Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 2, 2017

Как да получите повече от своя бюджет за сигурност

Ръководителите по информационна сигурност трябва внимателно да използват ресурсите в днешните времена на икономически трудности. Това предполага да използват финансовите средства максимално ефективно

от , 24 февруари 2017 0 626 прочитания,

Бюджетите за информационна сигурност. Те са малки, заделят се предимно от средствата за ИТ и ръководителите на отделите за информационна сигурност (CISOs/CSOs ) често се оплакват, че изобщо не са достатъчни.

Тези бюджети постоянно се обсъждат и непряко показват колко добре CISO защитава бизнеса и активите му – или накратко казано, колко добре си върши работата (от което на свой ред зависи колко дълго ще заема длъжността си).

Все пак картината не е толкова мрачна – интелигентните ръководители по информационна сигурност разбират, че трябва внимателно да използват ресурсите в днешните времена на икономически трудности. Това предполага да използват финансовите средства по-ефективно и да успяват да защитят наистина ценните си активи с вече наличните решения. Също така в много случаи допълнителното обучение на служителите може да доведе до значително спестяване на разходи, които иначе биха били изразходвани за скъпи информационни кампании.

Пазете се от голямата черна дупка

Твърди се, че бюджетите за сигурност са около 5-15% от целия бюджет за информационни технологии в зависимост от това на кои проучвания се доверявате и как дефинирате сигурността.

В публикуван наскоро доклад анализаторите от Gartner казват, че средно бюджетът за сигурност е около 5% от ИТ бюджета на дадена компания, но също така отбелязват, че е безсмислено да се правят сравнения между компаниите от дадена индустрия по този показател, защото “можете да харчите за погрешните неща и да бъдете изключително уязвими".

Безспорно, обсъждането на бюджета за сигурност е сложна задача. Бюджетите може да са различни за отделните компании в зависимост от тяхната структура (например докладването пред CIO вместо пред CFО най-вероятно означава по-малък бюджет), отношенията в ръководството и вече изградените технологични решения. Важно е и това, че преди всяка нова придобивка трябва да се уверите, че тя отговаря на управлението на риска и прилаганите практики в компанията.

Впоследствие идват множество въпроси, които CISO трябва да си зададат: в каква посока да насочим разходите? Разполагаме ли с решения, които да ни защитят? Дали доставчикът е надежден? С какво реално ще допринесе тази инвестиция от гледна точка на способността ни да управляваме рисковете и да подобряваме сигурността?

Да се познават заплахите, застрашаващи компанията, е важно, но всъщност рядко могат да бъдат предвидени всички рискове. Според доклада “Висока производителност в сигурността” на Accenture за 2016 година (High Performance Security Report 2016), базиран на проучване сред 2000 висши ръководители по сигурността от големи компании, 53% от анкетираните заявяват, че пробивите в сигурността, предизвикани от “инсайдер”, може да нанесат най-големи щети на техния бизнес, но въпреки това повечето компании дават приоритет на разходите за облачна сигурност и защита на крайни устройства.

Но дори и в днешните времена на все по-мащабни пробиви и все по-находчиви киберпрестъпни групи има опасност от прекомерно харчене – парите могат да попаднат в черна дупка.

Пример за това е Bank of America. През миналата година главният изпълнителен директор Брайън Мойнихан заяви, че втората по големина банка в САЩ е похарчила $400 млн. за киберсигуност през 2015 година. Той допълни, че за първи път от 20 години в Bank of America ще има отдел без определен бюджет и това ще бъде отделът по киберсигурност.

Друг пример е банката JP Morgan. След като допусна пробив през август 2014 г., институцията обяви, че бюджетът ѝ за сигурност през 2016 г. ще надвиши $500 млн., което е повече от двойно на похарчените $250 млн. през предходната година. А в скорошна статия в електронното издание Crain’s се казва, че бюджетът на Citibank за защита на информационните технологии е около $300 млн.

Финансовият сайт на Yahoo съобщи, че Wells Fargo харчи за киберсигурност по около $250 млн. годишно, а анализаторската фирма Cybersecurity Ventures прогнозира ръст на бюджетите за сигурност през предстоящата година както в държавния, така и в частния сектор.

Да разполагате с повече пари е добре по очевидни причини, но още по-добре е да ги изразходвате разумно, особено когато в ИТ бранша често се наблюдава скептицизъм относно теорията, че повече пари гарантират по-добра сигурност.

Да поискаш повече пари

Известна е песента на "Ролинг стоунс”, в която те казваха: "Не може винаги да получаваш, каквото поискаш", но истината е, че това просто не се отнася за създаването на бюджети за информационна сигурност.

Ако предвидите мерки за сигурност в унисон с критично важните потребности на бизнеса, ако можете да анализирате и оцените представянето на екипа и на тази база да разговаряте открито с управителния съвет, винаги ще има възможности за нови дискусии и за преоценка на бюджета.

Крис Гибсън, CISO в базираната във Великобритания фирма за финансови услуги Close Brothers и бивш директор на CERT-UK, казва, че мениджърите по информационна сигурност трябва да са достатъчно смели и да настояват за по-добро финансиране.

"Как мениджърите по информационна сигурност получават по-високи бюджети? Като говорят на разбираем за бизнеса език и под това имам предвид включително да рискуват", казва той пред CSO Online.

"Традиционно информационната сигурност се разглежда като разход за бизнеса и се управлява от служители, които не разбират управлението на риска. Технологиите са бинарна зона, често базирана на правила. Рискът не е – той е променяща се плоскост", казва Гибсън. "Моята задача е да обясня на бизнеса и ръководството как вземането на дадено решение се отразява на нивото на риск. Напълно възможно е, когато те оценят пълния риск за даден проект, аз да мога да намаля риска за информационната сигурност, което им позволява да поемат повече риск другаде в проекта.“

"Ако са в състояние да обяснят това, ръководителите по сигурността ще покажат ползата за бизнеса вместо усещането за цена. Това значително ще повиши възприемчивостта и ще позволи на ръководството да разбере какви са потребностите, а след това и да получите по-добро решение по бюджета."

Анди Роуз, CISO и ръководител по сигурността в компанията за въздушен трафик NATS, се съгласява и допълва: "Градете отношения с ръководството и се уверете, че те разбират възможните рискове и последствия. Опитвайте да сравнявате вашата фирма с лидерите във вашата индустрия, за да покажете разликите в инвестициите, в "догонването на най-добрите практики в индустрията".

"Включвайте проекти по сигурността в други инициативи на компанията, определяни като "благоприятни", например искате достъп от разстояние, но това не може да стане без двуфакторна автентификация (2FA) – ето сега имате конкретна причина за въвеждането й", казва той.


Мартин Уайтуорт, началник информационна сигурност в Hitachi Capital, вярва, че можете да получите повече, ако просто разбирате по-добре възраженията на бизнеса.

"Бюджетът за сигурност е начин да покажете как сигурността позволява на бизнес инициативите да се случат. Работете с хората от бизнеса, за да осъзнаете техните приоритети. На тази база преценете какви действия по сигурността са необходими за постигането на целите. След това дайте пример за бизнес инвестиция."

Извлечете максимума от това, с което разполагате

Въпреки всичко казано дотук обаче, е почти сигурно, че ако не работите в JPMorgan или Bank of America, финансовите средства за сигурност няма да са достатъчно за всички инициативи, които бихте искали да реализирате.

Макар че в проучване, поведено през миналата година, две трети от членовете на Института на професионалистите в информационната сигурност (IISP) заявяват, че техните бюджети за сигурност са се увеличили, 60% твърдят, че ръстът не е в крак със заплахите. Само 7% твърдят, че техните бюджети за сигурност се увеличават по-бързо от заплахите.

Гибсън допълва, че дори да не разполагате с оптималния бюджет, все пак може да извлечете максимума от него.

"Всичко се свежда до риска. Мога да се опитам да защитя цялата мрежа от всички атаки, но реално единственият начин да го направя е, като я изключа. Трябва да действаме по-умно – да пазим данните, за които най-много ни е грижа, но и да осигурим основно ниво на защита в цялата мрежа."

Междувременно Роуз призовава всички мениджъри по информационна сигурност да се свържат със своите доставчици и да разберат дали те получават максимума от наличните им решения.

"Свържете се с доставчика и попитайте кои от услугите, за които плащате, все още не са включени в употреба. Преразгледайте продуктовата гама и вижте какви други функции може да получите срещу допълнително заплащане. Освен това опитайте да разширите покритието и да опростите своя набор от инструменти – ако имате едно приложение за управление за настолен компютър и едно за лаптопи, можете ли да ги консолидирате и опростите?"

Уитуорт е по-директен: "Всичко се свежда до доброто управление – дръжте разходите под око, осигурете добро управление на проектите (или спонсорство), задавайки си тези прости въпроси – защо, кога, какво?"

Стив Райт, отговарящ за информационната сигурност и защитата на данни във веригата магазини за търговия на дребно John Lewis, казва, че има някои собствени полезни идеи за това как да бъдат осигурени пари и как те да бъдат похарчени на правилните места.

Той акцентира върху това колко е важно да се анализира ефективността. “Вижте дали бюджетът ви е ефективен спрямо целта си. През 2017 г. ръководителите по информационна сигурност ще трябва да инвестират повече в прогнозиране на способностите за сигурност. Освен това те ще срещнат нови предизвикателства, свързани с бързината в промяната на навиците за харчене, която очаквано ще бъде изпълнена с нови и разрастващи се възможности за изразходване на финанси. Така че независимо дали работите в голяма или малка организация, има начини да получите повече от бюджета си за сигурност. А какво по-добро време да започнете от сега?”, казва в заключение Стив Райт.

Източник:

How to get more from your security budget, CSO, DEC 20, 2016

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов