В условията на рецесия нищо не е забранено, но предприятията трябва да внимават когато намаляват разходите за киберсигурност, за да не направят компромис с безопасността

В условията на надвиснала рецесия предприятията са изправени пред перспективата да намалят разходите си в няколко области, за да оцелеят. Нищо не е изключено от дневния ред и, за съжаление, това може да означава и намаляване на бюджетите за киберсигурност.

На фона на нарастващите разходи и усилията за контролиране на сметките за енергия на предприятията може да се наложи да проявят творчество и да търсят икономии в области като разходите за изчисления в облак и дори киберсигурността. Последното обаче може да изглежда опасна перспектива, като се има предвид нарастващият призрак на киберзаплахи като ransomware.

Според данни на OpenText Security две трети (67%) от малките и средните предприятия (МСП) изразходват по-малко от 50 000 USD годишно за киберсигурност, като 57% се опасяват, че инфлацията ще доведе до промяна в плановете, което ще доведе до съкращаване на бюджета.

Това безпокойство идва въпреки неотдавнашното нарастване на кибератаките, което подчертава необходимостта от правилно финансирана стратегия за киберсигурност. Всъщност това поставя много актуалния въпрос как организациите могат да поддържат същото ниво на защита, докато се стремят да намалят бюджетите си.

Водещи принципи за намаляване на разходите

Бюджетите за киберсигурност не се намаляват с лека ръка; необходими са няколко ръководни принципа, за да се гарантира, че основните стандарти се поддържат, а рисковете се намаляват.

Главният технически директор на Global Rubrik MSP Assured Data Protection Стю Паркин казва пред IT Pro, че едно от нещата, на които е станал свидетел, е, че клиентите започват да обмислят намаляване на припокриването на характеристиките и функционалностите, включени в продуктите, които купуват.

„Компаниите често бързат да излязат на пазара, за да купят колкото се може повече, за да се запълнят определен пропуск“, казва той. „Сега обаче тези пропуски могат да бъдат запълнени от един или от намален списък от доставчици или продукти. Ефективността на разходите често се постига чрез консолидиране на лицензите, но също така и чрез консолидиране на уменията в рамките на вътрешните екипи и центровете за операции по сигурността (SOC).“

Въпреки това Лий Макмълън, изтъкнат вицепрезидент-анализатор в изследователската фирма Gartner, казва, че не вижда намаляване на разходите и че първостепенната мисия на CISO и екипа по киберсигурност е да защитават стойностното предложение на предприятието. „Досега това беше игра, чиито единствени възможни резултати са нула – не претърпявате инцидент – или отрицателен – претърпявате“, казва Макмълън. „Вместо това водещите мислители се фокусират много повече върху устойчивостта. Макар че никой CISO не може да предложи „перфектна защита“, той може да предложи нарастващи нива на устойчивост и възможност за възстановяване на стойността на предложението.“

Първи стъпки към намаляване на бюджетите за киберсигурност

Един от първите приоритети за бизнеса при намаляване на разходите за киберсигурност е да се опита да разбере обхвата на системите и активите, които се опитва да защити. След това идва ред на оценката на нивото на риска за тези системи, казва Мартин Уолшъм, директор „Киберсигурност“ в консултантската компания за киберсигурност AMR CyberSecurity.

„Когато бизнесът има разбиране за тях, той е в добра позиция да разгледа приоритетите по отношение на бюджета и усилията за управление на най-високите нива на риск в организацията“, казва той.

Той добавя, че има някои ключови съображения за това кога бизнесът трябва да оцени къде и как изразходва бюджета, за да се увери, че той се харчи разумно. Съществуват редица въпроси, представляващи своеобразен контролен списък, които предприятията трябва да си задават, като в голяма степен те обхващат самите основи.

Разходването на големи суми пари за най-съвременни инструменти, като например софтуер за киберсигурност с изкуствен интелект, няма смисъл, ако организацията не прави кръпки и не контролира конфигурацията си, казва Уолшъм. Предприятията трябва също така да се запитат дали е възможно да включат сигурността в договорите за външни услуги. „Така се избягва допълнителен слой от вътрешни разходи и се гарантира, че договорите с трети страни се управляват по подходящ начин“, казва той.

Друг въпрос, който трябва да се обмисли, е дали услугите и инструментите, които организацията използва, представляват съотношение цена-качество. Уолшъм казва, че това може да изглежда просто, но е забележително колко много организации не успяват да направят правилна оценка.

Междувременно, според Брайън Мартин, ръководител на отдела за продукти, стратегия и иновации в консултантската компания за киберсигурност Integrity360, е важно да се направи и сравнителен анализ с добре работещи колеги. „Знаем, че сравнителният анализ е от решаващо значение за успешното разпределение на бюджета за сигурност. След като бъде направен правилно и анализиран, CISO могат да преразгледат и да решат къде могат да си позволят да намалят разходите, въоръжени с пълната картина“, казва той.

Кои разходи за киберсигурност могат да бъдат спестени?

Намаляването на разходите за киберсигурност може да бъде възможност за опростяване на нещата. С течение на времето рамката за сигурност на една организация може да се превърне в сложна мрежа от различни продукти, смята Майк Фрай, директор на практиката за сигурност в Обединеното кралство и Ирландия на MSP Maintel. Всеки от тези продукти ще има свои собствени разходи, доставчици и режийни разходи за ИТ управление.

„Като се възприеме стратегически подход и се работи с ключови доставчици с широки възможности, това може да се рационализира, за да се подобри ефективността, да се намали ИТ тежестта и да се намалят разходите“, казва той. „В някои случаи фирмите могат да намалят разходите си с до 50%.“

 

Мартин допълва, че за съжаление не може да се посочи точна цифра за спестяванията, които могат да бъдат направени, тъй като това просто зависи от началната точка за всяка организация, нейната стратегия и склонност към риск.

„Добре известно е обаче, че например закупуването на услуга SOC или управлявана услуга за откриване и реагиране (MDR) може да струва по-малко от половината от сумата в сравнение с изграждането и осигуряването на персонал на място“, контрира той. „Преговорите с доставчиците, комбинирането на услуги и по-дългосрочните договори често могат да доведат до годишни икономии от над 10%.“

Не правете компромис с цялостната защита

Предприятията трябва да оправят основните неща и да подобрят 360-градусовата си устойчивост. На организациите се препоръчва да избягват подхода „заключвам вратата и оставям прозореца отворен“, който прави компромис с основната инфраструктура за сигурност и оформя заедно организационните нужди, казва Нехал Такоре, ръководител на страната UKI в Bosch CyberCompare.

„За да създадат цялостна стратегия за киберсигурност, предприятията могат да приложат рамката на Националния институт за стандарти и технологии (NIST)“, казва Такоре. Базирана на пет ключови стълба – идентифициране, защита, откриване, реагиране и възстановяване – рамката на NIST помага на предприятията от всякакъв мащаб да разберат, управляват и намалят по-добре риска за киберсигурността, като същевременно поддържат защитата на мрежите и данните, добавя той.

„Предприятията могат по-добре да решат кои са основните области, в които да инвестират време и средства за защита на киберсигурността“, продължава Такор. „Редовните мерки за повишаване на осведомеността за киберсигурността и обучението на служителите са важен начин за осигуряване на цялостна защита.“

Мартин добавя, че за да се гарантира цялостната защита, от решаващо значение е здравословният баланс между инвестициите в човешкото участие и автоматизацията. „Това трябва да бъде подкрепено с много ясна стратегия за сигурност и привеждане в съответствие с рамка за сигурност, която ще предостави насоки за това кои са основните контроли, които не трябва да бъдат компрометирани.“

 

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
Бъдете социални
Още по темата
12/12/2024

Ключове за разбиране на MDR...

Еволюция на решенията за откриване и...
07/12/2024

Нови насоки на NIST: Преосм...

Националният институт по стандартизация и технологии...
07/12/2024

Злонамерени вътрешни лица

Злонамерени вътрешни лица могат да бъдат...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!