопасности могут быть истощены и изо всех сил стараться оставаться в курсе рисков облачных вычислений.
7. Управление изменениями
Изменения — это факт повседневной жизни. Это справедливо и для кибербезопасности. Вам нужно не только бороться с проблемами безопасности вашей существующей установки, но и учитывать расходы, связанные с развивающимся ландшафтом кибербезопасности. Новые сценарии могут потребовать новой политики безопасности, а это потребует дополнительных затрат.
Вместо того, чтобы ждать, пока разовьются эти новые сценарии, разумно выделить бюджет на управление изменениями с самого начала. Затраты покроют все, начиная от изменений стратегии и процессов и заканчивая обновлением программного обеспечения и потребностями в обучении.
То, на что вы тратите, так же важно, как и то, сколько вы тратите
В то время как увеличение расходов на кибербезопасность является положительным моментом, надежность защиты зависит не только от общей суммы потраченных денег. Знать, на что тратить, — настоящая проблема. Всеобъемлющий бюджет безопасности не обязательно должен быть подкреплен кучей наличных денег, чтобы быть эффективным. Однако это требует выявления и устранения всех основных рисков.
Никогда нельзя гарантировать 100-процентную защиту. Тем не менее, лучше всего использовать динамичный многогранный бюджет на кибербезопасность с учетом рисков. При этом снижается риск того, что какой-либо критический компонент провалится сквозь трещины.